[GTER] Quarentena ix.br SP - Aprendizado de MAC em Router OS

[Flavio Hayashi]

Opa Jonas,

obrigado pela resposta. Sim, já fiz a liberação completa do ICMP 
proveniente da vlan do ix.br. Até coloquei uma regra explicita com 
accept de icmp das vlans do ix.br até para monitorar os pacotes que 
estão chegando e acompanhar os testes.

Quanto aos MACs aprendidos, achei estranho, pois o ix diz que conseguiu 
ir até 340 hosts no entanto na minha tabela arp IP só aparecem uns 7 
hosts na interface. Sessões BGP e LG subiram ok

Fiz um packet sniff na porta durante os testes e parece estranho, estou 
recebendo realmente poucos pacotes arp.

Nas configurações de IP, já coloquei para 8192 max neighbor entries, e 
nesse router, como só faz BGP, tem pouquíssimas entradas na tabela.

  # PROTOCOL IP-PROTOCOL PORT PACKETS      BYTES        SHARE
  0 ip 812     124858       78.86%
  1 arp 788      33460       21.13%
  2 ip icmp                                                    302 
86228       54.46%
  3 ip tcp                                                     500 
37750       23.84%
  4 ip udp                                                      10 
880        0.55%
  5 ip       tcp         179 (bgp)                                   
500      37750 23.84%
  6 ip       tcp 44685 100       7550 4.76%
  7 ip       tcp 47035 100       7550 4.76%
  8 ip       tcp 57551 100       7550 4.76%
  9 ip       tcp 59226 98       7399 4.67%
10 ip       tcp 60531 102       7701 4.86%
11 ip       udp         53 (dns)                                      
2        132 0.08%
12 ip       udp         123 (ntp)                                     
2        112 0.07%
13 ip       udp         161 (snmp)                                    
6        636 0.4%
14 ip       udp 34304 2        132 0.08%
15 ip       udp 43667 2        112 0.07%
16 ip       udp 49804 6        636 0.4%


Em 19/12/2019 08:57, Jonas Carvalho escreveu:
> Olá Flávio,
>
> Durante os testes de quarentena você chegou a observar a quantidade máxima
> de endereços MAC que seu roteador aprende?
>
> Outro ponto que pode parecer um pouco óbvio mas que é fundamental checarmos
> para ter sucesso nos testes de flood é a liberação de ICMP para o bloco
> IPv4 de testes sinalizado pelo time de ativação do IX. Caso já esteja
> liberado, sugiro que também libere ICMP para todo bloco IPv4 que entrará em
> produção.
>
> Abraço.
>
>
> Em qui., 19 de dez. de 2019 às 08:00, Flavio Hayashi <
> flavio.hayashi at phoenixtelecom.com.br> escreveu:
>
>> Bom dia amigos,
>>
>> tenho um cliente que utiliza RouterOS como roteador de borda e migramos
>> recentemente para outro fornecedor de transporte. Tivemos de migrar a
>> porta do ix.br.
>>
>> Rodando os testes de quarentena está dando erro da quantidade de MACs
>> aprendidos. Já falei com a operadora que garantiu não haver limitações
>> por lá.
>>
>> No RouterOS, já fiz as configurações mais manjadas para aceitar uma
>> tabela ARP grande mas ainda continua com falhas.
>>
>> Alguém já passou por algo semelhante usando RouterOS?
>>
>> Configurações IPv4
>>                 ip-forward: yes
>>             send-redirects: yes
>>        accept-source-route: no
>>           accept-redirects: no
>>           secure-redirects: yes
>>                  rp-filter: loose
>>             tcp-syncookies: no
>>       max-neighbor-entries: 65535
>>                arp-timeout: 4h
>>            icmp-rate-limit: 0
>>             icmp-rate-mask: 0x1818
>>                route-cache: yes
>>            allow-fast-path: yes
>>      ipv4-fast-path-active: no
>>     ipv4-fast-path-packets: 0
>>       ipv4-fast-path-bytes: 0
>>      ipv4-fasttrack-active: yes
>>
>> Configurações IPv6
>>                          forward: yes
>>                 accept-redirects: yes-if-forwarding-disabled
>>     accept-router-advertisements: yes-if-forwarding-disabled
>>             max-neighbor-entries: 16384
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>