Tanto tempo fa, in un podcast molto, molto lontano uno dei padroni di casa sellò il suo unicorno cavallo e cominciò a spiegare come i firewall stateful funzionano:
Stateful firewall è un modo per implicare fiducia ... perché è possibile dirottare i flussi di qualcuno [...] e se l'applicazione cambia i suoi numeri di porta ... la mia porta di origine cambia quando sto comunicando con il mio server web - anche se mi sono connesso alla porta 80, la mia porta di origine potrebbe cambiare da X a Y. Una volta ho lasciato la prima attraverso, ho bisogno di tenere traccia di questi cambiamenti portuali [...]
Aspetta, cosa? Era quel ragazzo veramente cercando di dire "qualcuno può cambiare un numero di porta fonte di una sessione TCP stabilita"?
Per la cronaca, è non è possibile modificare i numeri di porta di una sessione TCP stabilita, e l'unico modo per ottenere numeri di porta diversi è passando attraverso un altro scambio di TCP SYN, che sarebbe stato trattato come una sessione TCP totalmente separata da un firewall stateful o ospiterà stack TCP.
Inoltre, è piuttosto difficile dirottare i flussi di qualcuno meno che non siate nel percorso di inoltro, in questo caso è praticamente gioco sopra comunque e firewall stateful non può fare una cosa per fermarti.
Capisco perfettamente che le persone fanno errori nelle sessioni dal vivo (in modo da fare io). Quello che non riesco a capire è che nessuno saltato e corretto, o che essa non ha ottenuto rimosso durante il montaggio finale.
Perché mi interessa?
E 'molto semplice - se si dispone di un numero significativo di lettori / ascoltatori che si fidano, come la fonte della loro conoscenza tecnica, non si può permettersi di lasciare gli errori evidenti come questo agguato in natura, perché qualcuno potrebbe in realtà si credere senza doppio controllando i crediti nei confronti di qualcosa come il protocollo TCP / IP per i manichini.
martedì 26 gennaio 2016
martedì 5 gennaio 2016
BROADCOM TOMAHAWK 101
Juniper ha recentemente lanciato il suo interruttore a base di Tomahawk (QFX5200) e comprendeva un sacco di informazioni su hardware di commutazione in una delle loro presentazioni pubbliche (simile a quello che Cisco ha fatto con Nexus 9300), così ho preso un non-NDA intravedere nel recente Broadcom chipset.
Otterrete ulteriori informazioni su QFX5200 così come altri switch basati su Tomahawk nel Data Center Tessuti aggiornamento webinar in primavera 2016.
Ecco quello che ho capito la presentazione ha detto:
Ogni porta 100 GE può essere canalizzato in 4 x 10GE, 4 x 25GE, 2 x 50GE o 1 x 40GE. Sembra che ogni porta può essere eseguito 4 corsie su entrambi i 10 Gbps o 25 Gbps;
I può essere totalmente sbagliato, ma il modo in cui ho capito le specifiche delle porte 100gE uso 100GBASE-SR4 (802.3bm) di serie e sarebbe quindi incompatibile con gli switch che utilizzano più vecchio 100GBASE-SR10 (802.3ba) standard, anche se avrebbero lavorato con tutti i 40 Gbps sensori usando 40GBASE-SR4.
Simile a Trident-2, Tomahawk diventa line-rate (3,2 Tbps) di dimensioni dei pacchetti di cui sopra 250 byte;
Presentazione sostiene instradamento overlay (VXLAN-to-VXLAN o VXLAN-to-VLAN) non è supportata, che è un po 'sorprendente come il gasdotto di inoltro include cessazione tunnel prima di L2 e L3 di ricerca, che dovrebbe essere abbastanza buono;
Il silicio commutazione ha 10 code per porta (bello!);
La latenza di commutazione è di circa 500 ns e può essere ridotto a 300 ns se il chipset è riconfigurato a fare solo semplice commutazione L2;
Tabella di inoltro unificata (UFT; voci 128K) è divisa in banchi di memoria che possono essere allocate alle voci L2, voci ARP e le voci LPM L3;
Una delle stampe nella presentazione accennata prefissi 1K LPM IPv6 più lungo di / 64;
Tomahawk supporta corrispondenza esatta di voci ACL a UFT (non TCAM). UFT dividere con il profilo di filtro-mode possono avere le voci 64K ACL, le voci di LPM 16K IP e ARP voci 8K / MAC;
Ci sono 43 code tra il silicio di commutazione e CPU, ed è possibile configurare il controllo-plane polizia parametri ciascuna coda;
L'hardware supporta etichette 16K MPLS (deve essere una tabella MPLS di ricerca indipendente, non trucchi TCAM);
TCAM affettare è troppo difficile per me capire, ma sembra che si otterrà tra i 512 e 6K voci TCAM in base alla complessità delle condizioni di accordo. In base alla lunghezza corrispondente usato da Junos si arriva fino a 512 porta- o VLAN ACL voci o fino a 1024 voci IP ACL;
TCAM non è ampia abbastanza per tutte le possibili condizioni di accordo di IPv6, quindi l'hardware utilizza la compressione indirizzo. Sembra si può avere al massimo 128 indirizzi di origine e di destinazione IPv6 in tutti i filtri distribuiti sulla scatola;
Ho perso o frainteso qualcosa? Si prega di scrivere un commento!
Otterrete ulteriori informazioni su QFX5200 così come altri switch basati su Tomahawk nel Data Center Tessuti aggiornamento webinar in primavera 2016.
Ecco quello che ho capito la presentazione ha detto:
Ogni porta 100 GE può essere canalizzato in 4 x 10GE, 4 x 25GE, 2 x 50GE o 1 x 40GE. Sembra che ogni porta può essere eseguito 4 corsie su entrambi i 10 Gbps o 25 Gbps;
I può essere totalmente sbagliato, ma il modo in cui ho capito le specifiche delle porte 100gE uso 100GBASE-SR4 (802.3bm) di serie e sarebbe quindi incompatibile con gli switch che utilizzano più vecchio 100GBASE-SR10 (802.3ba) standard, anche se avrebbero lavorato con tutti i 40 Gbps sensori usando 40GBASE-SR4.
Simile a Trident-2, Tomahawk diventa line-rate (3,2 Tbps) di dimensioni dei pacchetti di cui sopra 250 byte;
Presentazione sostiene instradamento overlay (VXLAN-to-VXLAN o VXLAN-to-VLAN) non è supportata, che è un po 'sorprendente come il gasdotto di inoltro include cessazione tunnel prima di L2 e L3 di ricerca, che dovrebbe essere abbastanza buono;
Il silicio commutazione ha 10 code per porta (bello!);
La latenza di commutazione è di circa 500 ns e può essere ridotto a 300 ns se il chipset è riconfigurato a fare solo semplice commutazione L2;
Tabella di inoltro unificata (UFT; voci 128K) è divisa in banchi di memoria che possono essere allocate alle voci L2, voci ARP e le voci LPM L3;
Una delle stampe nella presentazione accennata prefissi 1K LPM IPv6 più lungo di / 64;
Tomahawk supporta corrispondenza esatta di voci ACL a UFT (non TCAM). UFT dividere con il profilo di filtro-mode possono avere le voci 64K ACL, le voci di LPM 16K IP e ARP voci 8K / MAC;
Ci sono 43 code tra il silicio di commutazione e CPU, ed è possibile configurare il controllo-plane polizia parametri ciascuna coda;
L'hardware supporta etichette 16K MPLS (deve essere una tabella MPLS di ricerca indipendente, non trucchi TCAM);
TCAM affettare è troppo difficile per me capire, ma sembra che si otterrà tra i 512 e 6K voci TCAM in base alla complessità delle condizioni di accordo. In base alla lunghezza corrispondente usato da Junos si arriva fino a 512 porta- o VLAN ACL voci o fino a 1024 voci IP ACL;
TCAM non è ampia abbastanza per tutte le possibili condizioni di accordo di IPv6, quindi l'hardware utilizza la compressione indirizzo. Sembra si può avere al massimo 128 indirizzi di origine e di destinazione IPv6 in tutti i filtri distribuiti sulla scatola;
Ho perso o frainteso qualcosa? Si prega di scrivere un commento!
Iscriviti a:
Post (Atom)