Ugrás a tartalomhoz
  • 1

Adatsérülés új GPON csomagon


Gergely Egerváry

Kérdés

Sziasztok... vannak itt Telekom hálózatos kollégák?

Meglévő GPON végpontomon díjcsomagot váltottam 30/5-ről 1000/1000-re. Ehhez új végberendezést kaptam, a Huawei HG850a helyett egy Sagemcom F@st 5655v2 formájában. Szerencsére a firmware frissítés után megérkezett bele a PPPoE passthru lehetőség, tehát a PPPoE kapcsolatot a korábbival azonos módon én terminálom a saját Cisco routeremen.

Látszólag tehát technikailag semmi nem változott, csak az elérhető sebesség lett nagyobb.

Az átállás óta azonban komoly gondom van: a munkahelyemmel egy GRE tunnelen tartom a kapcsolatot, amiben IPv4 és IPv6 egyaránt utazik. Az IPv4 tökéletesen működik, az IPv6 azonban nem: adatsérülést tapasztalok.

Tehát: az adatsérülés a GRE tunnelbe enkapszulált adatban történik! Valami belenyúl a GRE payloadba... csak az IPv6 csomagokba! Ha a GRE tunnel alá rakok IPSec titkosítást, egyből lőn tökéletes működés... "érdekes" módon egyből sértetlenek a csomagok.

Ezt mivel érdemeltem ki? Ha valami központi szűrés, akkor eddig miért nem volt? Először a Sagemcom-ra gyanakodtam, de a PPPoE csomagokon nincs checksum hiba.

Előre is köszönöm a válaszokat.

Link kommenthez
Megosztás más oldalakon

2 válasz erre a kérdésre

Ajánlott posztok

  • 1

Szia,

a tunnelben közlekedő adatok nagy része alkalmazás-szinten (Layer 7) már titkosítva van. Az érzékenynek nevezhető adatok mind. Ha maga a tunnel is titkosítva van, akkor az nagyrészt kétszeres titkosítást jelent.

A kétszeres titkosítás első hallásra nem lenne nagy baj (a biztonságot nem lehet eléggé fokozni) ugyanakkor a titkosítás-nélküliségnek is megvan a maga oka:
- a plusz titkosítás növeli a késleltetést (latency) és jittert okoz, amit pl. a VoIP határozottan utál,
- a plusz titkosítás további 50-80 bájtot ad az IP fejlécekhez, így borzasztó alacsony lesz az MTU, amit az UDP alapú szolgáltatások egy része nem tolerál,
- gigabites kapcsolatról beszélünk, aminek a titkosításával egy felsőbb kategóriás router is vért izzad... sőt, meg sem tudja csinálni... az én routerem kb. 430 megabitnél vérzik el teljesen,
- van olyan tunnelem, aminek a túlvégén olyan partner van, akinek a rendszere nem támogat titkosítást, azzal nem tudok mit kezdeni.

Ebből leginkább a legutolsó jelenti most a problémát.

Igazából a díjcsomag-váltással én arra számítottam, hogy a sávszélesség profil módosításán túl más nem fog történni. Ehhez képest, mintha egy teljesen más infrastruktúrára kerültem volna.

üdv.

Link kommenthez
Megosztás más oldalakon

Csatlakozz a közösséghez!

Posztolhatsz regisztráció előtt is. Ha már van regisztrációd, jelentkezz be itt.

Vendég
Válaszolj a kérdésre...

×   Formázással együtt illesztetted be a tartalmat.   Formázás eltávolítása

  Only 75 emoji are allowed.

×   A linkedet automatikusan beágyaztuk.   Linkként mutatás

×   Az előző tartalmat tároltuk. .   Itt törölhetsz

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Új...