masterovoj Опубликовано 23 декабря, 2008 (изменено) · Жалоба Рассматриваю cisco 3550 или 4006 с SUPIII. SUP 3 поддерживает ip-unnumbered, 3550-я вроде тоже, тут пролетало что "поддерживает". Смотрим в сторону "ВЛАН на юзера". Включаем ip-unnumbered и ARP прокси. Не могу догнать чем и как защитится от того, чтобы юзер не мог прописать себе чужой IPшник и поюзать чужой трафик. Обе железки умеют DHCP snooping, но ограничиваются опцией 82 и уникастизацией DHCPшных пакетов. То есть не блокируют VLAN, до того как там будет легально получен IP. Получается можно прописать себе руками любой IP и работать. При этом где-то в доке упоминается, что нельзя фильтровать на интерфейсах при задействовании ip-unnumbered. Чего делать-то? P.S. тему неправильно назвал, имелось ввиду-то не подделка в пакетах, а обычная ситуация прописывания чужого адреса. Извините, поменять тему не могу. Изменено 23 декабря, 2008 пользователем masterovoj Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 23 декабря, 2008 · Жалоба если "ВЛАН на юзера" то пусть берёт какой ему захочется ip-адрес. поюзать не получиться ничего :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
masterovoj Опубликовано 24 декабря, 2008 (изменено) · Жалоба если "ВЛАН на юзера" то пусть берёт какой ему захочется ip-адрес. поюзать не получиться ничего :)Изначальный смысл в том, что я хочу выделить и жёстко закрепить за каждым юзером свой IP (или несколько). Выдавать их из DHCP на основе VLAN'а, используя Option82. Но если юзер возьмёт и руками пропишет (статически) себе адрес соседа? Я пока не вижу ничего, что бы помешало ему работать "от имени" этого IP адреса. Обращаю внимание - включен ip-unnumbered и соответственно все VLANы "опираются" на один базовый интерфейс, на котором прописана вся сеть. Т.е. получается, что все адреса сети маршрутизируются в каждом ВЛАНе. Включен ARP-прокси. Вроде как бери любой адрес и можешь работать... Подскажите, как запретить? Изменено 24 декабря, 2008 пользователем masterovoj Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 24 декабря, 2008 (изменено) · Жалоба Но если юзер возьмёт и руками пропишет (статически) себе адрес соседа? Я пока не вижу ничего, что бы помешало ему работать "от имени" этого IP адреса. RPF помешает. Маршруты на конкретные IP через конкретные интерфейсы создаются при назначении адресов по dhcp. Изменено 24 декабря, 2008 пользователем Bambuk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 24 декабря, 2008 · Жалоба IP Unnumbered for VLAN-SVI interfaces не поддерживается ни в sup3, ни в 3550 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
masterovoj Опубликовано 24 декабря, 2008 · Жалоба IP Unnumbered for VLAN-SVI interfacesне поддерживается ни в sup3, ни в 3550 а... моя невнимательно прочитал Ваш ответ в ветке про компоновку Catalyst'ы. прошу пардону. Посмотрел в feature navigator насчёт указанного вами "IP Unnumbered for VLAN-SVI interfaces". Так там даже нету и 4000-й вообще. Начинается с 4500-й в компоновке начиная с SUP 2 PLUS. А ещё попытался добавить к ней в пару фичу "Reverse Path Forwarding - Source Exists only" - так оно вообще сругалось, что: The feature combination you searched on is not in any supported Cisco software releases in this tool. Please change the feature combination and search again. Thank you. Так что, получается финтазируемая мною идея вовсе и НЕ осуществима? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 25 декабря, 2008 · Жалоба IP Unnumbered for VLAN-SVI interfacesне поддерживается ни в sup3, ни в 3550 у меня в 3550 поддерживается, наверно у вас какие то другие :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 25 декабря, 2008 · Жалоба Нужная фича называется "IP Source Guard" и 3550 ее поддерживает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
masterovoj Опубликовано 26 декабря, 2008 (изменено) · Жалоба IP Unnumbered for VLAN-SVI interfacesу меня в 3550 поддерживается, наверно у вас какие то другие :) Какая прошивка на 3550-ой? Изменено 11 января, 2009 пользователем masterovoj Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 26 декабря, 2008 (изменено) · Жалоба Ух ты! Так получается всё как раз красиво, и всё что нужно уже есть в 3550-й? Подтвердите, пожалуйста, а то я растерялся. Итак. Предполагается что в 3550-ю втыкаются штук 48 проводов, в каждом по многу ВЛАНов. На 3550-ой на loopback вешается адрес типа 80.80.80.1/255.255.0.0. Затем делаются соответствующие ВЛАНы на всех медных портах. Во все ВЛАНы делается IP Unnumbered и IP Source Guard. Клиент не может работать пока не получил адрес по DHCP. Клиент получает адрес типа 80.80.80.2/255.255.255.255 (такая маска должна быть, да?), шлюз 80.80.80.1, при этом IPSG "разблокирует" его IP, в его ВЛАНе, и клиент работает. Я так понимаю, что, раз маска /32, то и какая-то фича типа ARP-прокси не нужна вовсе. Если я не прав, поправьте пож-та. Примерно такая полная схема реальна, работает, да? Какая прошивка на 3550-ой? В каждый порт по одному юзеру втыкается, или цепочка хабов ?Если первое, то никакие ip unnumbered и VLAN-ы не нужны, все проще :-) Если второе, то я не уверен, что оно вообще заработает. Точнее не знаю, какие будут лимиты числа "записей фильтрации" на группу портов. PS: 3550 уже давно снят с производства, может вы про 3560 ? Набор фич отличается ;) Изменено 26 декабря, 2008 пользователем visir Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
masterovoj Опубликовано 26 декабря, 2008 (изменено) · Жалоба В каждый порт по одному юзеру втыкается, или цепочка хабов ?Если первое, то никакие ip unnumbered и VLAN-ы не нужны, все проще :-) Если второе, то я не уверен, что оно вообще заработает. Точнее не знаю, какие будут лимиты числа "записей фильтрации" на группу портов. На доме стоит свич с 802.1q. От этого свича один кабель (в нём все ВЛАНы этого дома) приходит в узел и втыкается в один порт 3550-ой. То есть "один дом" втыкается в "один порт". Соответственно, на этом порту 3550-ой заводятся все ВЛАНы с этого дома. На рисунке нарисовано. Сможет 3550 в такой топологии расписанную мною красоту VLAN-на-юзера + IP Unnumbered + IP Source Guard ? Всё таки 6500-й начинается у Nag'а от 100 т.р., сильно хочется верить, что нужный мне минимум функционала можно найти и за меньшие деньги. Изменено 29 декабря, 2008 пользователем masterovoj Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 26 декабря, 2008 (изменено) · Жалоба ну так в 6500 можно до 4к(рекомендовано не более 2к) вланов завести! посчитайте сколько для этого потребуется 3550 да и обслуживание\апгрейд одного шасси всяко проще. Изменено 26 декабря, 2008 пользователем Nafanya Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 26 декабря, 2008 · Жалоба Вам нужно собирать стенд и проверять. Заработает ли это вообще, и, если заработает, то оценить лимиты. Лимиты могут быть на порт, на группу портов (обрабатываемых одним ASIC-ом) и на всю коробку. Последние вы можете найти по ключевому слову "SDM Templates" (скорей всего вам нужен пункт "Securiy ACE"). Общая работоспособность данной комбинации фич скорей всего не зависит от модели свитча, но может зависеть от версии IOS. У 3560/3750 более емкий CAM/TCAM, а значит лимиты всех трех типов могут буть в разы выше. А могут быть и такими же :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 29 декабря, 2008 (изменено) · Жалоба IP Unnumbered for VLAN-SVI interfacesне поддерживается ни в sup3, ни в 3550 у меня в 3550 поддерживается, наверно у вас какие то другие :) команда работает только в SE ветке (до мая самые свежие релизы были только в SEE ветке).да в релизах 12.2(44)SE Unsupported Interface Configuration Commands ip accounting precedence {input | output} ip load-sharing [per-packet] ip mtu bytes ip verify ip unnumbered type number http://www.cisco.com/en/US/docs/switches/l....html#wp1012668 а сколько рекомендовано SVI на 3550? 16? Изменено 29 декабря, 2008 пользователем D^2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
masterovoj Опубликовано 29 декабря, 2008 (изменено) · Жалоба команда работает только в SE ветке (до мая самые свежие релизы были только в SEE ветке).да в релизах 12.2(44)SE Unsupported Interface Configuration Commands ip accounting precedence {input | output} ip load-sharing [per-packet] ip mtu bytes ip verify ip unnumbered type number http://www.cisco.com/en/US/docs/switches/l....html#wp1012668а сколько рекомендовано SVI на 3550? 16? тут пишут что 8 штук Тока недопонял смысл вашего поста. Вы говорите что "команда работает ... в релизах 12.2(44)SE". И сразу же приводите из ссылки на доку по 12.2(44)SE, где сказано, что команда НЕ поддерживается. Что хотели сказать? А товарищ ingress пишет, что команда у него работает. Тока не пишет какой у него релиз. P.S. Давайте определимся, что имеется ввиду 3550-48, или 3550-24. Изменено 29 декабря, 2008 пользователем masterovoj Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MiB Опубликовано 29 декабря, 2008 · Жалоба http://www.opennet.ru/base/cisco/catalyst_...number.txt.html а подскажите пожалуйста почему автор на лупбак прописывает 24ю маску? может я чего не знаю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 29 декабря, 2008 · Жалоба http://www.opennet.ru/base/cisco/catalyst_...number.txt.html а подскажите пожалуйста почему автор на лупбак прописывает 24ю маску? может я чего не знаю? прописывается маска, охватывающая весь диапазон ip, которые будут раздаваться через ip unnambered Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kosb Опубликовано 22 апреля, 2009 · Жалоба так что схему внедрили? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Elisium Опубликовано 25 апреля, 2009 · Жалоба Кстати, мне тоже интересно, как там с 3550 и данной схемой ... Хотим сделать подобный вариант, да по общим граблям ходить неохота ( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 25 апреля, 2009 · Жалоба Тож хотим поднять. Но только в центре 6509 (можно 7609 с бордера снять, ибо говорят на 65ой только 8к записей на снупинг), на лупбек повесить всю /18 подсеть реальных и на 300 виланов раздать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...