[GTER] Firewall no ASN
Douglas Fischer
fischerdouglas at gmail.com
Wed Sep 19 16:29:06 -03 2018
Opa Marcelo!
Eu pessoalmente não gosto dessa metodologia de separar o CG-NAT do B-RAS.
Prefiro tratar todas essas questões de filtragem e CG-NAT no próprio B-RAS.
Perder um pouco em performance, ganha em resiliência e escalabilidade.
Falando de CCR, jogando CG-NAT no B-RAS(PPPoE server) você acaba "perdendo"
um pouco de capacidade nominal em número de clientes em banda.
Se conseguia colocar 1500-1600 clientes, vai passar a colocar uns
1100-1200(talvez nem isso dependendo do perfil de cliente).
Mas se estiver considerando um cenário com 2 B-RAS com 1500 clientes,
e precisaria de uma 3ª e 4ª caixas só para fazer CG-NAT e sua respectiva
redundância...
Pegue essas 4 caixas e coloque as 4 para fazer B-RAS+CG-NAT+Filtragens
simples.
Isso dá 750 clientes por caixa, ou 1000 clientes em caso de falha de uma
das caixas...
Pro CG-NAT, já vai ter que está com o Contrack ligado mesmo!
Então fazer algumas filtragens(Ex.: TCP/25, SSDP, etc) ali, não vai te
tomar tantos ciclos de processamento a mais do que já está usando...
(FastTrack pode ajudar bem a by-passar algumas coisas. RAW também.)
Em ter, 18 de set de 2018 às 22:34, Marcelo Gondim <gondim at bsdinfo.com.br>
escreveu:
> Essa abordagem que o Rubens colocou é a melhor mesmo. Aqui usamos assim:
>
>
> BRAS ----- CGNAT ----- Router/Firewall --- Borda
> | |
> +------------------------------+
> IPv6
>
> Em 18/09/2018 22:16, Rubens Kuhl escreveu:
> > O recomendável é um terceiro equipamento entre esses dois, em
> configuração
> > não redundante.
> >
> > BRAS - Firewall - Borda
> > +------------------------+
> >
> > Essa conexão direta entre BRAS e Borda é a que já existe hoje, e seria
> > contingência caso o firewall pife.
> > Dá para fazer isso em L2 ou L3 à sua escolha... se for L2 com
> spanning-tree
> > de redundância, se for L3 com OSPF de redundância. Se for L2 com firewall
> > bridge, se for L3 com firewall roteado.
> >
> > Um servidor x86, rodando RouterOS, Linux ou FreeBSD seria um bom
> candidato.
> >
> >
> > Rubens
> >
> >
> >
> > On Tue, Sep 18, 2018 at 9:04 PM Tárcio Dutra <tarcio_dutra at hotmail.com>
> > wrote:
> >
> >> Boa tarde, Turma.
> >>
> >>
> >> Recentemente recebemos alguns avisos de "Os IPs abaixo são origem de
> >> ataques DDoS", tais IPs são de alguns clientes, somos um ISP.
> >>
> >> Ele pedem para bloquearmos, a exemplo, o trafego que sai através de uma
> >> porta X.
> >>
> >>
> >> Bem, devemos sempre colaborar...
> >>
> >>
> >> Tenho equipamentos Cisco e Mikrotik. O que vocês recomendam?
> >>
> >>
> >> Configurar um Firewall Foward no Router BGP, nos Concentradores PPPoE?
> Se
> >> eu subir um FIREWALL eu vou ter um aumento considerável no processamento
> >> dos meus equipamentos. 😖 :(
> >>
> >>
> >> Realmente gostaria de ler a experiência de vocês. Agradeço a quem me
> >> ajudar.
> >>
> >>
> >> Att,
> >>
> >> Tárcio
> >> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> >>
> > --
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list