Escolar Documentos
Profissional Documentos
Cultura Documentos
Resumo:
Trabalha com telecomunicações desde 2005.
Objetivos da apresentação
Bridge X Switch;
Connection tracking (conntrack);
Fasttrack;
Tabela RAW;
FastPath;
MUM Brazil 2017
5
Bridges e Switchs
- Trabalham na camada 2
- Comutação de frames acontece Switch
Bridge
em um nível diferente.
Comutação de frames passa pelo CPU Comutação de frames passa somente
(software) pelo switchchip (hardware)
RB2011UiAS-2HnD-IN
MUM Brazil 2017
7
Usando a funcionalidade de switch
Onde usar o modo switch O tráfego não
passa pela CPU.
Mesmo segmento
de rede.
MUM Brazil 2017
8
Usando a funcionalidade de bridge
Onde usar o modo bridge O tráfego passa
pela CPU.
Firewall
QoS avançado
Torch
Mesmo segmento
de rede.
MUM Brazil 2017
9
Testes de bancada Bridge e Switch
10.1.1.1/24 10.1.1.3/24
MUM Brazil 2017
10
Testes de bancada Bridge e Switch
Bridge Switch
Sem hardware-offload
Com hardware-offload
MUM Brazil 2017
13
Connection Tracking
Firewall
Chegada
Decisão
Conntrack DSTNAT de Forward SRCNAT Saída
roteamento
Output
Input
Conntrack
Decisão
de
roteamento
Processo local
MUM Brazil 2017
16
Quando preciso da conntrack habilitada?
NAT
firewall:
– connection-bytes
– connection-mark
– connection-type
– connection-state
– connection-limit
– connection-rate
– layer7-protocol
– p2p
– new-connection-mark
– tarpit
p2p matching in simple queues
MUM Brazil 2017
17
Marcas de conexões
Marcas de conexão
Internet Internet
MUM Brazil 2017
19
Onde posso desabilitar?
IPs públicos IPs privados
Internet Internet
Conntrack
desabilitada
MUM Brazil 2017
20
Consumo de CPU
Conntrack desabilitada
Conntrack habilitada
MUM Brazil 2017
21
Ainda precisa parcialmente do NAT ?
Fasttrack No-track
Sem controle de banda Controle de banda
Internet
- Precisa de NAT
- Sem controle de banda e outros recursos
MUM Brazil 2017
23
Fasttrack
Com o recurso de Fasttrack ativo os pacotes irão fazer um bypass dos seguintes recursos.
Firewall
Connection tracking
Simple queues e queue tree com parent=global
IP accounting
IPSec
Hotspot
Universal client
VRF
Comandos
/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related
MUM Brazil 2017
24
Fluxo do firewall sem fasttrack
Chegada Firewall
Prerouting RAW
Conntrack
Decisão
Prerouting DSTNAT Forward Postrouting SRCNAT
de roteamento
Saída
MUM Brazil 2017
25
Analogia do fluxo com fasttrack
Chegada Firewall
Prerouting RAW
Conntrack
Decisão
Prerouting DSTNAT Forward Postrouting SRCNAT
de roteamento
Saída
MUM Brazil 2017
26
Regra para Fasttrack
MUM Brazil 2017
27
Consumo de CPU
Com Fasttrack
Sem Fasttrack
MUM Brazil 2017
28
Onde aplicar a ação no-track ?
Internet Internet
Grande parte do tráfego usa IPs públicos Precisa ativar NAT nos roteadores internos
Pequena parte do tráfego usa IPs privados para fazer algum tipo de redirecionamento.
Ex: Pág de bloqueio
MUM Brazil 2017
29
Tabela RAW
A tabela RAW pode ser usada para fazer um bypass ou drop de pacotes antes que os pacotes cheguem até a
connection tracking e com isso consegue reduzir drasticamente a sobrecargas na CPU.
Filtros contra ataque de DoS e ou DDoS devem preferivelmente ser aplicados na tabela RAW.
Output
Saída
Input Conntrack
Decisão
de
roteamento
Output RAW
Processo local
MUM Brazil 2017
31
Consumo de CPU
Com no-track
Sem no-track
MUM Brazil 2017
32
Problemas ao cair vários túneis PPPoE
Comandos
Desativar a
Conntrack Fasttrack No-track Fast-path
Sem NAT Sem controle de banda Controle de banda Se você não usa:
- Conntrack
- Firewall
Sem marcas de
Sem filtros no firewall Filtros de firewall - Queues
conexão
- VRFs
- HotSpot
Salta alguns recursos, Preservar alguns - IPSec
Sem analise de estado mas deixa os pacotes recursos e salta a
de conexões. passarem pela conntrack para um
conntrack. tráfego específico
MUM Brazil 2017
36
Onde aplicar o FastPath?
Internet
Não utiliza os recursos abaixo?
Firewall
Controle
de
banda
VRF
IPSec
MUM Brazil 2017
37
FastPath
A função de fastpath permite encaminhar pacotes sem processamento adicional no Kernel Linux.
Com essa funcionalidade ativada conseguimos melhorar significativamente a velocidade de encaminhamento de pacotes
e reduzir muito a sobrecarga no CPU.
Chegada Firewall
Prerouting RAW
Conntrack
Decisão
Prerouting DSTNAT Forward Postrouting SRCNAT
de roteamento
Saída
MUM Brazil 2017
39
Testes de performance com fastpath.
MUM Brazil 2017
40
Ativando FastPath
MUM Brazil 2017
41
Roteador com FastPath
MUM Brazil 2017
42
MUM Brazil 2017
43
www.redesbrasil.com
Página no Canal do