[Ninux-Calabria] Topologia Cosenza autoaggiornante (era: attivazione Ulisse02)

[Giuseppe De Marco]

Il 27 dicembre 2014 17:21, Stefano De Carlo <stefanauss a gmail.com> ha scritto:
> Il 27/12/2014 16:49, Giuseppe De Marco ha scritto:
>>>
>>> Non sono sicuro se ho capito bene che intendi, ma per farla breve: con la tua config attuale, funziona perchè hai una sola antenna. Se per ipotesi avessi una seconda antenna AP con lo stesso numero di client sparsi per la città che ha NewSpig, l'intera topologia di Cosenza sarebbe un reticolato infinito (non corrispondente alla realtà), perché tutti si collegherebbero con tutti a L2.
>> Se newSpig ha la client isolation non c'è l2 se non peer2peer, lo
>> stesso vale se capizzanux avesse 2 antenne come supernodo con l'ap in
>> CI, corregimi se sbaglio. Se c'è CI la rete switched sarebbe limitata
>> tra peers collegati fisicamente, è la CI ad evitare che tutti si
>> collegherebbero a tutti.
>
> No, è la combinazione di entrambi.
> Lungo la strada di un pacchetto di broadcast OLSR, nella nostra rete incontra 2 "forwarders" L2: la wireless dell'antenna e lo switch del router.
> Per avere una comunicazione completamente ed esclusivamente routed, che siamo da tempo d'accordo sia di gran lunga la soluzione tecnicamente superiore, devi chiudere *entrambi* i forwarders L2. Se ne chiudi solo uno, i nodi continueranno comunque a vedersi tra loro come P2P attraverso l'altro.
>
> I modi in cui chiudi i "forwarders" L2 sono
> * wireless antenna: Client Isolation
> * switch router: segmentazione vlan del ground routing
>
> Fino a qualche mese fa avevamo
> * tutti gli AP con client isolation disabilitata
> * molti nodi con ground routing "legacy", ovvero col routing a loro delegato ma con una singola vlan non segmentata.
>
> Quindi *entrambi* i forwarders L2 aperti.
>
> Dopo il successo dei tunnel OpenVPN per la selezione del default gw ci siamo portati avanti col lavoro abilitando la Client Isolation sulle antenne AP, cosa che ha chiuso un forwarding L2.
> Ma OLSR continuava a vedere tutti peer2peer con tutti a causa del forwarding L2 dovuto ai nodi configurati in legacy.
>
> Dopodichè progressivamente abbiamo abbandonato la legacy in maniera deployata e programmata, realizzando la segmentazione con vlan multiple laddove prima ce n'era una sola.
> Lo abbiamo fatto indistintamente su nodi foglia e supernodi, per armonia e consistenza e lungimiranza, ma a livello di forwarding la situazione è cambiata solo quando si è abbandonata la legacy laddove effettivamente un forwarding può avvenire, ovvero sui supernodi.
>
> Ora alla fine del processo abbiamo che lungo la sua strada il pacchetto broadcast OLSR incontra tantissimi domini di broadcast PtP, e pertanto non viene mai floodato. Gli unici broadcast OLSR che al momento in NinuCS incontrano un dominio di broadcast non-PtP sono quelli che arrivano da NewSpig a Capizzanux. Ma Capizzanux non li forwarda (una sola antenna) e pertanto l'effetto netto è identico a quello di una rete completamente routed. Con una seconda antenna, con ancora la legacy, avremmo una porzione di informazione di segnalazione inutile che arriverebbe ai client di Capizzanux, grazie al suo dominio di broadcast non-PtP.
>
>
>> L' unica rogna della legacy sono i fenomeni di ARP proxy e i colli di
>> bottiglia sulle sessioni broadcast/multicast. che replicherebbero ogni
>> volta che passano dallo stesso nodo. Niente che non si possa regolare
>> lato firewall...
>
> Di fare certo che si può fare, ma non è di buon senso.
> Non c'è un solo lato positivo del regolare il broadcast tramite firewall (ebtables/iptables) piuttosto che limitarlo by design. Tra i lati negativi che mi vengono in mente, la manutenzione diventa un incubo e il rischio di blackholing alto. Non sai mai che meccanismo puoi andare a rompere.
>
> Abbiamo scelto la strada giusta e sta già pagando (l'ETX più alto è di 1.2, wow)

Decisamente, eliminare un passaggio è sempre la soluzione migliore, il
mio messaggio è quello di non limitare la creatività individuale con
una azione di appiattimento delle possibili configurazioni.