[GTER] IPv6 - Flood Neighbor Solicitation

Eduardo Schoedler listas at esds.com.br
Tue Nov 25 14:25:29 -02 2014


Bloqueia na loopback, para não subir para a RE do equipamento, caso
você não deseja conectividade IPv6 nele.
O plano de encaminhamento continua enviando normalmente.

Em 25 de novembro de 2014 12:38, Joao Lyma <lyma at itsbrasil.net> escreveu:
>
> Mas se bloquearmos o ICMPv6 o IPV6 pararia de funcionar (vide a importancia
> do ICMPv6 para redes IPv6 em http://ipv6.br/entenda/funcionalidades/ )
>
> João Lima - Lyma
> Analista de Redes e Segurança
> MTCNA, MTCRE, MTCINE, JNCIA-EX, JNCIS-ER, UACA
>
>
> On 11/25/14 08:58, Danilo Marques de Gouveia wrote:
>>
>> Estou assustado com a fragilidade de alguns equipamentos, posso estar
>> errado e se eu estiver por favor me corrijam, mas entendo que Multicast,
>> por padrão, faz um flood em toda a rede mesmo que o trafego esteja
>> limitado
>> por VLANs.
>>
>>
>> http://www.foundrynet.com/services/documentation/bigiron_rx_config/current/vlan-rework.12.12.html
>>
>> Sinceramente não tentei, posso tentar bloquear o ICMPv6 nas ACLs que tenho
>> aplicadas aqui e ver o que acontece.
>>
>> Alguém já pensou nisso? Eu sei que existe o Multicast Snooping para
>> limitar
>> esse tipo de trafego na rede, mas achei um pouco confuso, alguém já
>> implementou Roteamento Multicast e principalmente de Multicast Snooping em
>> algum ambiente?
>>
>> Obrigado,
>>
>>
>> 2014-11-21 12:58 GMT-02:00 Jefferson Gondek
>> <jefferson.gondek at iveloz.net.br>
>> :
>>
>>> Bom dia...
>>>
>>>    Ja tentou criar algum filtro para ICMP correspondente a essa
>>> solicitação
>>> ???  Ou você pode tentar bloquear os IPv6 FF0 que são responsáveis pelos
>>> anuncios de ND.
>>>
>>>
>>>
>>> ----- Mensagem original -----
>>> De: "Danilo Marques de Gouveia" <dm.gouveia at gmail.com>
>>> Para: "Grupo de Trabalho de Engenharia e Operacao de Redes" <
>>> gter at eng.registro.br>
>>> Enviadas: Sexta-feira, 21 de novembro de 2014 10:14:01
>>> Assunto: [GTER] IPv6 - Flood Neighbor Solicitation
>>>
>>> Grupo, bom dia.
>>>
>>> Estou detectando muitos pacotes de IPv6 na minha rede.
>>> Fiz uma captura em um dos switches de acesso e a cada 5 segundos tenho
>>> uma
>>> média de 3500 pacotes de Multicast Neighbor Solicitation para cada 4000
>>> pacotes.
>>>
>>> Isso está consumindo CPU dos meus switches CORE que estão processando
>>> todos
>>> esses multicast (Utilizamos Brocade MLX).
>>>
>>> Por fim, achei falha de driver da Intel I217-LM
>>>
>>> <https://downloadcenter.intel.com/SearchResult.aspx?lang=eng&ProdId=3680>,
>>> porém após atualizar o driver o problema persiste.
>>>
>>> Isso acontece com Win7 e Win8 32 e 64 bits.
>>>
>>> Alguém já passou por isso? Não quero desativar o IPv6 via GPO porque isso
>>> vai atrasar nossa migração.
>>>
>>> Alguém já passou por isso? Alguma luz?
>>>
>>>
>>> Obrigado,
>>> --
>>> Danilo Marques de Gouveia
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>>
>>
>>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



-- 
Eduardo Schoedler



More information about the gter mailing list