Página 4 de 4 PrimeiroPrimeiro 1234
+ Responder ao Tópico



  1. #19

    Padrão

    Pessoal, a melhor maneira de centralizar tudo por aqui foi: Utilizar PPPoE, tudo em bridge, nas bridges usar filtros para passar somente pppoe-discovery e pppoe-session, assim não há nenhum broadcast, tentativas de scan no backbone (firewall e controle de banda centralizados), servidor de backup com as mesmas regras do principal (talvez até um hardware menos poderoso para quebrar o galho enquanto o principal esta off), notei que as rb´s não dão trabalho de manutenção quando em bridge, estou estudando como usar freeradius para liberar access-list da rb também.

    Desta maneira, retirei toda a sobrecarga de rede do meu backbone e a latência da rede caiu bastante, pois nesta estrutura foi possível implantar um esquema de QOS (ainda estou aprimorando, pois tenho algumas dúvidas não sanadas), cache-full apenas com algumas regras (imaginem ter que repetir as regras de qos e cache em cada rb, qual é o custo de performance), o uso do processador do servidor central, com controle de banda, qos, firewall, pppoe etc...etc... etc... com +- 100 pessoas online não passa de 5% de pico e 2~3% constantes.


    Eu exponho aqui minha opinião pessoal e experiência profissional, definitivamente BRIDGE.

  2. #20

    Padrão

    Citação Postado originalmente por rubensk Ver Post
    Se seus cliente usam Windows, você tem sim questões de broadcast... é default do Windows gerar broadcasts de protocolos de rede Microsoft.

    Todo broadcast que é gerado em IP é transmitido como broadcast de Ethernet e/ou Wi-Fi, e vai ser transmitido em baixa modulação.

    A separação que você fez apenas faz com que os broadcasts dos usuários não se misturem, o que de fato gera mais broadcast (as máquinas Windows competindo para ser master browser, por exemplo). Ela é muito positiva em fazer os clientes não se atrapalharem, mas não muda o fato de que sua estrutura de rádio está sendo utilizada para tráfego inútil que não é limitado no serviço do usuário por ser descartada pelo seu servidor de controle de banda após ter transitado pelo rádio.
    Deu uma pesquisado sobre o que você disse, esse broadcast ai pode ser bloqueado, com filtros nas portas 135-139, certo? Uma filtro na bridge resolve. O que você me diz?



  3. #21

    Padrão

    Citação Postado originalmente por Josue Guedes Ver Post
    Deu uma pesquisado sobre o que você disse, esse broadcast ai pode ser bloqueado, com filtros nas portas 135-139, certo? Uma filtro na bridge resolve. O que você me diz?
    Tem outros broadcast que não esses... mas como eu disse lá atrás, é possível com bridge+firewall bloquear os broadcasts, só que com roteamento você vai fazer isso sem firewall. Se você olhar os testes de performance da Mikrotik em
    Código :
    http://www.routerboard.com/pdf/tests_april_2009.pdf

    Você vai notar que roteamento sem conntrack dá mais performance que bridge com firewall também sem conntrack. A melhor performance da Routerboard seria de bridge sem firewall, mas aí os broadcasts vão entulhar o rádio.

    O conjunto de regras que sugiro para bridge+firewall é o seguinte caso você não use PPPoE:

    1. Aceita frames do tipo IPv4 para o endereço MAC do seu gateway
    2. Aceita frames do tipo ARP para o endereço MAC do seu gateway
    3. Aceita frames do tipo ARP para broadcast
    4. Aceita frames de DHCP client (UDP porta origem 67 porta destino 68) para broadcast
    5. Drop qualquer outra coisa

    Já para PPPoE

    1. Aceita frames do tipo PPPoE session para o endereço MAC do seu concentrador PPPoE
    2. Aceita frames do tipo PPPoE discover para broadcast
    3. Drop qualquer outra coisa


    A ordem das regras é importante para que a maior parte do tráfego útil dê match já na primeira regra.

    Então a questão é suas routerboards terem poder de processamento suficiente... notar que o ganho maior de filtrar broadcasts usando quer roteamento quer firewall se dá quando se faz isso no lado do cliente. Se você filtrar em todos os clientes, não precisa filtrar na sua repetidora.

  4. #22

    Padrão

    Ou seja, usar firewall com bridge, vai pedir mais processamento do que regras sem firewall na RB roteada.