[Inclusão Digital]RES: RES: Mikrotik RouterOS v6.0 virou piada

Matheus Marmentini mm em mhnet.com.br
Segunda Fevereiro 18 18:03:29 BRT 2013 

*Então você logo irá descobrir a diversão dos estouros de tabelas MAC
em switches... quando se faz tagged-VLAN, só os membros de cada VLAN
se falam, mas todos os switches guardam todos os endereços MAC de
todos os equipamentos na rede. E como a maioria implementa
per-VLAN-MAC-table, mesmo um MAC único para várias VLANs gasta várias
entradas na tabela de decisão do switch.
O próximo passo é fazer MAC-in-MAC, VPLS, EoIP...*


A rede só é camada 2 até um certo ponto, cada segmento de VLAN é ligada em
1 interface física separada do concertador PPPOE, não temos
1 concentrador para rede toda, somando +- 40 a 50 endereços de mac por
segmento.

*É justamente o que eu falei: achar que se usando PPPoE não se precisa*
*fazer isso.*
*Até o primeiro grupo de amigos descobrir que pode colocar IP na*
*interface do computador e matar a sua rede só para jogar*
*CounterStrike, ou um usuário fazer packet flood no MAC do outro, ou*
*levantar um PPPoE Server no computador dele...*


Para impedir isto, utilizamos 1 roteador por cliente, não temos tela de
login no cliente. Porém nada impede do cliente usar o cabo que está ligado
no roteador e ligar no PC dele para encher o saco. Mesmo assim ele irá
ficar limitado a rede do condomínio.





Em 18 de fevereiro de 2013 17:48, Rubens Kuhl <rubensk em gmail.com> escreveu:

> > Geralmente em casos que tem que fazer transporte L2, não encapsulamos o
> > equipamento do cliente, logo que no nosso caso a nossa rede do
> PPPOE-Server
> > até o cliente é segmentada por VLAN.
>
> Então você logo irá descobrir a diversão dos estouros de tabelas MAC
> em switches... quando se faz tagged-VLAN, só os membros de cada VLAN
> se falam, mas todos os switches guardam todos os endereços MAC de
> todos os equipamentos na rede. E como a maioria implementa
> per-VLAN-MAC-table, mesmo um MAC único para várias VLANs gasta várias
> entradas na tabela de decisão do switch.
>
> O próximo passo é fazer MAC-in-MAC, VPLS, EoIP...
>
> > Vejo 2 problemas,
> > Primeiro, condomínios, levanta a mão ai quem tem
> > todos condomínios segmentados por vlan para não dar problema com algum
> > DHCP-Server no condominio.
>
> É justamente o que eu falei: achar que se usando PPPoE não se precisa
> fazer isso.
> Até o primeiro grupo de amigos descobrir que pode colocar IP na
> interface do computador e matar a sua rede só para jogar
> CounterStrike, ou um usuário fazer packet flood no MAC do outro, ou
> levantar um PPPoE Server no computador dele...
>
>
>
> > Segundo, hotspot, até onde sei a autenticação tem que ser feita na
> > Interface WEB, oque pode dificultar o acesso de internet para algumas
> > empresas que usam somente para interconexão ou o provimento de serviços
> > VOIP com ATA.
>
> Eu não gosto de nada que tenha login, quer seja hotspot, quer seja
> PPPoE. Mas dá para colocar isenção de hotspot por endereço MAC, basta
> criar uma vinculação IP<->MAC e colocar esse par como "bypassed".
>
> O que vejo é que o hotspot é mais fácil de desligar no futuro... não
> precisa mudar nada na configuração do usuário. Os problemas de
> escalabilidade que o Hotspot tem são bem similares ao do PPPoE, mas é
> um recurso que se pode usar temporariamente sem risco de se tornar o
> Tatu em cima do poste. É fácil de desligar.
>
> Um exemplo de real de autenticação com DHCP/RADIUS usando Simple Queues:
> - 200 usuários trafegando (ou seja, uns 400 - 500 provisionados)
> - Mikrotik ROS 4.x em RB450G (que não é nem uma RB1xxx e nem um PC).
> - 14 Mbps de tráfego
> - CPU não passa de 20%
>
> Isso usando o recurso de fila mais gastão, o de Simple Queues... mas
> como a CPU ficou baixa, acabou-se não se usando a alternativa de maior
> performance que eram pools de IPs com PCQ. Não se juntou mais usuários
> numa só caixa porque gerariam pontos que se falhassem dariam muito
> impacto no atendimento...
>
>
>
>
> Rubens
> _______________________________________________
> Inclusaodigital mailing list
> Inclusaodigital em lista.anid.com.br
> http://lista.anid.com.br/mailman/listinfo/inclusaodigital
>



-- 
Matheus Marmentini
*(49) 8419-1180*

Mais detalhes sobre a lista de discussão Inclusaodigital