?

Log in

No account? Create an account

Previous Entry | Next Entry

IP Unnumbered в Cisco Catalyst

by Николай Михайлов

http://www.opennet.ru/base/cisco/catalyst_ip_unnumber.txt.html

Преамбула: Данный функционал реализованный в оборудовании Cisco позволяет сократить использование адресов IPv4 в условиях их дефицита.

Изначально был разработан для интерфейсов точка-точка типа Serial, при маршрутизации с участием таких интерфейсов не требуется знать адрес следующего хопа, так как это не широковещательная среда и пакет всегда достигнет своего получателя и он один, маршрутизатору достаточно “знать” что такой то префикс доступен за таким то интерфейсом.

Следовательно не требуется выделять подсеть /30 или /31 адресов на эти интерфейсы, достаточно указать на интерфейсе что вся обработка IP пакетов (а это нетранзитные пакеты к самому роутеру, либо пакеты сгенерированные самим роутером) будет осуществляться с адресом присвоенным другому интерфейсу, допустим адресом висящим на лупбеке, или на ethernet интерфейсе.

Преимущества от этого функционала на коммутаторах:

1. Не требуется дробить большие сети публичных адресов на мелкие теряя при этом адреса.

2. Возможность ограничения связи между пользователями в сети исключая варианты с ACL и Port Protected варианты.

3. При использовании vlan-per-user и Proxy ARP не требуется Dynamic Arp Inspection и Antispoof ACL.

4. Ко всему трафику можно применить единую политику фильтрации в центре сети.

!
interface Loopback2
ip address 123.123.123.1 255.255.255.0 ! наша публичная сеть
no ip redirects
!
!
interface Vlan555
des Abonent1
ip unnumbered Loopback2
no ip proxy-arp
!
interface Vlan556
des Abonent2
ip unnumbered Loopback2
no ip proxy-arp

В данной конфигурации абоненты друг друга “не увидят”, а увидят только шлюз и всё что за ним.

Чтобы включить обмен между абонентами, необходимо на vlan интерфейсах включить Proxy ARP (по умолчанию включен).

Атака ARP Spoofing работать не будет, если посмотреть ARP таблицу у абонента, то во всех записях будет указан MAC адрес коммутатора. Атака IP Spoofing работать не будет, т.к. существует чёткий маршрут, если маршрут отсутствует либо пакеты приходят с другого адреса, то они будут уничтожены, так как в таблице CEF отсутствуют записи.

При использовании DHCP и Catalyst в качестве релея (или сервера) маршруты будут создаваться автоматически (не забудьте про Opt82, чтобы выдавать IP на порт).

Tags:

Latest Month

October 2014
S M T W T F S
   1234
567891011
12131415161718
19202122232425
262728293031