[GTER] IPv6 - Flood Neighbor Solicitation

[Danilo Marques de Gouveia]

O melhor com certeza seria habilitar um Multicast snooping mas nem todos os
meus equipamentos na rede tem esse suporte.

Eduardo, explica melhor por favor, como assim bloquear na Loopback ?
Eu sei que se bloquear o ICMPv6 o IPv6 para de funcionar, mas como evitar
que o Flood aconteça em um ambiente LAN?

No fundo eu gostaria de de informar para todos os hosts que estão falando
em IPv6 para pedir requisição de Neighbor só para FE02::1 que seria o meu
roteador, dessa forma ele saberia todos os neighbors, mas não achei essa
opção para configurar no brocade.


2014-11-25 14:25 GMT-02:00 Eduardo Schoedler <listas at esds.com.br>:

> Bloqueia na loopback, para não subir para a RE do equipamento, caso
> você não deseja conectividade IPv6 nele.
> O plano de encaminhamento continua enviando normalmente.
>
> Em 25 de novembro de 2014 12:38, Joao Lyma <lyma at itsbrasil.net> escreveu:
> >
> > Mas se bloquearmos o ICMPv6 o IPV6 pararia de funcionar (vide a
> importancia
> > do ICMPv6 para redes IPv6 em http://ipv6.br/entenda/funcionalidades/ )
> >
> > João Lima - Lyma
> > Analista de Redes e Segurança
> > MTCNA, MTCRE, MTCINE, JNCIA-EX, JNCIS-ER, UACA
> >
> >
> > On 11/25/14 08:58, Danilo Marques de Gouveia wrote:
> >>
> >> Estou assustado com a fragilidade de alguns equipamentos, posso estar
> >> errado e se eu estiver por favor me corrijam, mas entendo que Multicast,
> >> por padrão, faz um flood em toda a rede mesmo que o trafego esteja
> >> limitado
> >> por VLANs.
> >>
> >>
> >>
> http://www.foundrynet.com/services/documentation/bigiron_rx_config/current/vlan-rework.12.12.html
> >>
> >> Sinceramente não tentei, posso tentar bloquear o ICMPv6 nas ACLs que
> tenho
> >> aplicadas aqui e ver o que acontece.
> >>
> >> Alguém já pensou nisso? Eu sei que existe o Multicast Snooping para
> >> limitar
> >> esse tipo de trafego na rede, mas achei um pouco confuso, alguém já
> >> implementou Roteamento Multicast e principalmente de Multicast Snooping
> em
> >> algum ambiente?
> >>
> >> Obrigado,
> >>
> >>
> >> 2014-11-21 12:58 GMT-02:00 Jefferson Gondek
> >> <jefferson.gondek at iveloz.net.br>
> >> :
> >>
> >>> Bom dia...
> >>>
> >>>    Ja tentou criar algum filtro para ICMP correspondente a essa
> >>> solicitação
> >>> ???  Ou você pode tentar bloquear os IPv6 FF0 que são responsáveis
> pelos
> >>> anuncios de ND.
> >>>
> >>>
> >>>
> >>> ----- Mensagem original -----
> >>> De: "Danilo Marques de Gouveia" <dm.gouveia at gmail.com>
> >>> Para: "Grupo de Trabalho de Engenharia e Operacao de Redes" <
> >>> gter at eng.registro.br>
> >>> Enviadas: Sexta-feira, 21 de novembro de 2014 10:14:01
> >>> Assunto: [GTER] IPv6 - Flood Neighbor Solicitation
> >>>
> >>> Grupo, bom dia.
> >>>
> >>> Estou detectando muitos pacotes de IPv6 na minha rede.
> >>> Fiz uma captura em um dos switches de acesso e a cada 5 segundos tenho
> >>> uma
> >>> média de 3500 pacotes de Multicast Neighbor Solicitation para cada 4000
> >>> pacotes.
> >>>
> >>> Isso está consumindo CPU dos meus switches CORE que estão processando
> >>> todos
> >>> esses multicast (Utilizamos Brocade MLX).
> >>>
> >>> Por fim, achei falha de driver da Intel I217-LM
> >>>
> >>> <
> https://downloadcenter.intel.com/SearchResult.aspx?lang=eng&ProdId=3680>,
> >>> porém após atualizar o driver o problema persiste.
> >>>
> >>> Isso acontece com Win7 e Win8 32 e 64 bits.
> >>>
> >>> Alguém já passou por isso? Não quero desativar o IPv6 via GPO porque
> isso
> >>> vai atrasar nossa migração.
> >>>
> >>> Alguém já passou por isso? Alguma luz?
> >>>
> >>>
> >>> Obrigado,
> >>> --
> >>> Danilo Marques de Gouveia
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> >>
> >>
> >>
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
>
> --
> Eduardo Schoedler
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Danilo Marques de Gouveia