[GTER] RES: DHCP

Rubens Kuhl rubensk at gmail.com
Tue Nov 24 11:07:24 -02 2015 

2015-11-23 23:35 GMT-02:00 Rodrigo Trevisan <rodrigo.tvs at gmail.com>:

>    Prezados, alguém já utiliza DHCP ao invés de PPPoE em redes de acesso?
>
>    Por favor, compartilhem a experiência.
>

Uma empresa em que trabalhei chegou a ter 50 mil assinantes provisionados
em DHCP. Acessos prediais via cabo (chegada no assinante com Ethernet
tipicamente, TDSL e HPNA em alguns casos), com interligação dos prédios via
rádio; os problemas que haviam foram resolvidos quando se passou a colocar
isolamento total entre assinantes, fazendo com que todo pacote enviado por
um chega apenas até o concentrador, nunca a outro assinante.

Isso já é default de OLTs FTTH, mas requer que os switches do meio caminho
também façam isso. Hoje há switches de "VLAN Fixa" muito baratos que
implementam isso, que precisa ser feito hop a hop, não pode ter buraco.

Nos rádios se colocava também regras de filtragem para que não passassem
protocolos não IP, broadcast apenas ARP e DHCP request, pacotes IP apenas
para o gateway. Isso era mais por performance da interface aérea mas
ajudava também a conter problemas se algum ponto da parte anterior fosse
esquecido. As regras eram algo como isto aqui:

rc.poststart
-----------------
#/bin/sh
GW_MAC="xx:xx:xx:xx:xx:xx"
CMD="ebtables -t nat -I PREROUTING 1"
$CMD -i eth0 -j DROP
$CMD -i eth0 -p IPV4 -d Broadcast --ip-proto UDP --ip-sport 67
--ip-dport 68  -j ACCEPT
$CMD -i eth0 -p ARP -d Broadcast -j ACCEPT
$CMD -i eth0 -p ARP -d $GW_MAC -j ACCEPT
$CMD -i eth0 -p IPV4 -d $GW_MAC -j ACCEPT
$CMD -i ath0 -j ACCEPT
ebtables -I INPUT 1 -i eth0 -j DROP


rc.prestop
--------------
#/bin/sh
ebtables -t nat -D  PREROUTING 1:6
ebtables -D INPUT 1





Bases de rádios ponto-multiponto todas configuradas para não permitir
comunicação entre as remotas, o que beneficia tanto performance quanto
segurança.

Na configuração de concentradores, lembrar de deixar o ARP em
ARP-Reply-Only, para responder a ARP request mas não ser enganado por
usuários "traquinas". Insira entradas ARP via RADIUS (ip dhcp-server
add-arp=yes, use-radius=yes, interface ethernet set etherX arp=reply-only)


Rubens

More information about the gter mailing list