Static Route.

2021.08.09. Kurapov Alexey.

Отличие команд ip route ip_address mask Next-Hop от ip route ip_address mask Number_Interface

Рассмотрим топологию:



Конфигурация R1:

 

Конфигурация R2:

 

Конфигурация R3:

 

Проверяем RIB на R1:

 


1. Начнем с команды вида ip route ip_address mask Number_Interface  - такой статический маршрут задан на R1 для Lo0 роутера R2.

Запустим ping с R1 на int Lo0 R2 и смотрим ARP сообщения:

  

 

Проверим ARP таблицу на роутерах:

 

R2 ответил МАС адресом своего интерфейса fa0/0:

 

В данном случае работает механизм Proxy ARP на R2.

Proxy ARP позволяет интерфейсу отвечать на “чужие” ARP-запросы своим MAC адресом. Это происходит, когда выполняются следующие условия (все сразу):

– целевой IP-адрес ARP-запроса находится в IP-подсети, отличной от IP-подсети, в которой ARP-запрос получен

– маршрутизатор имеет один или несколько маршрутов к целевому IP-адресу ARP-запроса

– маршруты к целевому IP-адресу ARP-запроса указывают на исходящий интерфейс, отличный от интерфейса, на который ARP-запрос был получен.

 Отключим на R2 на int fa0/0 Proxy ARP:

И очистим ARP запись для ip 2.2.2.2 на R1:

Повторно запустим ping с R1 на адрес 2.2.2.2:

Ping не успешен, на ARP запросы R2 не отвечает, т.к. мы запрашиваем МАС ip 2.2.2.2, которого нет на int fa0/0, а отключив механизм Proxy ARP  на int fa0/0 R2, мы запретили интерфейсу отвечать на “чужие” ARP-запросы своим маком.


 2.  Теперь рассмотрим команду вида ip route ip_address mask Next-Hop  - такой статический маршрут задан на R1 для Lo0 роутера R3.

Сразу отключим Proxy ARP на int fa0/1 роутера R3:

Запустим ping c R1 на Lo0 R3:

 

 

Ping ожидаемо успешен, т.к. мы запрашиваем МАС для ip 13.13.13.3, который закреплен за портом fa0/3 роутера R3, и в данном случае Proxy ARP на R3 не нужен. И еще раз почему запрашиваем МАС для ip 13.13.13.3 при ping 3.3.3.3:

 

При использовании Proxy ARP  cистема безопасности может быть нарушена. Один компьютер может выдавать себя за другой для перехвата пакетов. Это называется "спуфингом".

Рекомендации:

1. Прописывать статические маршруты с помощью команд вида:

 ip route ip_address mask Next-Hop  

2. Отключать Proxy ARP на всех интерфейсах или глобально, глобальная команда имеет приоритет перед настройками на интерфейсах:



Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Изображение
Nexus NX-OS. vPC. Практика. Часть 1. 2021.11. 24 . Kurapov Alexey .   Nexus NX-OS. vPC. Part 1. Nexus и Catalyst -   одно из отличий: Nexus   - коммутаторы Cisco со скоростью коммутации с порта на порт, не более 2-3 мкс, в отличии от, например, Catalyst 9 x 00 , с задержкой порядка 50 мкс. В больших или распределенных ЦОД-ах, при наличии множества next - hop , данный параметр является критичным для ряда приложений, когда требуется задержка при обращении сервера приложений к БД на уровне не более 2-3 мс.   vPC – для чего? В кампусных сетях для обеспечения надежности доступности хостов или сетевого оборудования в L 2 домене используется понятие LACP – несколько линков работают одновременно и не блокируются протоколом STP .   Особенно важно обеспечить аналогичную работу в ЦОД-е/-ах, где используются 10/25/40/100 Gb линки и неиспользование части из них весьма дорого. В обычной ситуации сервер подключенный к двум разным физическим коммутаторам...
Далее...
Изображение
  MPLS Part 3.  Практика . MPLS LDP Tunnels Part 3. 2023.05.10. Kurapov Alexey. MPLS Part 3 MPLS LDP Tunnels Part 3                     Схема сети такая же, как и раньше:   Рассмотрим откуда берутся метки.                     В выводе команды show ip cef , также есть MPLS метка:                       Откуда берутся метки? Как только включаем LDP на интерфейсах, появляется дополнительная таблица – таблица MPLS Forwarding :                     Данная таблица называется LIB – Label Information Base , или LFIB – Label Forwarding Information Base , в ней есть метки для всех известных R 1 префиксов.   ...
Далее...
Изображение
MPLS Part 8.  Практика . MPLS  L3 VPN Part 5. MPLS L3 VPN PE-CE routing with OSPF Part 1. 2023.09.19. Kurapov Alexey. MPLS Part 8 MPLS L3 VPN Part 5                   MPLS L3 VPN PE-CE routing with OSPF Part 1.                       Топология сети не изменилась:                         Ранее научились отдавать connected сети, теперь перейдем к динамической маршрутизации – CE - PE routing .                     PE – Provider Router , этот роутер терминирует на себе vrf .                     CE – граничный роутер клиента, смотрит в сторо...
Далее...