[GTER] CGNAT - Aonde colocar?
Douglas Fischer
fischerdouglas at gmail.com
Fri Dec 8 14:48:45 -02 2017
Aproveitando a deixa...
Motivado pela proposta de "CPE Virtualizado no CPD do ISP" do Marcelo
Barcelos da Smart6/Datacom, e pensando na possibilidade de colocar esse
Ponto de Nat mas perto da borda o possível uma possibilidade me surgiu:
- E se eu eu delgar um /24 para cada cliente?
- Fazendo esses IPs inválidos da rede interna do
cliente serem enxergados por toda minha rede
interna e redes dos demais clientes...
(replicando a ideia do v6)
- Existe Prefix-Delagation para DHCPv4?
Os pontos positivos são bem evidentes...
Mas quais seriam os contras dessa proposta?
O primeiro problema óbvio é a questão da segurança inter-clientes.
O a receita de bolo Nat-Overload(Masquerade) inibe conexões entrantes, e
isso teria que ser tratado por firewall.
Em 7 de dezembro de 2017 17:02, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:
> Assistindo as palestras da semana da infra essa dúvida voltou a minha
> cabeça...
>
> Dando uma olhada rápida na https://tools.ietf.org/html/rfc6598 não
> identifiquei uma definição clara sobre se:
> (a)- esse NAT deve ser feita mais perto do cliente o possível(B-RAS/IPoE),
> (b)- ou se esse NAT deve ser feita mais perto da borda da internet o
> possível(Firewall/Core).
>
> Já ví os dois casos!
> E ambos tem vantagens e desvantagens.
>
> O caso A torna a coisa muito mais simples, mas tira a granularidade dentro
> da rede.
> Um exemplo é sabre quem está consultando seu servidor DNS-Recursivo.
> O próprio Google recomenda que os IPs inválidos cheguem diretamente no
> GGC(caso esteja internalizado).
>
> Vale lembrar que ambos os caso são facilmente contornáveis
> com NAT-EXEMPT para os destinos desejados caso o CGNAT seja
> feito perto do usuário.
>
> O caso B cria mais um ponto de alto uso de performance computacional.
> (P.S.: Me lembra a Internet paralela da AOL).
>
>
> E aí? Qual é o jeito certo?
> (Pergunta propositalmente capciosa)
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list