[Inclusão Digital]RES: RES: Mikrotik RouterOS v6.0 virou piada
Alexandre J. Correa (Onda)
alexandre em onda.net.br
Segunda Fevereiro 18 19:37:38 BRT 2013
Rubens,
em todo caso, essa diversão dos 'fuções' da pra controlar tambem... em
wi-fi, ativar o isolamento intra-clientes e encasular cada SSID/setor em
uma vlan .. resolve. ja que não ha comunicação L2 entre os
'registrations' ... mesmo se colocarem ips em seus computadores e
soltarem os pacotes ... nao vai haver resposta..
isso tambem faz o bloqueio do Man-in-the-middle no caso dele rodar um
pppoe-server na casa dele... ja que não havera comunicação entre os
clientes daquele AP..
ou seja, cada AP fica encasulado dentro de uma vlan.. onde, la no seu
agregador de acesso (pppoe-server), voce pode ainda colocar um filtro
(no ap tambem), permitindo somente pacotes pppoe ...
com a versao 5.x do airos por ex.. nem de switch gerenciavel precisa, da
pra fazer o rocket 'taggear' os pacotes da wlan... mikrotik nem se fala
da facilidade tambem.. :)
On 18/02/2013 17:48, Rubens Kuhl wrote:
>> Geralmente em casos que tem que fazer transporte L2, não encapsulamos o
>> equipamento do cliente, logo que no nosso caso a nossa rede do PPPOE-Server
>> até o cliente é segmentada por VLAN.
> Então você logo irá descobrir a diversão dos estouros de tabelas MAC
> em switches... quando se faz tagged-VLAN, só os membros de cada VLAN
> se falam, mas todos os switches guardam todos os endereços MAC de
> todos os equipamentos na rede. E como a maioria implementa
> per-VLAN-MAC-table, mesmo um MAC único para várias VLANs gasta várias
> entradas na tabela de decisão do switch.
>
> O próximo passo é fazer MAC-in-MAC, VPLS, EoIP...
>
>> Vejo 2 problemas,
>> Primeiro, condomínios, levanta a mão ai quem tem
>> todos condomínios segmentados por vlan para não dar problema com algum
>> DHCP-Server no condominio.
> É justamente o que eu falei: achar que se usando PPPoE não se precisa
> fazer isso.
> Até o primeiro grupo de amigos descobrir que pode colocar IP na
> interface do computador e matar a sua rede só para jogar
> CounterStrike, ou um usuário fazer packet flood no MAC do outro, ou
> levantar um PPPoE Server no computador dele...
>
>
>
>> Segundo, hotspot, até onde sei a autenticação tem que ser feita na
>> Interface WEB, oque pode dificultar o acesso de internet para algumas
>> empresas que usam somente para interconexão ou o provimento de serviços
>> VOIP com ATA.
> Eu não gosto de nada que tenha login, quer seja hotspot, quer seja
> PPPoE. Mas dá para colocar isenção de hotspot por endereço MAC, basta
> criar uma vinculação IP<->MAC e colocar esse par como "bypassed".
>
> O que vejo é que o hotspot é mais fácil de desligar no futuro... não
> precisa mudar nada na configuração do usuário. Os problemas de
> escalabilidade que o Hotspot tem são bem similares ao do PPPoE, mas é
> um recurso que se pode usar temporariamente sem risco de se tornar o
> Tatu em cima do poste. É fácil de desligar.
>
> Um exemplo de real de autenticação com DHCP/RADIUS usando Simple Queues:
> - 200 usuários trafegando (ou seja, uns 400 - 500 provisionados)
> - Mikrotik ROS 4.x em RB450G (que não é nem uma RB1xxx e nem um PC).
> - 14 Mbps de tráfego
> - CPU não passa de 20%
>
> Isso usando o recurso de fila mais gastão, o de Simple Queues... mas
> como a CPU ficou baixa, acabou-se não se usando a alternativa de maior
> performance que eram pools de IPs com PCQ. Não se juntou mais usuários
> numa só caixa porque gerariam pontos que se falhassem dariam muito
> impacto no atendimento...
>
>
>
>
> Rubens
> _______________________________________________
> Inclusaodigital mailing list
> Inclusaodigital em lista.anid.com.br
> http://lista.anid.com.br/mailman/listinfo/inclusaodigital
>
--
Sds.
Alexandre Jeronimo Correa
Sócio-Administrador
Office: +55 34 3351 3077
Onda Internet
www.onda.net.br
Mais detalhes sobre a lista de discussão Inclusaodigital