[Joneg]

Столкнулись со странным поведением функции ip unnumbered в маршрутизаторах Nexus3064, firmware 7.0.3.I7.3, на Loopback добавлен шлюз 10.0.0.1, в каждом vlan небольшое количество клиентов, адреса которым предполагается выдавать из диапазона адресов. Что-то типа этого:
 

interface loopback0
  ip address 10.0.0.1/32
  ip router ospf 1 area 0.0.0.0

interface Vlan100
  no shutdown
  ip unnumbered loopback0
  ip proxy-arp

interface Vlan200
  no shutdown
  ip unnumbered loopback0
  ip proxy-arp

ip route 10.0.0.0/8 Null0
ip route 10.100.0.0/16 Vlan100
ip route 10.200.0.0/16 Vlan200

 

У клиентов устанавливаются адреса в зависимости от vlan, маска 8 и шлюз 10.0.0.1 и это хорошо работает

 

Однако если клиент установит ip адрес не из диапазона своего vlan, то все продолжает работать. Маршрутизатор находит этого клиента и добавляет его в таблицу маршрутизации сам (отображается в sh ip route am), я не нашел информации о каких то функциях автообучения в nxos (команда pull там не доступна). В Cisco 6500 похожая настройка работает прекрасно, клиент с неправильным ip адресом не работает вообще. Как сделать, чтобы и в nxos такие клиенты перестали работать?

Изменено 4 февраля, 2019 пользователем Joneg

[ShyLion]

Вы случаем платформой не ошиблись?

[Joneg]

На платформе Nexus по другому используют ip unnumbered?

[ShyLion]

1 hour ago, Joneg said:

На платформе Nexus по другому используют ip unnumbered?

Я посмотрел поверхностно описание железа и пришел к выводу, что это ни разу не BRAS.

Возможно я ошибаюсь.

 

[Joneg]

2 hours ago, ShyLion said:

Я посмотрел поверхностно описание железа и пришел к выводу, что это ни разу не BRAS.

Возможно я ошибаюсь.

 

Скорее всего вы правы, у железа целевая аудитория - датацентры. Ну давайте представим, что в датацантре я выдаю серверам, находящимся группами в разных vlan, ip адреса описанным мною способом )

 

Свитч был куплен для обслуживания небольшой сети, он стоит и работает, остальной функционал в нем всем устраивает, но с ip unnumbered возникла такая проблема

[Telesis]

4 hours ago, Joneg said:

маршрутизаторах Nexus3064

это коммутатор

4 hours ago, Joneg said:

ip proxy-arp

отключите

 

23 minutes ago, Joneg said:

Свитч был куплен для обслуживания небольшой сети, он стоит и работает, остальной функционал в нем всем устраивает, но с ip unnumbered возникла такая проблема

 

/16 очень небольшая сеть

Обычно unnumbered используют для экономии сетей. Тут какие проблемы использовать для каждого VLAN свою сеть (если она небольшая ;))

[Joneg]

1 hour ago, Telesis said:

отключите

А как реализовать возможность, чтобы клиенты видели друг друга напрямую? 

 

1 hour ago, Telesis said:

/16 очень небольшая сеть

Обычно unnumbered используют для экономии сетей. Тут какие проблемы использовать для каждого VLAN свою сеть (если она небольшая ;))

Ну это в примере, на практике там подсети меньше, хоть и не на много (22) :)

А вообще ради белых IP, чтобы в каждую сеть не добавлять белый ip блок

Изменено 4 февраля, 2019 пользователем Joneg

[Telesis]

34 minutes ago, Joneg said:

А как реализовать возможность, чтобы клиенты видели друг друга напрямую?

для этого есть  IP маршрутизация

[s.lobanov]

@Joneg 

включите urpf, должно помочь

[Joneg]

46 minutes ago, Telesis said:

для этого есть  IP маршрутизация

На клиентах будет прописана маска 255.0.0.0. Маршрут 10.0.0.0/8 на шлюз прописывать клиентам?

 

39 minutes ago, s.lobanov said:

включите urpf, должно помочь

 

Спасибо, почитаю

[zhenya`]

За арп таблицу не страшно?

[Telesis]

1 hour ago, Joneg said:

На клиентах будет прописана маска 255.0.0.0. Маршрут 10.0.0.0/8 на шлюз прописывать клиентам?

interface Vlan100
  no shutdown
  ip address 10.100.0.1/16

interface Vlan200
  no shutdown
  ip address 10.200.0.1/16

В каждой сети свой шлюз по умолчанию из своего диапазона на 10.х00.0.1.

Вопрос еще раз, точно вам нужно /16???

[Joneg]

1 hour ago, zhenya` said:

За арп таблицу не страшно?

Можно подробнее? Все vlan-ы ведь в любом случае будут терминироваться в этой коммутаторе, какая разница будет там разные ip в vlan или один ip unnumbered

 

33 minutes ago, Telesis said:

2 hours ago, Joneg said:

 

interface Vlan100
  no shutdown
  ip address 10.100.0.1/16

interface Vlan200
  no shutdown
  ip address 10.200.0.1/16

В каждой сети свой шлюз по умолчанию из своего диапазона на 10.х00.0.1.

Вопрос еще раз, точно вам нужно /16???

Вы приводите пример без ip unnumbered, не решается проблема раздачи белых IP. К тому же клиенты уже есть, изменять все проблематично

 

/16 указано в примере, на деле там /22, но думаю это не меняет ваш вопрос

 

Адреса взяты с запасом, хостов там будет не больше сотни. vlan-ов тоже около сотни

Изменено 4 февраля, 2019 пользователем Joneg

[Telesis]

1 minute ago, Joneg said:

Вы приводите пример без ip unnumbered. Клиенты уже есть, изменять все проблематично. /16 указано в примере, на деле там /22, но думаю это не меняет ваш вопрос. Адреса взяты с запасом, хостов там будет не больше сотни. vlan-ов тоже около сотни

Так у вас клиенты получают адреса через DHCP, для них ничего не поменяется

[Joneg]

Unicast RPF в strict режиме не помог, некорректный адрес в vlan продолжает работать

 

Будем зарезать через ACL

[TriKS]

Коллеги, а как его заставить работать с bgp и IP unnumbered на eth? 

interface Ethernet1/48
  description BGP_2
  no lldp transmit
  no lldp receive
  no switchport
  priority-flow-control mode off
  medium p2p
  ip unnumbered loopback103
  ip proxy-arp
  no shutdown

interface loopback103
  ip address x.y.z.103/32

Пир имеет IP x.y.z.102/32. На /30 соседство устанавливается и все ОК. на /32 маршрут на пира летит совершенно в другой линк, с дефолтом.

 

#sh ip ro x.y.z.102

IP Route Table for VRF "default"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>

0.0.0.0/0, ubest/mbest: 1/0
    *via 172.19.0.1, Vlan3, [110/10], 02:37:28, ospf-1, type-2

#sh ip ro x.y.z.103

IP Route Table for VRF "default"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>


x.y.z.103/32, ubest/mbest: 2/0, attached
    *via x.y.z.103, Lo103, [0/0], 00:29:40, local
    *via x.y.z.103, Lo103, [0/0], 00:29:40, direct

Этот же пир на линуксе с квагой - все ОК.

 

Если пробовать добавить маршрут на пира через Ethernet1/48 - ругается на:

Next-hop cannot be local address in same or different vrf

Как можно сие победить?

Изменено 12 мая, 2020 пользователем TriKS