[GTER] Limitação de macs - FreeBSD / PTT
Luiz Otavio O Souza
lists.br at gmail.com
Mon Feb 22 11:35:14 -03 2016
2016-02-19 19:37 GMT-02:00 Antonio M. Moreiras:
> Boa noite.
>
> Em 19/02/2016 17:21, Luiz Otavio O Souza escreveu:
>> A informação no site esta equivocada, a variável net.inet.icmp.icmplim
>> não limita o número máximo de mac address no sistema e sim o número
>> máximo de repostas ICMP enviadas por segundo:
>>
>> # sysctl -d net.inet.icmp.icmplim
>> net.inet.icmp.icmplim: Maximum number of ICMP responses per second
>
> O teste que fazemos no IX.br é baseado em ICMP, então se houver uma
> limitação de ICMP pode haver um falso positivo.
>
> Nossa experiência mostra que manter essa variável no FreeBSD igual ou
> acima de 1000 pode ser necessário para que o teste de MACs funcione
> adequadamente.
>
> Nas recomendações que enviamos a todos os novos participantes, já consta
> que:
>
> "O teste de MACs (disponível apenas localidade de São Paulo) é
> importante não apenas para verificar a capacidade de aprendizado do seu
> roteador, mas principalmente para certificar que o transporte contratado
> e outros equipamentos intermediários, como switches, também possuem
> capacidade para trabalhar com a quantidade mínima de endereços MAC
> exigidos para a ligação. Durante esse teste pode ser necessário
> temporariamente relaxar as políticas de rate limit ou controle de storms
> para ICMP e ARP da porta do roteador ligada ao IX.br."
>
> Peço desculpas se não ficou claro durante o processo de ativação que
> limitações de ICMP no FreeBSD podem afetar o teste de MACs. É um
> problema relativamente comum. Vou rever o procedimento com nossa equipe
> para que a informação seja mais clara no futuro.
Moreiras,
No FreeBSD, com configuração padrão, você vai receber uma mensagem
(via syslog _e_ console) de que o limite ICMP foi atingido,
facilitando o debug nesse caso.
Sabendo desse limite nos equipamentos (e o FreeBSD não deve ser o
único a controlar as repostas ICMP), vocês podiam implementar um
limite do numero de mensagens ICMP enviadas por segundo.
Se você limitar a 100 'pings' por segundo, voce ainda pode testar
6.000 IPs em um minuto.
Outra alternativa é pedir que o participante configure um daemon em um
porta especifica para testes, algo simples (netcat, inetd, etc.) e
fazer os testes utilizando TCP.
Att.,
Luiz
More information about the gter
mailing list