duza tablica arp

[Jacek Konieczny]

On Thu, Feb 07, 2002 at 04:00:45PM +0100, Blues wrote:
> On Thu, 7 Feb 2002, --s+ wrote:
> > > Mam na routerze bardzo dużą tablicę arp (aktualnie 2500 wpisów). Jest to 
> > > statyczny arp. I jest problem, kiedy chciałem powiększyć o kolejny 1k 
> > > (tak, tak, niektórzy mają takie potrzeby :) ).
> > A mógłbyś w wolnym czasie napisać, po co ci ten statyczny arp?
> 
> Jak inaczej zablokujesz podszywanie się ludzi pod nie-swoje IP + 
> zablokujesz możliwość wychodzenia po wpisanych na sztywno wolnych IP?
> To wszystko mi załatwia statyczny arp właśnie. Tak, wiem, MAC'a można 
> sobie zmienić, ale: trzeba wiedzieć na jakiego i jeszcze umieć to zrobić. 
> Margines ludzie wie/umie to zrobić.
> Próbowałem wczoraj to załatwić iptables'ami i mało routera nie położyłem. 
> Za duże obciążenie (na tej maszynie "troszkę" duży ruch mam).
> 
> Jeżeli pokażesz mi lepsze rozwiązanie... o ja jestem chętny :)
Ten statyczny ARP masz tylko dla istniejących maszyn, czy też na
nieużywane adresy? Kiedyś miałem na wszystkie adresy, ale jak doszła
któraś z kolei sieć to się zaczynały problemy (nauczyłem sobie z nimi
radzić) i to ARP straaasznie długo się ładowało.
Teraz nieużywane adresy blokuję przez route "blackhole", a static-arp
zostawiłem tylko na uzywanych adresach. Jest o niebo lepiej.
Musiałem sobie jeszcze napisać skrypcik, który agreguje nieużywane
adresy w jaknajwiększe podsieci, żeby za dużo tych tras nie było.

# ip neighb show | wc -l
    832
# ip link show | grep eth | wc -l
     49
# ip route show table bh | wc -l
    136
(to ostatnie to ilość wpisów z trasami "blackhole").

Pozdrowienia,
        Jacek