Autor: Marek Moskal (moskit_at_irc.p-l)
Data: Tue 17 Jun 2003 - 17:39:07 MET DST
Adam Szendzielorz napisal(a) [15 Jun 2003]:
> Wydaje mi sie, ze TPNET wrzucil mi ACLki bo padl mi Load Balancing,
> przetestowalem i faktycznie pakiety z adresem zrodlowym przypisanym
> do danego lacza przelatuja tylko przez nie i przez jedno z
> pozostalych trzech lacz (zawsze przez to samo, bez dynamicznych
> zmian).
To nie jest ACL, tylko mechanizm uRPF (unicast Reverse Path Forwarding
check). Mechanizm ten zapobiega falszowaniu adresow zrodlowych IP przez
sprawdzanie czy adres zrodlowy otrzymanego pakietu IP odpowiada adresowi
przypisanego do danego lacza (w tablicy routingu). ZTCW uRPF zostal
nareszcie uruchomiony na routerach dostepowych.
W sytuacji klientow z pojedynczym laczem dziala to oczywiscie bardzo
dobrze, likwidujac w zasadzie mozliwosc IP spoofingu.
Jezeli posiadasz wiele laczy, to na kazdym z nich mozesz teraz wysylac
tylko i wylacznie pakiety z adresem zrodlowym przypisanym do tego lacza. W
tej sytuacji proby samodzielnego "load-balancingu" w jedna strone moga byc
skazane na niepowodzenie (chyba ze zastosuje sie translacje adresow).
Pewnie powinienes zglosic sie do Polpaku i zapytac, czy jest mozliwosc
przelaczenia dla ciebie (na twoim laczu) mechanizmu uRPF w tryb "loose"
pozwalajacy na load-balancing i multi-homing (kosztem zmniejszenia
bezpieczenstwa.
--
(moskit-at-irc.pl)
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 18:06:17 MET DST