está limpando os bits ECN do cabeçalho TOS IP considerado nocivo?

Navegue suas respostas
1

Estou pensando em limpar esses bits na borda da nossa rede. Isso é considerado prejudicial ou maligno?

Alguns Backbround:

Temos tráfego de entrada da Internet para alguns dispositivos mobiloe atrás de um túnel IPSec para operadora de rede móvel GGSN. 

+----+    +--------------+       +------------+ Tunnel via +----+     +------+
|Inet|----| Border router|------>|IPSEC-Router|============|GGSN|-----|mobile|
+----+    +--------------+       +------------+ Internet   +----+     +------+

Parte deste tráfego de entrada da Internet está marcado com um TOS de 0x03, notavelmente todo o tráfego de um provedor de cabo alemão chamado UnityMedia.

Por um motivo desconhecido no momento, o IPSec Implemetation no IPSec Router decide jogar fora todos os pacotes marcados com um TOS de 0x01 ou 0x03. Quanto a isso eu tinha uma pergunta feita aqui.

Como solução alternativa, removeria os bits relacionados ao ECN do campo TOS no meu roteador de borda, mas, do outro lado, não tenho certeza se poderia gerar um novo problema fazendo isso e, portanto, minha pergunta:

Isto é considerado prejudicial ou maligno?

    
por Lairsdragon 03.02.2012 / 11:41

2 respostas

1

Não. Isso geralmente é feito por engenheiros que limpam bits do dscp, mas é a mesma ideia. Você, como engenheiro de rede, deve ser aquele que decide qual tráfego recebe prioridade ou permissões de enfileiramento especiais, não os pontos de extremidade. Também é muito provável que a maioria dos roteadores no caminho não tenha o enfileiramento do ECN ativado, definitivamente não se ele estiver passando pela Internet. Alguns roteadores e firewalls nem mesmo copiam os bits do TOS do pacote não criptografado para o cabeçalho do pacote criptografado.

Agora, no que diz respeito ao seu caso, você está executando algum aplicativo em tempo real na sua rede, como voz ou vídeo? Que tipo de roteador ou firewall você está usando para encapsular seu tráfego? Se for um dispositivo de classe empresarial, você deve ser capaz de remover os bits ECN ao atingir a interface não criptografada do roteador. Esse túnel está saindo pela internet ou por um circuito privado?

Editar:

Não é considerado mal porque é você quem é responsável pela sua rede, não pelos seus usuários. Portanto, cabe a você decidir qual tráfego deve ser transmitido e quais velocidades e filas atribuir a esse tráfego. Em geral, é considerada a melhor prática comercial remover os bits DSCP dos usuários na entrada e fazer sua própria classificação de tráfego para enfileiramento e controle de congestionamento.

Se é ou não prejudicial depende do cenário. Parece que, em seu cenário, seus usuários estão chegando da Internet em um túnel de VPN e depois voltando para a Internet em claro. Como a Internet é uma rede de melhor esforço, os bits ECN são essencialmente inúteis porque os roteadores da Internet não honram esses bits. Normalmente, a QoS e o controle de congestionamento no nível de transporte são úteis somente em uma rede na qual você pode controlar os dispositivos de ponta a ponta ou onde você tem uma taxa garantida ou SLA com o provedor.

    
por 03.02.2012 / 14:06
1

Desculpe, modifique-me se aplicável: não tenho pontos mod suficientes para votar ou adicionar comentários.

A resposta resmon6 deu sons muito ruins e ignorantes para mim. Ele fala sobre TOS e DSCP como se fosse o mesmo que ECN. ECN é totalmente diferente e deve ser deixado em paz e autorizado a trabalhar!

resmon6:

You as the network engineer should be the one who decides what traffic gets priority or special queuing permissions"

Realmente? E isso tem a ver com ECN como exatamente?

resmon6:

It's also very likely that most of the routers in the path don't have ECN queuing enabled, definitely not if it's going over the internet.

Muito longe da verdade, tanto quanto eu sei. Todos os sistemas operacionais e roteadores da última década ou mais suportam ECN e, pelo menos, o Linux tem parcialmente ativado por padrão, se bem me lembro, e certamente não "todos os roteadores da internet" desabilitar ECN. Existem algumas maçãs podres (buracos negros), mas em geral funciona.

São apenas pessoas ignorantes quebrando propositalmente ECN que tornam tal problema para outros usá-lo.

resmon6:

It is not considered evil because it is you who is responsible for your network, not your users.

Que bobagem! Enquanto o tráfego não for prejudicial, você precisa permitir que seus usuários façam o que desejam: neutralidade da rede e tudo mais. ECN é bom para todos: você e seus usuários. Sua declaração não faz sentido algum!

Tudo o que você precisa fazer para não f * ck com ECN é ignorá-lo. Simplesmente não faça nada. Por que diabos você quer desativá-lo?

Sério ... pelo menos dê uma olhada na página da Wikipédia se você não tiver ideia do que é ECN antes de responder a perguntas fingindo ser um especialista!

link

O DSCP não está lá e o único TOS está na palavra 'macintosh'! FCOL!

    
por 06.02.2012 / 12:01

Tags

Inicialização automática do servidor da diáspora quando o sistema é inicializado no ubuntu É possível usar outra lista negra com o Qlproxy? (QuintoLabs Content Security)