[GTER] DHCP

Bruno Cabral bruno at openline.com.br
Tue Nov 24 12:07:49 -02 2015 

Ola
O /32 cria isolação de broadcast, coisa que você recomendou em outro emaile RADIUS em DHCP não cria um queue da interface como PPPoE faz.
DHCP pode ser mais "simples" de implementar mas precisa de muitos "por foras"para funcionar. O que leva a coisas que não disseram ainda nessa thread
1. o controle de acesso pode ser feito desligando as LANs da ONU, remotamente(como o sugerido bloqueio da porta da DSLAM do DSL)
2. o controle de velocidade pode ser feito pela ONU (ao invés de na interfacedo cliente), assim como medição de tráfego (se a ONU implementa é outrahistória)
3. com esse controle na ONU, independe DHCP ou PPPoE - neste caso DHCP parece mais simples pro cliente
Nenhum desses controle é feito pelo DHCP. Isso é do software de gerenciamentoda OLT, que pode ser proprietário OU usar algo como RADIUS (será?)
Entendo quem defenda DHCP e quem defende PPPoE. Sistema bom é o que sesabe usar, que se conhece suas limitações e recursos.

[]s
!3runo


> 2015-11-24 11:12 GMT-02:00 Bruno Cabral :
> > DHCP com mascara/32 já é um começo
> 
> Desnecessário tanto com IP privado (onde não precisa fazer mais nada)
> quanto com IP público, mas aí requer proxy-arp.
> 
> > Mas como vincular administrativamente o mac address do cliente a ONU de
> > forma que os tradicionais métodos de hijack L2 não funcionem?
> 
> Se a OLT suportar, DHCP Option 82 te diz de que porta veio o DHCP Request.
> Mas já garantido não comunicação entre os clientes, o único tipo de hijack
> que dá para fazer é ARP, que também pode ser controlado, vide mensagem de
> hoje sobre isso.
> 
> > Operadoras a cabo utilizam certificados nos modems mas um rápido passeio
> > pelo ML mostra que ha falhas nessa "solução"
> 
> DOCSIS e xPON tem threat vectors diferentes.
> 
> > Não que PPPoE não tenha seus problemas mas consegue atribuir algum
> > controle, inclusive de velocidade e logins simultâneos, sem um custo
> > administrativo muito alto
> 
> Esses controles vem de usar RADIUS ou outra forma centralizada, não do
> protocolo usado na ponta.
> 
> Rubens

More information about the gter mailing list