Catalyst IP Unnumbered: различия между версиями
(0.692307692307692) |
Sirmax (обсуждение | вклад) |
||
| Строка 1: | Строка 1: | ||
| + | =Использование IP Unnumbered в Cisco Catalyst= |
||
| − | lgL7I2 <a href="http://ldgvtqomfzzk.com/">ldgvtqomfzzk</a>, [url=http://vahkutegrrvi.com/]vahkutegrrvi[/url], [link=http://atxkajxymcxk.com/]atxkajxymcxk[/link], http://ubntflarfbjc.com/ |
||
| + | Данный функционал реализованный в оборудовании Cisco |
||
| + | позволяет сократить использование адресов IPv4 в условиях их дефицита. |
||
| + | |||
| + | Изначально был разработан для интерфейсов точка-точка типа Serial, при маршрутизации с участием таких интерфейсов не требуется знать адрес следующего хопа, так как это не широковещательная среда и пакет всегда |
||
| + | достигнет своего получателя и он один, маршрутизатору достаточно "знать" что такой то префикс доступен за таким то интерфейсом. |
||
| + | |||
| + | Следовательно не требуется выделять подсеть /30 или /31 адресов на эти интерфейсы, достаточно указать на интерфейсе что вся обработка IP пакетов(а это нетранзитные пакеты к самому роутеру, либо пакеты |
||
| + | сгенерированные самим роутером) будет осуществляться с адресом присвоенным другому интерфейсу, допустим адресом висящим на лупбеке, или на ethernet интерфейсе. |
||
| + | |||
| + | Изначально данный функционал ("IP Unnumbered for VLAN-SVI interfaces")доступен и в коммутаторах Cisco Catalyst 4500/6500. |
||
| + | |||
| + | В последних версиях IOS для Catalyst 3550, 3560, 3750, ME3400 так же доступен, но Feature Navigator об этом скромно умалчивает. |
||
| + | |||
| + | Преимущества от этого функционала на коммутаторах: |
||
| + | |||
| + | # Не требуется дробить большие сети публичных адресов на мелкие теряя при этом адреса. |
||
| + | # Возможность ограничения связи между пользователями в сети исключая варианты с ACL и Port Protected варианты. |
||
| + | # При использовании vlan-per-user и Proxy ARP не требуется Dynamic Arp Inspection и Antispoof ACL. |
||
| + | # Ко всему трафику можно применить единую политику фильтрации в центре сети. |
||
| + | |||
| + | Задача: имеется Catalyst 3560 с подключенными абонентами,каждому абоненту требуется выделить публичный IP адрес(либо несколько), требуется сделать защиту от подделки IP адресов и ограничить взаимодействие между абонентами. |
||
| + | |||
| + | Решение: |
||
| + | <PRE> |
||
| + | interface Loopback2 |
||
| + | ip address 123.123.123.1 255.255.255.0 ! наша публичная сеть |
||
| + | no ip redirects |
||
| + | ! |
||
| + | ! |
||
| + | interface Vlan555 |
||
| + | des Abonent1 |
||
| + | ip unnumbered Loopback2 |
||
| + | no ip proxy-arp |
||
| + | ! |
||
| + | interface Vlan556 |
||
| + | des Abonent2 |
||
| + | ip unnumbered Loopback2 |
||
| + | no ip proxy-arp |
||
| + | ! |
||
| + | ! |
||
| + | interface FastEthernet0/1 |
||
| + | des Port Abonenta 1 |
||
| + | switchport access vlan 555 |
||
| + | switchport mode access |
||
| + | ! |
||
| + | interface FastEthernet0/2 |
||
| + | des Port Abonenta 2 |
||
| + | switchport access vlan 556 |
||
| + | switchport mode access |
||
| + | end |
||
| + | ! |
||
| + | |||
| + | ip route 123.123.123.2 255.255.255.255 Vl555 |
||
| + | ip route 123.123.123.3 255.255.255.255 Vl556 |
||
| + | </PRE> |
||
| + | |||
| + | Примечание: |
||
| + | В данной конфигурации абоненты друг друга "не увидят", а увидят только шлюз и всё что за ним. Чтобы включить обмен между абонентами, необходимо на vlan интерфейсах включить Proxy ARP (по умолчанию включен) |
||
| + | |||
| + | Атака ARP Spoofing работать не будет, если посмотреть ARP таблицу у абонента, то во всех записях будет указан MAC адрес коммутатора. Атака IP Spoofing работать не будет, т.к. существует чёткий маршрут, если маршрут отсутствует либо пакеты приходят с другого адреса, то они будут уничтожены, так как в таблице CEF отсутствуют записи. |
||
| + | При использовании DHCP и Catalyst в качестве релея(или сервера) маршруты будут создаваться автоматически(не забудьте про Opt82, чтобы выдавать IP на порт) |
||
| + | Как уже было сказано выше, данная фича стала доступна на младших сериях коммутаторов Catalyst и ME софт в котором точно есть: |
||
| + | <PRE> |
||
| + | c3550-ipservicesk9-mz.122-44.SE3 (SE2) |
||
| + | c3560-ipservicesk9-mz.122-44.SE3 (SE2) |
||
| + | me340x-metroipaccessk9-mz.122-44.SE2 (и старше) |
||
| + | </PRE> |
||
| + | |||
| + | Оригинал: |
||
| + | http://metalmind.ru/ispolzovanie-ip-unnumbered-v-cisco-catalyst-2.html |
||
Версия 23:55, 4 ноября 2009
Использование IP Unnumbered в Cisco Catalyst
Данный функционал реализованный в оборудовании Cisco позволяет сократить использование адресов IPv4 в условиях их дефицита.
Изначально был разработан для интерфейсов точка-точка типа Serial, при маршрутизации с участием таких интерфейсов не требуется знать адрес следующего хопа, так как это не широковещательная среда и пакет всегда достигнет своего получателя и он один, маршрутизатору достаточно "знать" что такой то префикс доступен за таким то интерфейсом.
Следовательно не требуется выделять подсеть /30 или /31 адресов на эти интерфейсы, достаточно указать на интерфейсе что вся обработка IP пакетов(а это нетранзитные пакеты к самому роутеру, либо пакеты сгенерированные самим роутером) будет осуществляться с адресом присвоенным другому интерфейсу, допустим адресом висящим на лупбеке, или на ethernet интерфейсе.
Изначально данный функционал ("IP Unnumbered for VLAN-SVI interfaces")доступен и в коммутаторах Cisco Catalyst 4500/6500.
В последних версиях IOS для Catalyst 3550, 3560, 3750, ME3400 так же доступен, но Feature Navigator об этом скромно умалчивает.
Преимущества от этого функционала на коммутаторах:
- Не требуется дробить большие сети публичных адресов на мелкие теряя при этом адреса.
- Возможность ограничения связи между пользователями в сети исключая варианты с ACL и Port Protected варианты.
- При использовании vlan-per-user и Proxy ARP не требуется Dynamic Arp Inspection и Antispoof ACL.
- Ко всему трафику можно применить единую политику фильтрации в центре сети.
Задача: имеется Catalyst 3560 с подключенными абонентами,каждому абоненту требуется выделить публичный IP адрес(либо несколько), требуется сделать защиту от подделки IP адресов и ограничить взаимодействие между абонентами.
Решение:
interface Loopback2 ip address 123.123.123.1 255.255.255.0 ! наша публичная сеть no ip redirects ! ! interface Vlan555 des Abonent1 ip unnumbered Loopback2 no ip proxy-arp ! interface Vlan556 des Abonent2 ip unnumbered Loopback2 no ip proxy-arp ! ! interface FastEthernet0/1 des Port Abonenta 1 switchport access vlan 555 switchport mode access ! interface FastEthernet0/2 des Port Abonenta 2 switchport access vlan 556 switchport mode access end ! ip route 123.123.123.2 255.255.255.255 Vl555 ip route 123.123.123.3 255.255.255.255 Vl556
Примечание: В данной конфигурации абоненты друг друга "не увидят", а увидят только шлюз и всё что за ним. Чтобы включить обмен между абонентами, необходимо на vlan интерфейсах включить Proxy ARP (по умолчанию включен)
Атака ARP Spoofing работать не будет, если посмотреть ARP таблицу у абонента, то во всех записях будет указан MAC адрес коммутатора. Атака IP Spoofing работать не будет, т.к. существует чёткий маршрут, если маршрут отсутствует либо пакеты приходят с другого адреса, то они будут уничтожены, так как в таблице CEF отсутствуют записи. При использовании DHCP и Catalyst в качестве релея(или сервера) маршруты будут создаваться автоматически(не забудьте про Opt82, чтобы выдавать IP на порт) Как уже было сказано выше, данная фича стала доступна на младших сериях коммутаторов Catalyst и ME софт в котором точно есть:
c3550-ipservicesk9-mz.122-44.SE3 (SE2) c3560-ipservicesk9-mz.122-44.SE3 (SE2) me340x-metroipaccessk9-mz.122-44.SE2 (и старше)
Оригинал: http://metalmind.ru/ispolzovanie-ip-unnumbered-v-cisco-catalyst-2.html
