[tims]

Есть сеть по схеме "вилан на дом". Публичные адреса не нарезаны на мелкие сетки, а выдаются из общего блока по средствам binat'а.

Можно ли в данной схеме заменить binat на cisco с ip-unnambered, закинув все виланы транком на свитч, а сеть публичных адресов прописав на лупбэк. (На клиентах будет прописан публичный адрес с маской 24)

 

Какие ограничения есть у такой схемы?

 

!

interface Loopback2

ip address 123.123.123.1 255.255.255.0 ! публичная сеть

no ip redirects

!

!

interface Vlan555

des dom1

ip unnumbered Loopback2

!

interface Vlan556

des Dom2

ip unnumbered Loopback2

!

interface VlanN

des DomN

ip unnumbered Loopback2

[vurd]

Не хватает маршрута на конкретный адрес (или подсеть) на конкретном влане.

Тут нужно либо использовать arp-poll (умеет 3x50, 4x00) либо прямые маршруты на влан, либо dhcp.

Какая железка то?

[tims]

Да, про маршрут я в курсе.

Хочу узнать нет ли в такой схеме каких-нибудь подводных граблей.

[darkagent]

Подводные грабли сильно зависят от используемого железа и софта на нем. Если посмотреть в release notes наиболее распространенных софтов для кошек, то там можно заметить бескрайнее множество пунктов, затрагивающих тот же dhcp или ip unnumbered, и нередкую надпись "there is no workaround".

[tims]

А если такую схему сделать на сс6500 куда сходятся все виланы с домов?

 

!
vlan 501
name dom1
!
vlan 502
name dom2
!
vlan 5NN
name domN
!
!
interface Loopback2
ip address 123.123.123.1 255.255.255.0 ! публичная сеть
no ip redirects
!
!
interface Vlan555
des dom1
ip address 10.0.1.1 255.255.255.0
!
interface Vlan556
des Dom2
ip address 10.0.2.1 255.255.255.0
!
interface VlanN
des DomN
ip address 10.0.N.1 255.255.255.0
!
!
ip route 123.123.123.2 255.255.255.255 Vlan555
ip route 123.123.123.3 255.255.255.255 Vlan555
!
ip route 123.123.123.4 255.255.255.255 Vlan556
ip route 123.123.123.5 255.255.255.255 Vlan556
!
ip route 123.123.123.X 255.255.255.255 VlanN

[biox]

Конфиг в первом посте верен. Юзаем анлогично ipunnumbered на 6500, роуты создаются при получении адреса по DHCP.

[tims]

Дело в том что при использовании конфига из первого поста придётся ставить отдельный коммутатор и на него заводить транком все виланы. (ip unnumbered исключает ip address)

А cc6500 с таким конфигом уже стоит:

!
vlan 501
name dom1
!
vlan 502
name dom2
!
vlan 5NN
name domN
!
!
interface Vlan555
des dom1
ip address 10.0.1.1 255.255.255.0
!
interface Vlan556
des Dom2
ip address 10.0.2.1 255.255.255.0
!
interface VlanN
des DomN
ip address 10.0.N.1 255.255.255.0
!
!

 

На стенде второй вариант работает!

Изменено 4 октября, 2013 пользователем tims

[biox]

Вы ересь несёте.

Не обязательно все виланы в аннамберед засовывать.

 

 

 

[tims]

Что именно ересь?

 

 

Получается что ip unnambered нужен на тех интерфейсах где нельзя сделать ip address (vlan per cutomer). В моём случае достаточно роутов. аннамберед ненужен.

[biox]

ip unnumbered нужен в первую очередь там, где хочется vlan per customer, но ресурс адресации ограничен, позволяет отвязать друг от друга vlan и адресное пространство.

[biox]

Ниже пример конфигурации, который содержит как обычные svi, так и ipunnumbered svi

!
interface Vlan4094
description to_core
ip address 111.111.111.250 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
end
!
interface Vlan1000
description for_servers
ip address YY.YY.YY.1 255.255.255.0
end
!
interface Loopback1000
description dg_for_all_customer
ip address 172.16.0.1 255.255.255.0 secondary
ip address 10.10.0.1 255.255.252.0
no ip redirects
end
!
interface Vlan201
description customer_vlan
ip unnumbered Loopback1000
ip helper-address YY.YY.YY.2 ; адрес dhcp сервера
no ip redirects
no ip unreachables
ip policy route-map zavorot-na-day-deneg
end
!
interface Vlan202
description customer_vlan 
ip unnumbered Loopback1000
ip helper-address YY.YY.YY.2 ; адрес dhcp сервера
no ip redirects
no ip unreachables
ip policy route-map zavorot-na-day-deneg
end
!
interface Vlan203
description customer_vlan 
ip unnumbered Loopback1000
ip helper-address YY.YY.YY.2 ; адрес dhcp сервера
no ip redirects
no ip unreachables
ip policy route-map zavorot-na-day-deneg
end
!
access-list 999 deny ip any host 10.10.0.1
access-list 999 deny ip any host 172.16.0.1
access-list 999 deny ip any host YY.YY.YY.2 ; dhcp сервер
access-list 999 deny ip any host YY.YY.YY.3 ; web сервер (со страницей "дай денег")
--
access-list 999 deny ip host 10.10.0.101 any
access-list 999 deny ip host 10.10.0.102 any
access-list 999 deny ip host 10.10.0.103 any
--
access-list 999 permit any any
!
route-map zavorot-na-day-deneg permit 10
match ip address 999
set ip next-hop YY.YY.YY.3
!
ip route 0.0.0.0 0.0.0.0 111.111.111.249
ip route YY.YY.YY.0 255.255.255.0 vlan1000
----------------------------------------------------------------------------------------------------------------
customer route создаются автоматически при выдаче IP адреса dhcp сервером
----------------------------------------------------------------------------------------------------------------
ip route 10.10.0.101 255.255.255.255 vlan201
ip route 172.16.0.52 255.255.255.255 vlan201
ip route 10.10.0.102 255.255.255.255 vlan202
ip route 10.10.0.103 255.255.255.255 vlan203
ip route 172.16.0.32 255.255.255.255 vlan203

Изменено 5 октября, 2013 пользователем biox

[Andruha50]

Коллеги, приветствую. Подскажите какие настройки необходимы со стороны клиента при условии что клиент Cisco 1811?

со своей стороны на роутере 2821 сделал

 

 

interface Loopback 0

ip xxx.xxx.xxx.xxx

 

intarface gigabitethernet 0/0.111

encapsulation dot1q 111

ip unnumbered Loopback 0

 

ip route YYY.YYY.YYY.YYY 255.255.255.255 gigabitethernet 0/0.111

 

при такой конфиге работает подключенный ноутбук как клиент но при клиенте cisco роутере

каменный цветок не выходит.

[NikAlexAn]

Коллеги, приветствую. Подскажите какие настройки необходимы со стороны клиента при условии что клиент Cisco 1811?

со своей стороны на роутере 2821 сделал

Как соединены 2811 и 1811?

Какие настройки на 1811?

Какая маска на lo0?

Адрес клиента попадает в сеть на lo0?

Изменено 11 октября, 2013 пользователем NikAlexAn

[Andruha50]

1

Как соединены 2821 и 1811?

соединены vlan-ом через цепочку свичей и подняты сабы L3 (L2 100% в порядке так как при выделении сети /30 все заработало)

 

2

Какие настройки на 1811?

клиенту давал настройки

ip xx.xx.xx.xx

mask 255.255.255.252 ( меньше не работало на ноуте)

gw yy.yy.yy.yy (ip Loopback )

 

3

Какая маска на lo0?

255.255.255.255

 

4

Адрес клиента попадает в сеть на lo0?

получается что не подпадает адрес клиента в эту сеть.

ip route xx.xx.xx.xx (ip клиента) 255.255.255.255 Gigabitethernet 0/0.222(интерфейс клиента)

Только при всем при этом мне не понятно почему не работает подключенный роутер но работает

ноут на Windows.

Проблему я решил выделением /30 сети. но все равно хочу разобраться с этой технологией чтобы оптимальнее расходовать кончающиеся адреса.

Изменено 12 октября, 2013 пользователем Andruha50

[DVM-Avgoor]

Вообще выдача 255.255.255.255 на сторону клиента работает плохо. Много проблем с роутерами и линуксами. Поэтому же и выдают клиенту /24, а на брасе включают proxy-arp.

[adnull]

В сторону клиента маршрут должен быть /32. А вот на стороне клиента маска должна быть такой, чтобы gw который повешен на лупбэк в нее попадал, верно? Тогда неясно почему вы даете клиенту /30...

[NikAlexAn]

Если IP unnumbered то например:

 

interface Loopback 0

ip x.x.x.x 255.255.255.0

 

intarface gigabitethernet 0/0.111

desc client01

encapsulation dot1q 111

ip unnumbered Loopback 0

 

intarface gigabitethernet 0/0.112

desc client02

encapsulation dot1q 112

ip unnumbered Loopback 0

 

 

ip route x.x.x.x+1 255.255.255.255 gigabitethernet 0/0.111

ip route x.x.x.x+2 255.255.255.255 gigabitethernet 0/0.112

 

У клиентов:

01

ip x.x.x.x+1

mask 255.255.255.0

gw x.x.x.x (ip Loopback )

 

02

ip x.x.x.x+2

mask 255.255.255.0

gw x.x.x.x (ip Loopback )

 

Как то так.