Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. Buenas @TsouzaR

    A questão de eu não ter a principio utilizado diretamente a bridge para alcançar o link no ponto C era porque eu queria isolar o link de lá dos clientes, pois a partir do ponto B até o A, eles vão trafegar no mesmo PTP, e dai os clientes teriam acesso direto ao link, o que seria potencialmente perigoso.

    Vou ver se faço isso essa madrugada já, de transformar a RB450G no ponto B em um NAS. A do ponto C não é necessário, pois ela ta lá só pra receber o link, não é uma POP de atendimento de clientes (não por enquanto pelo menos).

    A questão de eu rotear a rede e deixar o acesso até o link em uma rede separada, ainda assim continuaria o problema potencial dos clientes terem a capacidade de alcançar o link diretamente. Por isso necessito isolar esse trafego. A solução que me veio inicialmente foi VLAN e MPLS, optei por VLAN por ser simplíssimo de configurar e por que, no final das contas, acrescenta o mesmo overhead no trafego.

    Mas vou rotear a rede sim. A minha rede é pequena, mas vou fazer um OSPFzinho entre os poucos POPs que tem, e colocar um NAS em cada.

  2. Citação Postado originalmente por berghetti Ver Post
    ICMP redirect é problema? @TsouzaR
    O grande problemas das redes bridge!!!!



  3. Citação Postado originalmente por berghetti Ver Post
    ICMP redirect é problema? @TsouzaR
    Citação Postado originalmente por emilidani Ver Post
    O grande problemas das redes bridge!!!!
    Não é um problema tão grande, o roteamento vai funcionar normalmente, mas pelo que sei, cria um monte de conexões inúteis na rede (além de atrapalhar testes de ping e traceroute): o ponto B tem o A como gateway, mas 1 dos gateways do A é o C e todos estão na mesma rede. Quando uma conexão for aberta entre o ponto B e A, ocorrerá a notificação de redirect do ICMP e a mesma conexão será refeita do ponto B para o C.

    O maior problema mesmo de uma rede totalmente em bridge é o tráfego broadcast do ARP.

  4. Minha rede é em bridge, por enquanto, mas não tenho problema com ARP. Cada cliente só tem um único caminho possivel, que é o gateway dele (a CCR1009). E o trafego de broadcast cai SEMPRE lá, e eu posso escolher bloquear o forward ou não daquele trafego. O trafego entre clientes é, portanto, impossível, por mais que possam estar na mesma subrede.

    Eu defino regras no mangle fazendo marcação para habilitar o trafego geral dentro da rede, com forward possível para qualquer porta, transformando assim um IP em específico num computador de gerência da rede.



  5. Citação Postado originalmente por inquiery Ver Post
    Minha rede é em bridge, por enquanto, mas não tenho problema com ARP. Cada cliente só tem um único caminho possivel, que é o gateway dele (a CCR1009). E o trafego de broadcast cai SEMPRE lá, e eu posso escolher bloquear o forward ou não daquele trafego. O trafego entre clientes é, portanto, impossível, por mais que possam estar na mesma subrede.

    Eu defino regras no mangle fazendo marcação para habilitar o trafego geral dentro da rede, com forward possível para qualquer porta, transformando assim um IP em específico num computador de gerência da rede.
    A única forma de bloquear a comunicação entre os clientes a nível Ethernet é fazendo isso nos pontos de acesso (desativando o default-forward em MikroTik ou ativando o Client Isolation em Ubiquiti, por exemplo).

    O tráfego Ethernet só vai até o ponto de acesso do cliente (rádio, OLT, switch...), e dali segue diretamente até o destino, sem passar por roteador algum. Só passa em roteador se o tráfego for entre dispositivos conectados em portas diferentes que estão em bridge, aí é possível filtrar.

    E não pode bloquear o tráfego ARP, se não você para toda a rede. Ele começa a se tornar um problema quando tem muitos dispositivos no mesmo domínio de broadcast (que só é quebrado com VLAN ou roteamento), pois todo mundo vai ficar enviando para todo mundo pacotes perguntando qual o MAC que responde por tal IP, e aí vem a resposta, mesmo estando em faixas IP diferentes. Isso resulta em um tráfego considerável, que vai usar capacidade dos equipamentos que poderiam estar atendendo a demanda dos clientes, pior ainda se os enlaces estiverem ruins ou forem muito limitados em banda.

    O máximo que você está controlando na sua CCR, sem usar VLAN para cada ponto de acesso, é o tráfego IP, que também tem broadcast, mas é em maior parte necessário.

    Por isso ter tudo, pontos de acesso, enlaces do backhaul, e pior ainda se nessa lista ir o CPE, é tão mal. Você não consegue controlar facilmente a comunicação Ethernet, e isso uma hora ou outra vai causar problemas, principalmente se o CPE estiver em bridge, dando ao cliente acesso ao backhaul, ou ao menos aos outros clientes no mesmo ponto de acesso.






Tópicos Similares

  1. Link dentro da rede
    Por marcello91 no fórum Redes
    Respostas: 5
    Último Post: 16-02-2012, 13:39
  2. Limitando o número de conexões por host da rede
    Por nataniel no fórum Servidores de Rede
    Respostas: 5
    Último Post: 23-08-2006, 18:33
  3. Site dentro da rede não aparece fora dela...
    Por arouca no fórum Servidores de Rede
    Respostas: 7
    Último Post: 05-01-2006, 13:09
  4. Apache só p/ dentro da rede
    Por doliveira no fórum Servidores de Rede
    Respostas: 3
    Último Post: 09-12-2003, 14:45
  5. Trafego estranho dentro da rede!!
    Por no fórum Servidores de Rede
    Respostas: 3
    Último Post: 18-07-2003, 11:46

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L