<div dir="ltr"><div><div><div>Hello All,<br><br></div>The un-addressed port spec [1] was approved for Liberty.<br></div>I think this spec has good potential to provide very interesting solutions for NFV use cases <br></div><div>but also for multi site connectivity and i would really want to see<br></div><div>it move forward with the community.<br><br></div><div>There are some issues we need to discuss regarding L2 population (both for the reference<br></div><div>implementation and for any "SDN" solution), but we can iterate on them.<br><br></div><div>This email relates to a recent revert [2] that was done to prevent spoofing possibility<br></div><div>due to recent work that was merged.<br><br></div><div>If i understand the problem correctly, an un-addressed port can now perform ARP spoofing<br></div><div>on an address of a port that already exists in the same network and listen to its traffic.<br></div><div>(a problem which becomes bigger with shared network among tenants)<br></div><div><br></div><div>One possible solution we could do to prevent this is to keep flow entries that block the port<br></div><div>from pretending to have an IP that is already part of the network (or subnet).<br></div><div>So there will be ARP spoofing checks that check the port is not answering for an IP that is already<br></div><div>configured.<br></div><div><u>Any thoughts/comments on that?</u><br><br></div><div>Unrelated to this, i think that an un-address port should work in subnet context when it comes<br></div><div>to L2 population and traffic forwarding, so that un-address port only gets traffic for addresses <br></div><div>that are not found, but are on the same subnet as the un-address port.<br></div><div>(I understand this is a bigger challenge and is not working with the way Neutron networks <br></div><div>work today, but we can iterate on this as well since its unrelated to the security subject)<br> </div><div><div><br>Thanks<br>Gal.<br><br>[1] <a href="https://github.com/openstack/neutron-specs/blob/master/specs/liberty/unaddressed-port.rst">https://github.com/openstack/neutron-specs/blob/master/specs/liberty/unaddressed-port.rst</a><br>[2] <a href="https://review.openstack.org/#/c/218470/">https://review.openstack.org/#/c/218470/</a><br></div></div></div>