[GTER] IX Broadcast - Sugestão - Broadcast Clearing vs ARP Sponge

Douglas Fischer fischerdouglas at gmail.com
Wed Aug 9 11:57:38 -03 2017


Em 8 de agosto de 2017 14:42, Rubens Kuhl <rubensk at gmail.com> escreveu:

> 2017-08-08 10:56 GMT-03:00 Douglas Fischer <fischerdouglas at gmail.com>:
>
> >  B - ARP Responder + Bloqueio(redirect) de Broadcast
> >      -----------------------------------------------
> >
> >
> > Eu pessoalmente estou mais inclinado pela opção do ARP Responder, pois
> > penso que a solução do ARP Responder é basicamente reativa...
> > Eu nem tinha ideia que a técnica ARP-Responder já era utilizada em
> grandes
> > provedores de Cloud.
> >
> >
> O ARP-Responder já é padrão de soluções de EVPN.
> Já filtragem (mas sem redirect) de muito tráfego Broadcast me parece que já
> é feito no IX de SP...​


Eu fico imaginando que ​esse tipo de filtragem
 "Deixa passar BCast só para os Arp-Responders, bloqueia para todo o resto."
Não seja tão trivial de se implementar...

Aí vem a pergunta: Como resolver isso?

 - Andei lendo sobre o uso de SDN e ACLs L2 dinamicamente aplicadas
distribuídas pelas portas dos Swichs L2(Isso me lembra muito um produto do
portfolio de segurança L2 da Cisco).
Como o Broadcast vai ser encaminhados a todas as portas(Exceto as que
tiverem bloqueio) o ARP-Responder vai receber a requisição e responder com
Unicast.

 - Me passou pela cabeça alguma atuação complementar no ponto em que é
feita a Vlan Translation


E aí?


-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list