Re: Polityka bezpieczeństwa PWR PLIX vs niezawodność i wygoda.

http://www.ams-ix.net/config-guide/

4.1. Physical L2 Topology
The AMS-IX rules dictate that only one MAC address is allowed behind a
port. This means that you have to be extremely careful when connecting
a device that can act as a L2 device. In general, we do not recommend
using L2 devices between a member's router and the AMS-IX switch,
except when used as a media converter.

The reason for allowing only one MAC address that we want no
additional L2 network behind the AMS-IX ports. Extended L2 networks
are not under the control of the AMS-IX, but instabilities in a L2
network behind the AMS-IX switches can and typically do have a
negative impact on the whole exchange. Forwarding loops and spanning
tree topology changes are
good examples of this. By enforcing the one-MAC-address-per-port rule,
we effectively prevent forwarding loops and STP traffic from
intermediate L2 devices.

In short, an intermediate L2 device may only bridge frames from the
member's router to the AMS-IX port (so we see only one MAC address)
and should otherwise be completely invisible. No connected device
should bridge frames from other devices onto the AMS-IX, or talk STP
on its AMS-IX interface.

[ciach]

Jeśli dobrze przeczytasz co jest napisane powyżej, oraz co Ci
odpowiadaliśmy, to zauważysz jedną prostą rzecz:

do PLIXa wchodzisz jedną rurką gdzie jest jeden mac-address wpuszczony
- gdzie to jest wpięte po Twojej stronie to nas nie interesuje.
W szczególności zapinasz to w switcha w port accessowy z dwoma innymi
accessowymi portami w tym samym vlanie.
W obrębie switcha twoje maszyny z VRRP/CARP będą rozmawiać ze sobą, a
do PLIXa będzie wpuszczany tylko ruch z maca i ip wirtualnego (ale
przecież właśnie o to chodzi, nieprawdaż?).

Co do samej sesji BGP masz rację, będzie musiało się BGP położyć i
podnieść na drugiej maszynie, ale z tego co pamiętam to w OBSD dało
się coś z tym zrobić, żeby nie trwało to 3x KEEPALIVE.

Sylwester
PLIX
Received on Tue Jan 18 16:55:03 2011