masterovoj Posted December 23, 2008 Posted December 23, 2008 (edited) Рассматриваю cisco 3550 или 4006 с SUPIII. SUP 3 поддерживает ip-unnumbered, 3550-я вроде тоже, тут пролетало что "поддерживает". Смотрим в сторону "ВЛАН на юзера". Включаем ip-unnumbered и ARP прокси. Не могу догнать чем и как защитится от того, чтобы юзер не мог прописать себе чужой IPшник и поюзать чужой трафик. Обе железки умеют DHCP snooping, но ограничиваются опцией 82 и уникастизацией DHCPшных пакетов. То есть не блокируют VLAN, до того как там будет легально получен IP. Получается можно прописать себе руками любой IP и работать. При этом где-то в доке упоминается, что нельзя фильтровать на интерфейсах при задействовании ip-unnumbered. Чего делать-то? P.S. тему неправильно назвал, имелось ввиду-то не подделка в пакетах, а обычная ситуация прописывания чужого адреса. Извините, поменять тему не могу. Edited December 23, 2008 by masterovoj Вставить ник Quote
Nafanya Posted December 23, 2008 Posted December 23, 2008 если "ВЛАН на юзера" то пусть берёт какой ему захочется ip-адрес. поюзать не получиться ничего :) Вставить ник Quote
masterovoj Posted December 24, 2008 Author Posted December 24, 2008 (edited) если "ВЛАН на юзера" то пусть берёт какой ему захочется ip-адрес. поюзать не получиться ничего :)Изначальный смысл в том, что я хочу выделить и жёстко закрепить за каждым юзером свой IP (или несколько). Выдавать их из DHCP на основе VLAN'а, используя Option82. Но если юзер возьмёт и руками пропишет (статически) себе адрес соседа? Я пока не вижу ничего, что бы помешало ему работать "от имени" этого IP адреса. Обращаю внимание - включен ip-unnumbered и соответственно все VLANы "опираются" на один базовый интерфейс, на котором прописана вся сеть. Т.е. получается, что все адреса сети маршрутизируются в каждом ВЛАНе. Включен ARP-прокси. Вроде как бери любой адрес и можешь работать... Подскажите, как запретить? Edited December 24, 2008 by masterovoj Вставить ник Quote
Bambuk Posted December 24, 2008 Posted December 24, 2008 (edited) Но если юзер возьмёт и руками пропишет (статически) себе адрес соседа? Я пока не вижу ничего, что бы помешало ему работать "от имени" этого IP адреса. RPF помешает. Маршруты на конкретные IP через конкретные интерфейсы создаются при назначении адресов по dhcp. Edited December 24, 2008 by Bambuk Вставить ник Quote
D^2 Posted December 24, 2008 Posted December 24, 2008 IP Unnumbered for VLAN-SVI interfaces не поддерживается ни в sup3, ни в 3550 Вставить ник Quote
masterovoj Posted December 24, 2008 Author Posted December 24, 2008 IP Unnumbered for VLAN-SVI interfacesне поддерживается ни в sup3, ни в 3550 а... моя невнимательно прочитал Ваш ответ в ветке про компоновку Catalyst'ы. прошу пардону. Посмотрел в feature navigator насчёт указанного вами "IP Unnumbered for VLAN-SVI interfaces". Так там даже нету и 4000-й вообще. Начинается с 4500-й в компоновке начиная с SUP 2 PLUS. А ещё попытался добавить к ней в пару фичу "Reverse Path Forwarding - Source Exists only" - так оно вообще сругалось, что: The feature combination you searched on is not in any supported Cisco software releases in this tool. Please change the feature combination and search again. Thank you. Так что, получается финтазируемая мною идея вовсе и НЕ осуществима? Вставить ник Quote
ingress Posted December 25, 2008 Posted December 25, 2008 IP Unnumbered for VLAN-SVI interfacesне поддерживается ни в sup3, ни в 3550 у меня в 3550 поддерживается, наверно у вас какие то другие :) Вставить ник Quote
visir Posted December 25, 2008 Posted December 25, 2008 Нужная фича называется "IP Source Guard" и 3550 ее поддерживает. Вставить ник Quote
masterovoj Posted December 26, 2008 Author Posted December 26, 2008 (edited) IP Unnumbered for VLAN-SVI interfacesу меня в 3550 поддерживается, наверно у вас какие то другие :) Какая прошивка на 3550-ой? Edited January 11, 2009 by masterovoj Вставить ник Quote
visir Posted December 26, 2008 Posted December 26, 2008 (edited) Ух ты! Так получается всё как раз красиво, и всё что нужно уже есть в 3550-й? Подтвердите, пожалуйста, а то я растерялся. Итак. Предполагается что в 3550-ю втыкаются штук 48 проводов, в каждом по многу ВЛАНов. На 3550-ой на loopback вешается адрес типа 80.80.80.1/255.255.0.0. Затем делаются соответствующие ВЛАНы на всех медных портах. Во все ВЛАНы делается IP Unnumbered и IP Source Guard. Клиент не может работать пока не получил адрес по DHCP. Клиент получает адрес типа 80.80.80.2/255.255.255.255 (такая маска должна быть, да?), шлюз 80.80.80.1, при этом IPSG "разблокирует" его IP, в его ВЛАНе, и клиент работает. Я так понимаю, что, раз маска /32, то и какая-то фича типа ARP-прокси не нужна вовсе. Если я не прав, поправьте пож-та. Примерно такая полная схема реальна, работает, да? Какая прошивка на 3550-ой? В каждый порт по одному юзеру втыкается, или цепочка хабов ?Если первое, то никакие ip unnumbered и VLAN-ы не нужны, все проще :-) Если второе, то я не уверен, что оно вообще заработает. Точнее не знаю, какие будут лимиты числа "записей фильтрации" на группу портов. PS: 3550 уже давно снят с производства, может вы про 3560 ? Набор фич отличается ;) Edited December 26, 2008 by visir Вставить ник Quote
masterovoj Posted December 26, 2008 Author Posted December 26, 2008 (edited) В каждый порт по одному юзеру втыкается, или цепочка хабов ?Если первое, то никакие ip unnumbered и VLAN-ы не нужны, все проще :-) Если второе, то я не уверен, что оно вообще заработает. Точнее не знаю, какие будут лимиты числа "записей фильтрации" на группу портов. На доме стоит свич с 802.1q. От этого свича один кабель (в нём все ВЛАНы этого дома) приходит в узел и втыкается в один порт 3550-ой. То есть "один дом" втыкается в "один порт". Соответственно, на этом порту 3550-ой заводятся все ВЛАНы с этого дома. На рисунке нарисовано. Сможет 3550 в такой топологии расписанную мною красоту VLAN-на-юзера + IP Unnumbered + IP Source Guard ? Всё таки 6500-й начинается у Nag'а от 100 т.р., сильно хочется верить, что нужный мне минимум функционала можно найти и за меньшие деньги. Edited December 29, 2008 by masterovoj Вставить ник Quote
Nafanya Posted December 26, 2008 Posted December 26, 2008 (edited) ну так в 6500 можно до 4к(рекомендовано не более 2к) вланов завести! посчитайте сколько для этого потребуется 3550 да и обслуживание\апгрейд одного шасси всяко проще. Edited December 26, 2008 by Nafanya Вставить ник Quote
visir Posted December 26, 2008 Posted December 26, 2008 Вам нужно собирать стенд и проверять. Заработает ли это вообще, и, если заработает, то оценить лимиты. Лимиты могут быть на порт, на группу портов (обрабатываемых одним ASIC-ом) и на всю коробку. Последние вы можете найти по ключевому слову "SDM Templates" (скорей всего вам нужен пункт "Securiy ACE"). Общая работоспособность данной комбинации фич скорей всего не зависит от модели свитча, но может зависеть от версии IOS. У 3560/3750 более емкий CAM/TCAM, а значит лимиты всех трех типов могут буть в разы выше. А могут быть и такими же :-) Вставить ник Quote
D^2 Posted December 29, 2008 Posted December 29, 2008 (edited) IP Unnumbered for VLAN-SVI interfacesне поддерживается ни в sup3, ни в 3550 у меня в 3550 поддерживается, наверно у вас какие то другие :) команда работает только в SE ветке (до мая самые свежие релизы были только в SEE ветке).да в релизах 12.2(44)SE Unsupported Interface Configuration Commands ip accounting precedence {input | output} ip load-sharing [per-packet] ip mtu bytes ip verify ip unnumbered type number http://www.cisco.com/en/US/docs/switches/l....html#wp1012668 а сколько рекомендовано SVI на 3550? 16? Edited December 29, 2008 by D^2 Вставить ник Quote
masterovoj Posted December 29, 2008 Author Posted December 29, 2008 (edited) команда работает только в SE ветке (до мая самые свежие релизы были только в SEE ветке).да в релизах 12.2(44)SE Unsupported Interface Configuration Commands ip accounting precedence {input | output} ip load-sharing [per-packet] ip mtu bytes ip verify ip unnumbered type number http://www.cisco.com/en/US/docs/switches/l....html#wp1012668а сколько рекомендовано SVI на 3550? 16? тут пишут что 8 штук Тока недопонял смысл вашего поста. Вы говорите что "команда работает ... в релизах 12.2(44)SE". И сразу же приводите из ссылки на доку по 12.2(44)SE, где сказано, что команда НЕ поддерживается. Что хотели сказать? А товарищ ingress пишет, что команда у него работает. Тока не пишет какой у него релиз. P.S. Давайте определимся, что имеется ввиду 3550-48, или 3550-24. Edited December 29, 2008 by masterovoj Вставить ник Quote
MiB Posted December 29, 2008 Posted December 29, 2008 http://www.opennet.ru/base/cisco/catalyst_...number.txt.html а подскажите пожалуйста почему автор на лупбак прописывает 24ю маску? может я чего не знаю? Вставить ник Quote
Nafanya Posted December 29, 2008 Posted December 29, 2008 http://www.opennet.ru/base/cisco/catalyst_...number.txt.html а подскажите пожалуйста почему автор на лупбак прописывает 24ю маску? может я чего не знаю? прописывается маска, охватывающая весь диапазон ip, которые будут раздаваться через ip unnambered Вставить ник Quote
Elisium Posted April 25, 2009 Posted April 25, 2009 Кстати, мне тоже интересно, как там с 3550 и данной схемой ... Хотим сделать подобный вариант, да по общим граблям ходить неохота ( Вставить ник Quote
Дегтярев Илья Posted April 25, 2009 Posted April 25, 2009 Тож хотим поднять. Но только в центре 6509 (можно 7609 с бордера снять, ибо говорят на 65ой только 8к записей на снупинг), на лупбек повесить всю /18 подсеть реальных и на 300 виланов раздать. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.