Catalyst IP Unnumbered: различия между версиями

=Использование IP Unnumbered в Cisco Catalyst=

Данный функционал реализованный в оборудовании Cisco

позволяет сократить использование адресов IPv4 в условиях их дефицита.

Изначально был разработан для интерфейсов точка-точка типа Serial, при маршрутизации с участием таких интерфейсов не требуется знать адрес следующего хопа, так как это не широковещательная среда и пакет всегда

достигнет своего получателя и он один, маршрутизатору достаточно "знать" что такой то префикс доступен за таким то интерфейсом.

Следовательно не требуется выделять подсеть /30 или /31 адресов на эти интерфейсы, достаточно указать на интерфейсе что вся обработка IP пакетов(а это нетранзитные пакеты к самому роутеру, либо пакеты

сгенерированные самим роутером) будет осуществляться с адресом присвоенным другому интерфейсу, допустим адресом висящим на лупбеке, или на ethernet интерфейсе.

Изначально данный функционал ("IP Unnumbered for VLAN-SVI interfaces")доступен и в коммутаторах Cisco Catalyst 4500/6500.

В последних версиях IOS для Catalyst 3550, 3560, 3750, ME3400 так же доступен, но Feature Navigator об этом скромно умалчивает.

Преимущества от этого функционала на коммутаторах:

# Не требуется дробить большие сети публичных адресов на мелкие теряя при этом адреса.

# Возможность ограничения связи между пользователями в сети исключая варианты с ACL и Port Protected варианты.

# При использовании vlan-per-user и Proxy ARP не требуется Dynamic Arp Inspection и Antispoof ACL.

# Ко всему трафику можно применить единую политику фильтрации в центре сети.

Задача: имеется Catalyst 3560 с подключенными абонентами,каждому абоненту требуется выделить публичный IP адрес(либо несколько), требуется сделать защиту от подделки IP адресов и ограничить взаимодействие между абонентами.

Решение:

<PRE>

interface Loopback2

ip address 123.123.123.1 255.255.255.0 ! наша публичная сеть

no ip redirects

!

!

interface Vlan555

des Abonent1

ip unnumbered Loopback2

no ip proxy-arp

!

interface Vlan556

des Abonent2

ip unnumbered Loopback2

no ip proxy-arp

!

!

interface FastEthernet0/1

des Port Abonenta 1

switchport access vlan 555

switchport mode access

!

interface FastEthernet0/2

des Port Abonenta 2

switchport access vlan 556

switchport mode access

end

!

ip route 123.123.123.2 255.255.255.255 Vl555

ip route 123.123.123.3 255.255.255.255 Vl556

</PRE>

Примечание:

В данной конфигурации абоненты друг друга "не увидят", а увидят только шлюз и всё что за ним. Чтобы включить обмен между абонентами, необходимо на vlan интерфейсах включить Proxy ARP (по умолчанию включен)

Атака ARP Spoofing работать не будет, если посмотреть ARP таблицу у абонента, то во всех записях будет указан MAC адрес коммутатора. Атака IP Spoofing работать не будет, т.к. существует чёткий маршрут, если маршрут отсутствует либо пакеты приходят с другого адреса, то они будут уничтожены, так как в таблице CEF отсутствуют записи.

При использовании DHCP и Catalyst в качестве релея(или сервера) маршруты будут создаваться автоматически(не забудьте про Opt82, чтобы выдавать IP на порт)

Как уже было сказано выше, данная фича стала доступна на младших сериях коммутаторов Catalyst и ME софт в котором точно есть:

<PRE>

c3550-ipservicesk9-mz.122-44.SE3 (SE2)

c3560-ipservicesk9-mz.122-44.SE3 (SE2)

me340x-metroipaccessk9-mz.122-44.SE2 (и старше)

</PRE>

Оригинал:

http://metalmind.ru/ispolzovanie-ip-unnumbered-v-cisco-catalyst-2.html