The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Использование IP Unnumbered в Cisco Catalyst (cisco switch catalyst vlan)


<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>
Ключевые слова: cisco, switch, catalyst, vlan,  (найти похожие документы)
From: Николай Михайлов <nmatwell-mail.ru> Newsgroups: email Date: Sat, 28 Dec 2008 17:02:14 +0000 (UTC) Subject: Использование IP Unnumbered в Cisco Catalyst Преамбула: Данный функционал реализованный в оборудовании Cisco позволяет сократить использование адресов IPv4 в условиях их дефицита. Изначально был разработан для интерфейсов точка-точка типа Serial, при маршрутизации с участием таких интерфейсов не требуется знать адрес следующего хопа, так как это не широковещательная среда и пакет всегда достигнет своего получателя и он один, маршрутизатору достаточно "знать" что такой то префикс доступен за таким то интерфейсом. Следовательно не требуется выделять подсеть /30 или /31 адресов на эти интерфейсы, достаточно указать на интерфейсе что вся обработка IP пакетов(а это нетранзитные пакеты к самому роутеру, либо пакеты сгенерированные самим роутером) будет осуществляться с адресом присвоенным другому интерфейсу, допустим адресом висящим на лупбеке, или на ethernet интерфейсе. Изначально данный функционал ("IP Unnumbered for VLAN-SVI interfaces") доступен и в коммутаторах Cisco Catalyst 4500/6500. В последних версиях IOS для Catalyst 3550, 3560, 3750, ME3400 так же доступен, но Feature Navigator об этом скромно умалчивает. Преимущества от этого функционала на коммутаторах: 1.Не требуется дробить большие сети публичных адресов на мелкие теряя при этом адреса. 2.Возможность ограничения связи между пользователями в сети исключая варианты с ACL и Port Protected варианты. 3.При использовании vlan-per-user и Proxy ARP не требуется Dynamic Arp Inspection и Antispoof ACL. 4.Ко всему трафику можно применить единую политику фильтрации в центре сети. Задача: имеется Catalyst 3560 с подключенными абонентами, каждому абоненту требуется выделить публичный IP адрес(либо несколько), требуется сделать защиту от подделки IP адресов и ограничить взаимодействие между абонентами. Решение: ! interface Loopback2 ip address 123.123.123.1 255.255.255.0 ! наша публичная сеть no ip redirects ! ! interface Vlan555 des Abonent1 ip unnumbered Loopback2 no ip proxy-arp ! interface Vlan556 des Abonent2 ip unnumbered Loopback2 no ip proxy-arp ! ! interface FastEthernet0/1 des Port Abonenta 1 switchport access vlan 555 switchport mode access ! interface FastEthernet0/2 des Port Abonenta 2 switchport access vlan 556 switchport mode access end ! ip route 123.123.123.2 255.255.255.255 Vl555 ip route 123.123.123.3 255.255.255.255 Vl556 Примечание: В данной конфигурации абоненты друг друга "не увидят", а увидят только шлюз и всё что за ним. Чтобы включить обмен между абонентами, необходимо на vlan интерфейсах включить Proxy ARP (по умолчанию включен) Атака ARP Spoofing работать не будет, если посмотреть ARP таблицу у абонента, то во всех записях будет указан MAC адрес коммутатора. Атака IP Spoofing работать не будет, т.к. существует чёткий маршрут, если маршрут отсутствует либо пакеты приходят с другого адреса, то они будут уничтожены, так как в таблице CEF отсутствуют записи. При использовании DHCP и Catalyst в качестве релея(или сервера) маршруты будут создаваться автоматически(не забудьте про Opt82, чтобы выдавать IP на порт) Как уже было сказано выше, данная фича стала доступна на младших сериях коммутаторов Catalyst и ME софт в котором точно есть: c3550-ipservicesk9-mz.122-44.SE3 (SE2) c3560-ipservicesk9-mz.122-44.SE3 (SE2) me340x-metroipaccessk9-mz.122-44.SE2 (и старше)

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, none, 17:26, 29/12/2008 [ответить] [смотреть все]
  • +/
    А если не нужно (нельзя) ограничивать взаимодействие между клиентами?
     
     
  • 2.3, mavrusha, 10:35, 30/12/2008 [^] [ответить] [смотреть все]
  • +/
    Если не нужно, то proxy arp оставляем.
     
  • 1.2, MiB, 18:50, 29/12/2008 [ответить] [смотреть все]
  • +/
    для чего на loopback 24 маска?
     
     
  • 2.4, ig0r, 21:23, 30/12/2008 [^] [ответить] [смотреть все]
  • +/
    потому что сеть не дробится, кроме этого у клиента тоже маска /24
     
     
  • 3.5, MiB, 08:29, 03/01/2009 [^] [ответить] [смотреть все]
  • +/
    непонятен практический смысл такого использования?
    почемубы не давать /32 клиентам и на лупбаке?
    все равно ведь мы прописываем раутинг через интерфейс.....
     
  • 1.6, mavrusha, 11:43, 21/01/2009 [ответить] [смотреть все]  
  • +/
    Все это конечно здорово , вот только SVI на 3550 рекомендуется не более 16: http://www.cisco.com/en/US/products/hw/switches/ps646/products_tech_note09186

    И ещё вопрос , сколько он может держать привязок dhcp-snooping в такой схеме?

     
     
  • 2.8, marten, 15:35, 19/03/2009 [^] [ответить] [смотреть все]  
  • –1 +/
    ага, только работает по несколько сотен без проблем. а так да, пускай рекомендуют.
     
  • 1.7, Ночной админ, 02:56, 31/01/2009 [ответить] [смотреть все]  
  • +/
    Подскажите пожалуйста для 3750 ios с этим функционалом.
     
  • 1.9, Алексей, 12:21, 26/03/2009 [ответить] [смотреть все]  
  • +/
    Большое спасибо за статью
     
  • 1.10, AD, 13:59, 03/09/2009 [ответить] [смотреть все]  
  • +/
    Что-то не хочет работать на 65 так, клиенты из разных вланов получаю ип с одного лупбэка, шлюз видят, но друг друга нет, proxy-arp включено.
    Чего не так может быть?
     
     
  • 2.18, alexdirty, 18:23, 14/08/2014 [^] [ответить] [смотреть все]  
  • +/
    Та же проблема на WS-C6509-E. Решение пока не нашли. Может кто, что-нибудь посоветовать по этому поводу?
     
  • 1.11, kostil, 12:26, 08/10/2009 [ответить] [смотреть все]  
  • +/
    очень полезная статейка. спасибо, попробую.
     
  • 1.12, iles, 00:20, 03/02/2010 [ответить] [смотреть все]  
  • +/
    >Обсуждение статьи тематического каталога: Использование IP Unnumbered в Cisco Catalyst (cisco switch
    >catalyst vlan)
    >
    >Ссылка на текст статьи: http://www.opennet.ru/base/cisco/catalyst_ip_unnumber.txt.html

    А если у нас к примеру в 555 VLAN ну скажем 15 пользователей?? как тут "защититься" от очень "умных" любителей подмены IP-шников??

     
     
  • 2.13, хз, 14:56, 01/03/2010 [^] [ответить] [смотреть все]  
  • +/
    >А если у нас к примеру в 555 VLAN ну скажем 15 пользователей?? как тут "защититься" от очень "умных" любителей подмены IP-шников??

    в этом случае никак (ну кроме старой песни про привязку маков, etc.)

     
  • 1.14, Дмитрий, 12:34, 15/06/2010 [ответить] [смотреть все]  
  • +/

    Как это будет выглядеть со стороны сети и клиента?
          
        
     
     
  • 2.15, marten, 12:50, 15/06/2010 [^] [ответить] [смотреть все]  
  • +/
    >
    >Как это будет выглядеть со стороны сети и клиента?
    >
    >

    возможно.

    со стороны клиента - например так:

    ip 10.10.12.15
    mask 255.255.255.0
    gw 10.10.12.1

    со стороны коммутатора - указано в статье

    при этом каждый клиент в отдельном влане

     
  • 1.16, Andrey, 22:17, 17/08/2010 [ответить] [смотреть все]  
  • +/
    Поясните, я не совсем понял: как с3550 будет взаимодействовать с роутером? адрес 123.123.123.1 в данной статье я так понимаю это адрес шлюза по умолчанию для клиента? А какой порт смотрит на роутер, если этот адрес висит на Loopback2?
     
     
  • 2.19, baronzzz, 08:18, 23/06/2015 [^] [ответить] [смотреть все]  
  • +/
    Да любой. Берешь интерфейс, назначаешь ИП/30, на брасе тож. Соединяеш их вланом. Увсе, гоняй.
     
  • 1.17, уу, 19:02, 04/10/2013 [ответить] [смотреть все]  
  • +/
    к45
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:





      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor