[GTER] Communities no IX.br
Rafael Ganascim
rganascim at gmail.com
Thu Oct 27 17:16:43 -02 2016
Em 27 de outubro de 2016 16:56, Rubens Kuhl <rubensk at gmail.com> escreveu:
> 2016-10-27 16:42 GMT-02:00 Henrique de Moraes Holschuh <hmh at hmh.eng.br>:
>
> > On Thu, 27 Oct 2016, Rafael Ganascim wrote:
> > > ainda apoio a idéia de um next-hop de drop dentro do L2 do IX.
> >
> > Essa técnica foi implementada com muito sucesso no DE-CIX.
> >
> > Pelo que entendi, no DE-CIX usaram na verdade um "MAC de drop", assim
> > não onera filtro L3 nas matrizes de comutação da switch e permite
> > early-drop no ASIC. O filtro L2 descarta *na entrada da porta* qualquer
> > pacote com destino ao "MAC de deblackhole".
> >
> > O route server troca o nexthop do que for tomar blackhole para um
> > nexthop que é detalhe de implementação interno, e que vai responder no
> > plano de controle L2 (ARP, ICMPv6 ND) com o MAC de blackhole.
> >
>
> Eu tenho impressão de que um IP de drop seja melhor que um MAC de drop, por
> poder evitar que o pacote sequer ingresse na matriz do IX... para esse IP
> se garante que nunca vai resolver nem ARP nem ICMPv6 ND, e aí o pacote vai
> ter que ser descartado já no roteador do participante por falta de saber
> para que MAC mandar.
>
>
O problema é que isto geraria uma inundação de ARP Request para todo mundo.
Como o Henrique falou, prefixos em blackhole recebem um IP de next-hop com
X. Para o IP X, o próprio "blackhole-server" responde com o MAC D nas
requisições ARP.
E nas tabelas L2 dos switches, DROP em qualquer quadro destinado ao mac D.
Tudo em ASIC.
More information about the gter
mailing list