> Czemu nie 2 komplety sesji BGP z kazdym z routerow uniknie sie zbednych
> announce/withdrawn z BGP i braku dostepnosci na czas renegocjacji sesji ?
W wariancie PLIXowym - 1 IP/MAC na port, gdy masz dysył z kraju, a nie
kabelkologię w PLIX DC, to co proponujesz też jest nie do zrobienia - chyba
że kolokując dod. switcha w PLIX DC, ale czemu to bez sensu - już opisałem.
Mimo wygłoszonej tutaj deklaracji o otwartości - PLIX ma swoje maniery i
priorytety. Czasem nawet nie maskowane regulaminem, a zwykłym - nie, bo nie.
Ale merytorycznie - niezależnie od oceny rozwiązania z VRRP - wariant 2
sesji BGP na porcie do 1 odbiorcy, który spełniłby i Twoją propozycję i
pewnie w jakimś sensie oczekiwania Rafała, wymagałby akceptacji 2 IP i 2 MAC
na porcie. Trudno mi sobie wytłumaczyć, czym 2 pary mac-ip naruszają
bezpieczeństwo względem 1 pary. Szczególnie, że w akceptowanej przez PLIX'a
wersji, można wsadzić do PLIX DC switcha, zapiąć 2 pary portów i i tak zbić
to później na 1 switchu wysyłając jakąś transmisją poza W-wę. W praktyce -
dosył do W-wy i tak pozostanie 1, a transmisje zmiksują się w 1 transmisji,
a później w 1 serwerowni odbiorcy. Dokłądnie tak samo, jak w 1 podsieci są
obydwa routery PLIXowe. Takie 2 pary są więc bardzo dalekie od dramatycznej
retoryki Sylwka o wpuszczaniu wszystkiego i braku filtrów na cokolwiek. No
ale dramatyzm oświadczenia, zaklinanie się na bezpieczeństwo i eskalacja
potencjalnych problemów, pozwalają na uduszenie przeciwnika i jego
argumentacji. Kompletnie rpzy tym nie próbując wyjaśnić, co dokładnie np. 2
pary ip-mac na porcie mogą nabroić, że należy ich tak kategorycznie zakazać.
Wedle mojej skromnej wiedzy "nie popartej sesjami z 20 IXami" - ryzyko jest
dokładnie takie samo, jak przy 1 parze ip-mac. Oczywiście pod warunkiem
zachowania dokładnie takiej samej konfiguracji bezpieczeńśtwa w zakresie
innych filtrów.
I poważnie. Zamiast demagogii, że to może wywalić "kawał polskiego
Internetu", chciałbym przeczytać - w jaki sposób.
Pozdrawiam,
-- --- Zboj (Piotr Marciniak) zboj \at/ mnc.plReceived on Thu Jan 20 19:00:03 2011
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Thu 20 Jan 2011 - 19:40:01 MET