[GTER] Firewall no ASN

Douglas Fischer fischerdouglas at gmail.com
Thu Sep 20 17:10:34 -03 2018 

Achei interessantíssimo!
Vou estudar esse carinha...

Estou gastando um tempo estudando esses 3 caras:
http://openwisp.org/whatis.html
http://www.easycwmp.org/
https://github.com/freeacs

O maior galho é como fazer eles serem gerenciados pelos parâmetros dos
sistemas de gestã.
Do contrário vira eu só vou estar tirando a dificuldade de controlar a CPE
e adicionado a dificuldade de ter dois pontos de controle.



Em qui, 20 de set de 2018 às 14:57, Marcelo Gondim <gondim at bsdinfo.com.br>
escreveu:

> Nós usamos os produtos da Anlix [1]. Quanto ao CPE vai depender se já
> tem suporte na lista deles. O sistema deles é baseado no OpenWRT.
> Aqui usamos a ONU em bridge mesmo e o router com a firmware deles
> chamada Flaxhbox.
> São 3 produtos: o Flashbox (firmware no router), Flashman (sistema de
> gerência) que no nosso caso fica em uma VM nossa aqui e o FlashApp que é
> o app pra instalar no celular do assinante para ele configurar o router
> de forma fácil e logicamente limitada para que não gere problemas. O
> sistema Flashman deles possui uma API também.
>
> [1] https://anlix.io/
>
> Em 20/09/2018 09:01, Douglas Fischer escreveu:
> > Essa parte do provisionamento muito me interessa!
> > Tá usando que tipo de CPE?
> > Usa a ONU em Bridge+Router ou a própria ONU faz roteamento?
> >
> > Provisionamento da ONU já é algo mais comum, mas o provisionamento do
> > router em separado é algo um pouco mais complicado...
> > Estou procurando um desenvolvedor de sistemas de gestão para provedores
> que
> > aceite a empreita de embutir em seu sistema as features de:
> > - Geração automática de Build customizada do OpenWRT para o provedor, com
> > direito a Logo customizada e a Embutir o endereço do server de
> > provisionamento.
> > - Servidor de provisionamento por TR69 e outros protocolos com base nas
> > informações cadastradas no sistema de gestão.
> >
> >
> >
> > Em qui, 20 de set de 2018 às 07:16, Marcelo Gondim <
> gondim at bsdinfo.com.br>
> > escreveu:
> >
> >> Oi Douglas,
> >>
> >> Então aqui em uma das cidades que atendemos, a principal tenho 6 CCRs
> >> sendo 5 com 2000 assinantes conectados e planos que variam entre 10Mbps
> >> e 50Mbps. Nessa cidade o tráfego total no pico é de quase 9Gbps. Tráfego
> >> em cada CCR dessa perto dos 2Gbps. Uma outra CCR aqui só para clientes
> >> corporativos. Aqui trabalhamos para que o IPv6 seja o mais adotado
> >> possível pois nossos técnicos na instalação do assinante habilitam o
> >> dual stack. O novo sistema que estamos usando inclusive o router que
> >> levamos para o assinante já se auto provisiona e configura IPv4 e IPv6
> >> sem intervenção do técnico. Para nós ficou muito melhor montar um
> >> servidor Linux com 2 interfaces Intel X520-SR2 com 4 portas de 10GbE e
> >> direcionar apenas os clientes de CGNAT (100.64.0.0/10) para ele. Nosso
> >> objetivo aqui é um dia nem precisar mais do CGNAT e por isso contamos
> >> com a intensificação do uso do IPv6. Tudo é uma questão de planejamento.
> >> Como nós aqui fazemos FTTH, o router colocado no assinante é de nossa
> >> responsabilidade e com o recurso de auto provisionamento, acreditamos
> >> que cada vez mais o CGNAT será menos utilizado e não o contrário.  :)
> >> Veja eu tenho 1 servidor de CGNAT atendendo 5 CCRs e não 1 pra cada CCR.
> >>
> >> Uma outra cidade que atendemos aqui o tráfego é menor, 6Gbps e só de
> >> CGNAT o consumo é de uns 300Mbps. Nessa cidade são 5 CCRs e o restante
> >> dos acessos são IPv4 público e IPv6 e também fazemos a mesma coisa, um
> >> Linux fazendo o papel de CGNAT sendo que com 1 Intel X520-SR2.
> >>
> >> Mas é como você colocou, cada um faz a abordagem que melhor se enquadra
> >> ao seu cenário sem aquilo de certo ou errado, apenas a maneira que acha
> >> melhor.
> >>
> >> Em 19/09/2018 16:29, Douglas Fischer escreveu:
> >>> Opa Marcelo!
> >>> Eu pessoalmente não gosto dessa metodologia de separar o CG-NAT do
> B-RAS.
> >>>
> >>> Prefiro tratar todas essas questões de filtragem e CG-NAT no próprio
> >> B-RAS.
> >>> Perder um pouco em performance, ganha em resiliência e escalabilidade.
> >>>
> >>>
> >>> Falando de CCR, jogando CG-NAT no B-RAS(PPPoE server) você acaba
> >> "perdendo"
> >>> um pouco de capacidade nominal em número de clientes em banda.
> >>> Se conseguia colocar 1500-1600 clientes, vai passar a colocar uns
> >>> 1100-1200(talvez nem isso dependendo do perfil de cliente).
> >>>
> >>> Mas se estiver considerando um cenário com 2 B-RAS com 1500 clientes,
> >>> e precisaria de uma 3ª e 4ª caixas só para fazer CG-NAT e sua
> respectiva
> >>> redundância...
> >>> Pegue essas 4 caixas e coloque as 4 para fazer B-RAS+CG-NAT+Filtragens
> >>> simples.
> >>> Isso dá 750 clientes por caixa, ou 1000 clientes em caso de falha de
> uma
> >>> das caixas...
> >>>
> >>> Pro CG-NAT, já vai ter que está com o Contrack ligado mesmo!
> >>> Então fazer algumas filtragens(Ex.: TCP/25, SSDP, etc) ali, não vai te
> >>> tomar tantos ciclos de processamento a mais do que já está usando...
> >>> (FastTrack pode ajudar bem a by-passar algumas coisas. RAW também.)
> >>>
> >>>
> >>>
> >>>
> >>> Em ter, 18 de set de 2018 às 22:34, Marcelo Gondim <
> >> gondim at bsdinfo.com.br>
> >>> escreveu:
> >>>
> >>>> Essa abordagem que o Rubens colocou é a melhor mesmo. Aqui usamos
> assim:
> >>>>
> >>>>
> >>>> BRAS ----- CGNAT ----- Router/Firewall --- Borda
> >>>>     |                                      |
> >>>>     +------------------------------+
> >>>>                 IPv6
> >>>>
> >>>> Em 18/09/2018 22:16, Rubens Kuhl escreveu:
> >>>>> O recomendável é um terceiro equipamento entre esses dois, em
> >>>> configuração
> >>>>> não redundante.
> >>>>>
> >>>>> BRAS - Firewall - Borda
> >>>>> +------------------------+
> >>>>>
> >>>>> Essa conexão direta entre BRAS e Borda é a que já existe hoje, e
> seria
> >>>>> contingência caso o firewall pife.
> >>>>> Dá para fazer isso em L2 ou L3 à sua escolha... se for L2 com
> >>>> spanning-tree
> >>>>> de redundância, se for L3 com OSPF de redundância. Se for L2 com
> >> firewall
> >>>>> bridge, se for L3 com firewall roteado.
> >>>>>
> >>>>> Um servidor x86, rodando RouterOS, Linux ou FreeBSD seria um bom
> >>>> candidato.
> >>>>> Rubens
> >>>>>
> >>>>>
> >>>>>
> >>>>> On Tue, Sep 18, 2018 at 9:04 PM Tárcio Dutra <
> tarcio_dutra at hotmail.com
> >>>>> wrote:
> >>>>>
> >>>>>> Boa tarde, Turma.
> >>>>>>
> >>>>>>
> >>>>>> Recentemente recebemos alguns avisos de "Os IPs abaixo são origem de
> >>>>>> ataques DDoS", tais IPs são de alguns clientes, somos um ISP.
> >>>>>>
> >>>>>> Ele pedem para bloquearmos, a exemplo, o trafego que sai através de
> >> uma
> >>>>>> porta X.
> >>>>>>
> >>>>>>
> >>>>>> Bem, devemos sempre colaborar...
> >>>>>>
> >>>>>>
> >>>>>> Tenho equipamentos Cisco e Mikrotik. O que vocês recomendam?
> >>>>>>
> >>>>>>
> >>>>>> Configurar um Firewall Foward no Router BGP, nos Concentradores
> PPPoE?
> >>>> Se
> >>>>>> eu subir um FIREWALL eu vou ter um aumento considerável no
> >> processamento
> >>>>>> dos meus equipamentos.  😖  :(
> >>>>>>
> >>>>>>
> >>>>>> Realmente gostaria de ler a experiência de vocês. Agradeço a quem me
> >>>>>> ajudar.
> >>>>>>
> >>>>>>
> >>>>>> Att,
> >>>>>>
> >>>>>> Tárcio
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


-- 
Douglas Fernando Fischer
Engº de Controle e Automação

More information about the gter mailing list