[GTER] Communities no IX.br
Rubens Kuhl
rubensk at gmail.com
Thu Oct 27 19:29:55 -02 2016
2016-10-27 19:08 GMT-02:00 Antonio M. Moreiras <moreiras at nic.br>:
> Em 27/10/16 17:30, Rubens Kuhl escreveu:
>
> >> O problema é que isto geraria uma inundação de ARP Request para todo
> mundo.
> >>
> > Você está assumindo que o ARP não esteja sendo controlado de outra
> forma...
> > ;-)
> > Hoje o IX tem toda a informação necessária para manter ARP funcionando na
> > matrix do IX sem nunca sequer os membros chegarem a receber requisições
> > ARP... um ambiente L2 sob controle rígido permite soluções diferentes da
> > operação usual de uma rede Ethernet.
>
> O Rubens tem razão quanto aos ARP requests. Dá pra tratar isso. Por
> exemplo, poderíamos bloquear os ARPs no core do IX, e criar um
> 'respondedor' de ARPs em cada PIX, que conhece e responde por todos os
> MACs dos participantes.
>
> O que eu não tenho certeza é sobre o comportamento dos switches caso o
> MAC não seja resolvido na rede. Ele dropa o frame? Ou ele envia o frame
> para todas as portas? Todos os switches se comportariam do mesmo jeito?
> Se os switches resolverem usar flood pra tratar o frame com MAC não
> resolvido isso pode ser um desastre.
>
Aliás, o MAC de drop é um candidato a gerador de flood... pois nunca se vê
nenhum pacote recebido dele, então ele sempre vai ser "Unknown Unicast". O
MAC de drop requer drop no primeiro ponto de ingresso, ou então ele pode se
tornar um veneno pior que o DDoS que tentava ser endereçado.
Rubens
More information about the gter
mailing list