[GTER] Limitação de macs - FreeBSD / PTT

Luiz Otavio O Souza lists.br at gmail.com
Mon Feb 22 11:35:14 -03 2016


2016-02-19 19:37 GMT-02:00 Antonio M. Moreiras:
> Boa noite.
>
> Em 19/02/2016 17:21, Luiz Otavio O Souza escreveu:
>> A informação no site esta equivocada, a variável net.inet.icmp.icmplim
>> não limita o número máximo de mac address no sistema e sim o número
>> máximo de repostas ICMP enviadas por segundo:
>>
>> # sysctl -d net.inet.icmp.icmplim
>> net.inet.icmp.icmplim: Maximum number of ICMP responses per second
>
> O teste que fazemos no IX.br é baseado em ICMP, então se houver uma
> limitação de ICMP pode haver um falso positivo.
>
> Nossa experiência mostra que manter essa variável no FreeBSD igual ou
> acima de 1000 pode ser necessário para que o teste de MACs funcione
> adequadamente.
>
> Nas recomendações que enviamos a todos os novos participantes, já consta
> que:
>
> "O teste de MACs (disponível apenas localidade de São Paulo) é
> importante não apenas para verificar a capacidade de aprendizado do seu
> roteador, mas principalmente para certificar que o transporte contratado
> e outros equipamentos intermediários, como switches, também possuem
> capacidade para trabalhar com a quantidade mínima de endereços MAC
> exigidos para a ligação. Durante esse teste pode ser necessário
> temporariamente relaxar as políticas de rate limit ou controle de storms
> para ICMP e ARP da porta do roteador ligada ao IX.br."
>
> Peço desculpas se não ficou claro durante o processo de ativação que
> limitações de ICMP no FreeBSD podem afetar o teste de MACs. É um
> problema relativamente comum. Vou rever o procedimento com nossa equipe
> para que a informação seja mais clara no futuro.

Moreiras,

No FreeBSD, com configuração padrão, você vai receber uma mensagem
(via syslog _e_ console) de que o limite ICMP foi atingido,
facilitando o debug nesse caso.

Sabendo desse limite nos equipamentos (e o FreeBSD não deve ser o
único a controlar as repostas ICMP), vocês podiam implementar um
limite do numero de mensagens ICMP enviadas por segundo.

Se você limitar a 100 'pings' por segundo, voce ainda pode testar
6.000 IPs em um minuto.

Outra alternativa é pedir que o participante configure um daemon em um
porta especifica para testes, algo simples (netcat, inetd, etc.) e
fazer os testes utilizando TCP.

Att.,
Luiz



More information about the gter mailing list