>C'è un malinteso: se vuoi un circuito trasparente lo compri L2, non L3.
>Un VPN MPLS L3 funziona così.
Forse per trasparente si intende quello che sbandierano tutti i carrier quando
propongono mpls ai clienti, vale a dire che il tuo circuito virtuale è isolato
da tutti gli altri e dal livello fisico sottostante, quindi gestisci
l'indirizzamento in totale autonomia senza preoccuparti di eventuali conflitti.
Potrei sbagliarmi, ma probabilmente tutto quello di cui stiamo discutendo in
realtà non compromette nulla, in sostanza, se ho interpretato bene, l'icmp è
l'unico protocollo in grado di "travalicare i limiti", il traffico normale
segue l'instradamento dettato dalle logiche dell'mpls, vale a dire i tag,
ignorando il livello sottostante e quindi l'indirizzamento fisico della rete di
trasporto, a maggior ragione ignora ciò che appartiene ad altri circuiti
virtuali.
Se le cose stanno così si tratterebbe per il cliente di un problema puramente
estetico, probabilmente anche se le sue reti fossero in conflitto con indirizzi
fisici della mpls il traceroute non si bloccherebbe sui nodi intermedi ma
proseguirebbe verso la destinazione finale.
Per il carrier probabilmente si tratta di uno strumento utile al
troubleshooting, peccato che rende visibili al cliente i nodi intermedi, cosa
che abbiamo già detto non essere il massimo della sicurezza.
Ciao,
Massimo.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
