Witam,

Wydaje mi sie, ze TPNET wrzucil mi ACLki bo padl mi Load Balancing,
przetestowalem i faktycznie pakiety z adresem zrodlowym przypisanym do
danego lacza przelatuja tylko przez nie i przez jedno z pozostalych trzech
lacz (zawsze przez to samo, bez dynamicznych zmian).

Technik w w-wie twierdzi ze nie ma zadnych ACLek i oni ruchu nie
ograniczaja w zaden sposob.

Zauwazyliscie cos podobnego?
pozdr.

--
Adam Szendzielorz, adam [at] konta.pl
tel., sms: 602 461 806, http://www.konta.pl
GSF 600S '03 (black), LTD 440 '81 (black)

do góry

On Mon, 16 Jun 2003 07:35:59 +0000 (UTC), Adam Szendzielorz
<a...@N...pl> wrote:

> Technik w w-wie twierdzi ze nie ma zadnych ACLek i oni ruchu nie
> ograniczaja w zaden sposob.

A takie pytanie pomocnicze. Czy miałeś wykupiony u nich
load-balancing, czy też skonfigurowałeś go jeszcze przed
pojawieniem się tej pozycji w cenniku? Bo może chcą zmusić
klientów do zakupu load-balancingu?

r.
--
____________________________________________________
________
robert rędziak 323GT-R GK Śnieżka ST http://klubsubaru.pl
Właściciel powyższej sygnaturki jest osobnikiem aspołecznym!
Kontakt może zakończyć się serią bolesnych zastrzyków!

do góry

Robert Rędziak wrote:
>
> A takie pytanie pomocnicze. Czy miałeś wykupiony u nich
> load-balancing, czy też skonfigurowałeś go jeszcze przed
> pojawieniem się tej pozycji w cenniku? Bo może chcą zmusić
> klientów do zakupu load-balancingu?

Mi w ten sposób truli życie już z 1,5 roku temu.
Co chwilę udawali, że "zapomnieli", iż był LB.

--
Marcin Kulas

do góry

Witam,

> A takie pytanie pomocnicze. Czy miałeś wykupiony u nich
> load-balancing, czy też skonfigurowałeś go jeszcze przed
> pojawieniem się tej pozycji w cenniku? Bo może chcą zmusić
> klientów do zakupu load-balancingu?

Mialem wlasnorecznie skonfigurowany Load Balancing wyjsciowy
(w strone Internetu) - w druga strone oczywiscie bez ingerencji TPSA
sie nie obedzie. Tylko taki LB jest mi potrzebny, wejscie dla mnie
moze byc x * 2Mbit. W sobote wieczorem (kiedy zastrzegaja sobie
okienko serwisowe) na trzy sposrod czterech laczy zalozone zostaly
ACLki skutecznie rozwalajac na pysk moja konfiguracje.

Po wyslaniu poprzedniego posta przeprowadzilem szereg testow
i praktycznych prob ktore w 100% potwierdzaja zalozenie ACLek,
nie moge sie mylic :)

Coz, dla mnie to nawet nie jest uciazliwosc, tak czy inaczej poradze
sobie z inteligentnym i dynamicznym podzialem obciazenia ruchu na
laczach, nawet nie mam nic TPSA za zle - w koncu w ten sposob
dbaja o "czystosc" swoich lacz i w jakis sposob o bezpieczenstwo
(ograniczenie mozliwosci spoofingu etc) ale technicy mogliby
przynajmniej sie nie wypierac, marnujac mi 3-4h na wykonanie
gruntownych testow w celu stwierdzenia czy to na pewno to :)
pozdr.


--
Adam Szendzielorz, adam [at] konta.pl
tel., sms: 602 461 806, http://www.konta.pl
GSF 600S '03 (black), LTD 440 '81 (black)

do góry

> Wydaje mi sie, ze TPNET wrzucil mi ACLki bo padl mi Load Balancing,
> przetestowalem i faktycznie pakiety z adresem zrodlowym przypisanym do
> danego lacza przelatuja tylko przez nie i przez jedno z pozostalych trzech
> lacz (zawsze przez to samo, bez dynamicznych zmian).
>
> Technik w w-wie twierdzi ze nie ma zadnych ACLek i oni ruchu nie
> ograniczaja w zaden sposob.
>
> Zauwazyliscie cos podobnego?
> pozdr.
>
To nie musza byc ACL-ki.Mogli wlaczyc mechanizm zwany unicast reverse
path-forwarding .W skrocie polega to na sprawdzeniu czy dany adres zrodlowy
wedlug unicastowego RIBa jest osiagalny przez ten interfejs na ktorym
wlasnie sie pojawil pakiet(sa tutal mozliwe warianty - nie tylko sprawdzenie
actywnych wpisow w ribie ale rowniez drog zapasowych - np
unicast-reverse-path feasible-paths w juniperze).
Doskonale sie nadaje do uciecia spoofingu adresow zrodlowych i roznych
atakow u samego zrodla.
Mozliwe ze TPSA sukcesywnie to wprowadza na routerach dostepowych.

Piotr Marecki

do góry

Adam Szendzielorz napisal(a) [15 Jun 2003]:

> Wydaje mi sie, ze TPNET wrzucil mi ACLki bo padl mi Load Balancing,
> przetestowalem i faktycznie pakiety z adresem zrodlowym przypisanym
> do danego lacza przelatuja tylko przez nie i przez jedno z
> pozostalych trzech lacz (zawsze przez to samo, bez dynamicznych
> zmian).

To nie jest ACL, tylko mechanizm uRPF (unicast Reverse Path Forwarding
check). Mechanizm ten zapobiega falszowaniu adresow zrodlowych IP przez
sprawdzanie czy adres zrodlowy otrzymanego pakietu IP odpowiada adresowi
przypisanego do danego lacza (w tablicy routingu). ZTCW uRPF zostal
nareszcie uruchomiony na routerach dostepowych.

W sytuacji klientow z pojedynczym laczem dziala to oczywiscie bardzo
dobrze, likwidujac w zasadzie mozliwosc IP spoofingu.

Jezeli posiadasz wiele laczy, to na kazdym z nich mozesz teraz wysylac
tylko i wylacznie pakiety z adresem zrodlowym przypisanym do tego lacza. W
tej sytuacji proby samodzielnego "load-balancingu" w jedna strone moga byc
skazane na niepowodzenie (chyba ze zastosuje sie translacje adresow).

Pewnie powinienes zglosic sie do Polpaku i zapytac, czy jest mozliwosc
przelaczenia dla ciebie (na twoim laczu) mechanizmu uRPF w tryb "loose"
pozwalajacy na load-balancing i multi-homing (kosztem zmniejszenia
bezpieczenstwa.

--
(moskit-at-irc.pl)

do góry