Re: Transportar link por dentro da rede
Buenas @TsouzaR
A questão de eu não ter a principio utilizado diretamente a bridge para alcançar o link no ponto C era porque eu queria isolar o link de lá dos clientes, pois a partir do ponto B até o A, eles vão trafegar no mesmo PTP, e dai os clientes teriam acesso direto ao link, o que seria potencialmente perigoso.
Vou ver se faço isso essa madrugada já, de transformar a RB450G no ponto B em um NAS. A do ponto C não é necessário, pois ela ta lá só pra receber o link, não é uma POP de atendimento de clientes (não por enquanto pelo menos).
A questão de eu rotear a rede e deixar o acesso até o link em uma rede separada, ainda assim continuaria o problema potencial dos clientes terem a capacidade de alcançar o link diretamente. Por isso necessito isolar esse trafego. A solução que me veio inicialmente foi VLAN e MPLS, optei por VLAN por ser simplíssimo de configurar e por que, no final das contas, acrescenta o mesmo overhead no trafego.
Mas vou rotear a rede sim. A minha rede é pequena, mas vou fazer um OSPFzinho entre os poucos POPs que tem, e colocar um NAS em cada.
Re: Transportar link por dentro da rede
Citação:
Postado originalmente por
berghetti
O grande problemas das redes bridge!!!!
Re: Transportar link por dentro da rede
Citação:
Postado originalmente por
berghetti
Citação:
Postado originalmente por
emilidani
O grande problemas das redes bridge!!!!
Não é um problema tão grande, o roteamento vai funcionar normalmente, mas pelo que sei, cria um monte de conexões inúteis na rede (além de atrapalhar testes de ping e traceroute): o ponto B tem o A como gateway, mas 1 dos gateways do A é o C e todos estão na mesma rede. Quando uma conexão for aberta entre o ponto B e A, ocorrerá a notificação de redirect do ICMP e a mesma conexão será refeita do ponto B para o C.
O maior problema mesmo de uma rede totalmente em bridge é o tráfego broadcast do ARP.
Re: Transportar link por dentro da rede
Minha rede é em bridge, por enquanto, mas não tenho problema com ARP. Cada cliente só tem um único caminho possivel, que é o gateway dele (a CCR1009). E o trafego de broadcast cai SEMPRE lá, e eu posso escolher bloquear o forward ou não daquele trafego. O trafego entre clientes é, portanto, impossível, por mais que possam estar na mesma subrede.
Eu defino regras no mangle fazendo marcação para habilitar o trafego geral dentro da rede, com forward possível para qualquer porta, transformando assim um IP em específico num computador de gerência da rede.
Re: Transportar link por dentro da rede
Citação:
Postado originalmente por
inquiery
Minha rede é em bridge, por enquanto, mas não tenho problema com ARP. Cada cliente só tem um único caminho possivel, que é o gateway dele (a CCR1009). E o trafego de broadcast cai SEMPRE lá, e eu posso escolher bloquear o forward ou não daquele trafego. O trafego entre clientes é, portanto, impossível, por mais que possam estar na mesma subrede.
Eu defino regras no mangle fazendo marcação para habilitar o trafego geral dentro da rede, com forward possível para qualquer porta, transformando assim um IP em específico num computador de gerência da rede.
A única forma de bloquear a comunicação entre os clientes a nível Ethernet é fazendo isso nos pontos de acesso (desativando o default-forward em MikroTik ou ativando o Client Isolation em Ubiquiti, por exemplo).
O tráfego Ethernet só vai até o ponto de acesso do cliente (rádio, OLT, switch...), e dali segue diretamente até o destino, sem passar por roteador algum. Só passa em roteador se o tráfego for entre dispositivos conectados em portas diferentes que estão em bridge, aí é possível filtrar.
E não pode bloquear o tráfego ARP, se não você para toda a rede. Ele começa a se tornar um problema quando tem muitos dispositivos no mesmo domínio de broadcast (que só é quebrado com VLAN ou roteamento), pois todo mundo vai ficar enviando para todo mundo pacotes perguntando qual o MAC que responde por tal IP, e aí vem a resposta, mesmo estando em faixas IP diferentes. Isso resulta em um tráfego considerável, que vai usar capacidade dos equipamentos que poderiam estar atendendo a demanda dos clientes, pior ainda se os enlaces estiverem ruins ou forem muito limitados em banda.
O máximo que você está controlando na sua CCR, sem usar VLAN para cada ponto de acesso, é o tráfego IP, que também tem broadcast, mas é em maior parte necessário.
Por isso ter tudo, pontos de acesso, enlaces do backhaul, e pior ainda se nessa lista ir o CPE, é tão mal. Você não consegue controlar facilmente a comunicação Ethernet, e isso uma hora ou outra vai causar problemas, principalmente se o CPE estiver em bridge, dando ao cliente acesso ao backhaul, ou ao menos aos outros clientes no mesmo ponto de acesso.