FastNetMon

Tuesday 25 November 2014

GRE, DDoS и туннели в нашей жизни и их неизменные грабли

GRE — очень большой источник проблем с MTU, если http их переживет более-менее нормально благодаря path mtu discovery, то UDP особенно с флагами «do not fragment» будет нищадно дропаться, на что пользователи будут очень сильно возмущаться. 

Поэтому вариант переброски всего трафика вообще по GRE — не лучшая идея сама по себе. vlan, MPLS или даже какой-либо из VPN с аппаратной поддержкой и поддержкой фрагментации внутри протокола - будет лучше. 

Решить проблемы GRE можно подняв MTU на магистрали (если у вас есть-таки резервный линк до компании по защите), но магистрали вряд ли захотят передавать пакеты с MTU более 1500, а чтобы GRE мог пропускать через себя пакеты с нормальным MTU — нужно пропускать по магистрали пакеты с MTU около 1524, что почти неосуществимо без долгих переговоров с конкретными аплинками. А если такая возможность есть, то скорее всего можно сделать и l2/vlan/mpls, а значит можно просто сделать свой анонс из другого места и это наиболее прямой и предпочтительный вариант «полной защиты» префиксов.

1 comment :

  1. А вот интересно, а зачем эти флаги DF вообще устанавливают?
    Как я понимаю, наличие MTU равному 1500 - это скорее такой стандарт де факто, который, по сути, в 10 процентах случаях не выполняется.
    Поэтому, на мой взгляд, лучшее решение этой проблемы - не отказ от GRE (который тут вообще никаким боком) А отказ от DF флага.

    ReplyDelete

Note: only a member of this blog may post a comment.