[GTER] IX Broadcast - Sugestão - Broadcast Clearing vs ARP Sponge
Rafael Ganascim
rganascim at gmail.com
Wed Aug 9 15:05:13 -03 2017
Pessoal,
Muito interessante esta discussão!
Como este tráfego de broadcast seria desviado ao ARP responder? Seria via
SDN/OpenFlow/etc ou nos switches do IX existe algum recurso que dê para
programar o L2 para enviar este tipo de tráfego para outro lugar?
E teria que suportar desviar ARP somente das vlans do ATM, correto?
Em 9 de agosto de 2017 14:50, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:
> Há também que se lembrar da questão do ponto único de falha do
> ARP-Responder.
> É imprescindível que haja alta disponibilidade nesse recurso.
> (Falhas físicas ou lógicas desse serviço, Isolamento de PIX, etc...)
>
> "Quantos?" e "Aonde" são outras duas perguntas muito boas também.
> A meu ver, ladeando cada um dos RouteServers é uma boa resposta.
>
>
> Será que já existem protocolos desenvolvidos para H.A. desse tipo de
> serviço?
>
>
>
>
>
>
> Em 9 de agosto de 2017 11:57, Douglas Fischer <fischerdouglas at gmail.com>
> escreveu:
>
> >
> >
> > Em 8 de agosto de 2017 14:42, Rubens Kuhl <rubensk at gmail.com> escreveu:
> >
> >> 2017-08-08 10:56 GMT-03:00 Douglas Fischer <fischerdouglas at gmail.com>:
> >>
> >> > B - ARP Responder + Bloqueio(redirect) de Broadcast
> >> > -----------------------------------------------
> >> >
> >> >
> >> > Eu pessoalmente estou mais inclinado pela opção do ARP Responder, pois
> >> > penso que a solução do ARP Responder é basicamente reativa...
> >> > Eu nem tinha ideia que a técnica ARP-Responder já era utilizada em
> >> grandes
> >> > provedores de Cloud.
> >> >
> >> >
> >> O ARP-Responder já é padrão de soluções de EVPN.
> >> Já filtragem (mas sem redirect) de muito tráfego Broadcast me parece que
> >> já
> >> é feito no IX de SP...
> >
> >
> > Eu fico imaginando que esse tipo de filtragem
> > "Deixa passar BCast só para os Arp-Responders, bloqueia para todo o
> > resto."
> > Não seja tão trivial de se implementar...
> >
> > Aí vem a pergunta: Como resolver isso?
> >
> > - Andei lendo sobre o uso de SDN e ACLs L2 dinamicamente aplicadas
> > distribuídas pelas portas dos Swichs L2(Isso me lembra muito um produto
> do
> > portfolio de segurança L2 da Cisco).
> > Como o Broadcast vai ser encaminhados a todas as portas(Exceto as que
> > tiverem bloqueio) o ARP-Responder vai receber a requisição e responder
> com
> > Unicast.
> >
> > - Me passou pela cabeça alguma atuação complementar no ponto em que é
> > feita a Vlan Translation
> >
> >
> > E aí?
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> >
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list