[FUG-BR] IPFW FWD em Bridge - Luiz Souza
Renato Frederick
renato em frederick.eti.br
Sexta Outubro 4 16:40:36 BRT 2013
Em 04/10/13 14:28, Patrick Tracanelli escreveu:
>
> Eu pessoalmente não gosto da topologia em bridge. Ela é fácil vender/instalar mas não escala tão bem, e sem uma rede com Fail Open realmente em um evento de falha é bem menos trivial, envolve intervenção física ou um ambiente preparado pra redundância sem IP como 802.1w. Muita gente acha que por em bridge ou paralelo da na mesma pro hardware. Por algum motivo que mal consigo imaginar qual seja, acreditam que seja a mesma coisa. Além de diferente em consumo de recurso (sim bridge consome mais que um mero forwarding de pacote) colocar em bridge ja define uma taxa de PPS muito maior pela obvia razao de voce colocar o ISP inteiro passando ali, não apenas porta 80 que é direcionado seletivamente em um ambiente paralelo. Que em caso de falha basta parar de desviar, simples como um watchdog.sh ou watchdog no mikrotik o que for…
>
> Alem disso todo o lixo que chega numa porta vai pra outra. E isso inclui broadcast, multicast, virus hehehe. O entendimento que a mudanca não é apenas topologica normalmente é negligenciado quando se tuxa em bridge.
Somos dois! :-)
>
>> Eu sempre evitei, até porque estes patchs me cansam de aplicar, ás vezes
>> quebram na hora de aplicar, fica incompatível e prá mim uma bridge, que
>> tem que analisar tudo que passa, seja ip, tcp, udp, ipsec, gre, sei lá o
>> que mais, só prá fazer cache de um protocolo específico, é perda de
>> dinheiro, onera demais a caixa.
> Eu concordo exatamente com esse ponto.
>
>> Patrick, os softwares que vocês estão alugando que fazem a análise web,
>> tem conceito de bridge? Ao mesmo tempo, muito cliente tem receio de
>> tirar uma caixa cisco ou juniper ou mikrotik, ou sonicwall ou seja lá o
>> que esteja rodando que faz firewall ou router e colocar um novo router
>> bsd ou qq outra coisa que não conhecem. Neste caso, para análise de
>> tráfego online, uma bridge fica perfeita, até o cara obter confiança e
>> permitir usar a caixa de novo como router.
> Sim, tanto bridge quanto espelhamento de porta ou recebendo netflow ou ainda indo buscar snmp. Todas as formas possíveis ;-)
Beleza! Bom saber, fica mais fácil vislumbrar a demanda.
Valeu Patrick!
Mais detalhes sobre a lista de discussão freebsd