Joneg Posted February 4, 2019 (edited) · Report post Столкнулись со странным поведением функции ip unnumbered в маршрутизаторах Nexus3064, firmware 7.0.3.I7.3, на Loopback добавлен шлюз 10.0.0.1, в каждом vlan небольшое количество клиентов, адреса которым предполагается выдавать из диапазона адресов. Что-то типа этого: interface loopback0 ip address 10.0.0.1/32 ip router ospf 1 area 0.0.0.0 interface Vlan100 no shutdown ip unnumbered loopback0 ip proxy-arp interface Vlan200 no shutdown ip unnumbered loopback0 ip proxy-arp ip route 10.0.0.0/8 Null0 ip route 10.100.0.0/16 Vlan100 ip route 10.200.0.0/16 Vlan200 У клиентов устанавливаются адреса в зависимости от vlan, маска 8 и шлюз 10.0.0.1 и это хорошо работает Однако если клиент установит ip адрес не из диапазона своего vlan, то все продолжает работать. Маршрутизатор находит этого клиента и добавляет его в таблицу маршрутизации сам (отображается в sh ip route am), я не нашел информации о каких то функциях автообучения в nxos (команда pull там не доступна). В Cisco 6500 похожая настройка работает прекрасно, клиент с неправильным ip адресом не работает вообще. Как сделать, чтобы и в nxos такие клиенты перестали работать? Edited February 4, 2019 by Joneg Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted February 4, 2019 · Report post Вы случаем платформой не ошиблись? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Joneg Posted February 4, 2019 · Report post На платформе Nexus по другому используют ip unnumbered? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted February 4, 2019 · Report post 1 hour ago, Joneg said: На платформе Nexus по другому используют ip unnumbered? Я посмотрел поверхностно описание железа и пришел к выводу, что это ни разу не BRAS. Возможно я ошибаюсь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Joneg Posted February 4, 2019 · Report post 2 hours ago, ShyLion said: Я посмотрел поверхностно описание железа и пришел к выводу, что это ни разу не BRAS. Возможно я ошибаюсь. Скорее всего вы правы, у железа целевая аудитория - датацентры. Ну давайте представим, что в датацантре я выдаю серверам, находящимся группами в разных vlan, ip адреса описанным мною способом ) Свитч был куплен для обслуживания небольшой сети, он стоит и работает, остальной функционал в нем всем устраивает, но с ip unnumbered возникла такая проблема Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Telesis Posted February 4, 2019 · Report post 4 hours ago, Joneg said: маршрутизаторах Nexus3064 это коммутатор 4 hours ago, Joneg said: ip proxy-arp отключите 23 minutes ago, Joneg said: Свитч был куплен для обслуживания небольшой сети, он стоит и работает, остальной функционал в нем всем устраивает, но с ip unnumbered возникла такая проблема /16 очень небольшая сеть Обычно unnumbered используют для экономии сетей. Тут какие проблемы использовать для каждого VLAN свою сеть (если она небольшая ;)) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Joneg Posted February 4, 2019 (edited) · Report post 1 hour ago, Telesis said: отключите А как реализовать возможность, чтобы клиенты видели друг друга напрямую? 1 hour ago, Telesis said: /16 очень небольшая сеть Обычно unnumbered используют для экономии сетей. Тут какие проблемы использовать для каждого VLAN свою сеть (если она небольшая ;)) Ну это в примере, на практике там подсети меньше, хоть и не на много (22) :) А вообще ради белых IP, чтобы в каждую сеть не добавлять белый ip блок Edited February 4, 2019 by Joneg Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Telesis Posted February 4, 2019 · Report post 34 minutes ago, Joneg said: А как реализовать возможность, чтобы клиенты видели друг друга напрямую? для этого есть IP маршрутизация Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 4, 2019 · Report post @Joneg включите urpf, должно помочь Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Joneg Posted February 4, 2019 · Report post 46 minutes ago, Telesis said: для этого есть IP маршрутизация На клиентах будет прописана маска 255.0.0.0. Маршрут 10.0.0.0/8 на шлюз прописывать клиентам? 39 minutes ago, s.lobanov said: включите urpf, должно помочь Спасибо, почитаю Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted February 4, 2019 · Report post За арп таблицу не страшно? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Telesis Posted February 4, 2019 · Report post 1 hour ago, Joneg said: На клиентах будет прописана маска 255.0.0.0. Маршрут 10.0.0.0/8 на шлюз прописывать клиентам? interface Vlan100 no shutdown ip address 10.100.0.1/16 interface Vlan200 no shutdown ip address 10.200.0.1/16 В каждой сети свой шлюз по умолчанию из своего диапазона на 10.х00.0.1. Вопрос еще раз, точно вам нужно /16??? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Joneg Posted February 4, 2019 (edited) · Report post 1 hour ago, zhenya` said: За арп таблицу не страшно? Можно подробнее? Все vlan-ы ведь в любом случае будут терминироваться в этой коммутаторе, какая разница будет там разные ip в vlan или один ip unnumbered 33 minutes ago, Telesis said: 2 hours ago, Joneg said: interface Vlan100 no shutdown ip address 10.100.0.1/16 interface Vlan200 no shutdown ip address 10.200.0.1/16 В каждой сети свой шлюз по умолчанию из своего диапазона на 10.х00.0.1. Вопрос еще раз, точно вам нужно /16??? Вы приводите пример без ip unnumbered, не решается проблема раздачи белых IP. К тому же клиенты уже есть, изменять все проблематично /16 указано в примере, на деле там /22, но думаю это не меняет ваш вопрос Адреса взяты с запасом, хостов там будет не больше сотни. vlan-ов тоже около сотни Edited February 4, 2019 by Joneg Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Telesis Posted February 4, 2019 · Report post 1 minute ago, Joneg said: Вы приводите пример без ip unnumbered. Клиенты уже есть, изменять все проблематично. /16 указано в примере, на деле там /22, но думаю это не меняет ваш вопрос. Адреса взяты с запасом, хостов там будет не больше сотни. vlan-ов тоже около сотни Так у вас клиенты получают адреса через DHCP, для них ничего не поменяется Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Joneg Posted February 5, 2019 · Report post Unicast RPF в strict режиме не помог, некорректный адрес в vlan продолжает работать Будем зарезать через ACL Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TriKS Posted May 12, 2020 (edited) · Report post Коллеги, а как его заставить работать с bgp и IP unnumbered на eth? interface Ethernet1/48 description BGP_2 no lldp transmit no lldp receive no switchport priority-flow-control mode off medium p2p ip unnumbered loopback103 ip proxy-arp no shutdown interface loopback103 ip address x.y.z.103/32 Пир имеет IP x.y.z.102/32. На /30 соседство устанавливается и все ОК. на /32 маршрут на пира летит совершенно в другой линк, с дефолтом. #sh ip ro x.y.z.102 IP Route Table for VRF "default" '*' denotes best ucast next-hop '**' denotes best mcast next-hop '[x/y]' denotes [preference/metric] '%<string>' in via output denotes VRF <string> 0.0.0.0/0, ubest/mbest: 1/0 *via 172.19.0.1, Vlan3, [110/10], 02:37:28, ospf-1, type-2 #sh ip ro x.y.z.103 IP Route Table for VRF "default" '*' denotes best ucast next-hop '**' denotes best mcast next-hop '[x/y]' denotes [preference/metric] '%<string>' in via output denotes VRF <string> x.y.z.103/32, ubest/mbest: 2/0, attached *via x.y.z.103, Lo103, [0/0], 00:29:40, local *via x.y.z.103, Lo103, [0/0], 00:29:40, direct Этот же пир на линуксе с квагой - все ОК. Если пробовать добавить маршрут на пира через Ethernet1/48 - ругается на: Next-hop cannot be local address in same or different vrf Как можно сие победить? Edited May 12, 2020 by TriKS Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...