proxy arp
Raczej tego nie ma na kursie BCMSN ale może się komuś przydać. Użytecznym zastosowaniem proxy-arp jest siec w której stosowano Private VLAN.
Dwa hosty posiadające adresy z jednej klasy adresowej umieszczonych na różnych portach isolated vlan lub w różnych community vlan muszą w celu komunikacji między sobą ustawiać sobie routingi statyczne /32 (lub inne mniejsze niż siec w jakiej są zaadresowane). Uruchomienie proxy arp (z dodatkowymi opcjami) umieszczonego na SVI switcha załatwia ten problem i upraszcza zarządzanie systemami w takiej architekturze.
Dwa hosty posiadające adresy z jednej klasy adresowej umieszczonych na różnych portach isolated vlan lub w różnych community vlan muszą w celu komunikacji między sobą ustawiać sobie routingi statyczne /32 (lub inne mniejsze niż siec w jakiej są zaadresowane). Uruchomienie proxy arp (z dodatkowymi opcjami) umieszczonego na SVI switcha załatwia ten problem i upraszcza zarządzanie systemami w takiej architekturze.
Witam,
ja się spróbuje podpiąć i odświeżyć wątek bo 2 dni temu rozpocząłem podobny temat i o ile idea działa i zastosowanie jest mi dość jasne to podstawowe pytania jakie mnie nurtują:
1. czemu cisco 3550 (12.1) bez ustawionego gateway'a ma dostęp do innych podsieci a host na windowsie czy na linuxie już nie mimo że router ma wlączone proxy-arp.
2. czy default'owe włączenie proxy-arp na cisco jest rozsądnym rozwiązaniem czy jest to coś co wypada wyłączyć gdyż stanowi zagorzenie bezpieczeństwa w sieci?
Pozdrawiam
Mroofka
ja się spróbuje podpiąć i odświeżyć wątek bo 2 dni temu rozpocząłem podobny temat i o ile idea działa i zastosowanie jest mi dość jasne to podstawowe pytania jakie mnie nurtują:
1. czemu cisco 3550 (12.1) bez ustawionego gateway'a ma dostęp do innych podsieci a host na windowsie czy na linuxie już nie mimo że router ma wlączone proxy-arp.
2. czy default'owe włączenie proxy-arp na cisco jest rozsądnym rozwiązaniem czy jest to coś co wypada wyłączyć gdyż stanowi zagorzenie bezpieczeństwa w sieci?
Pozdrawiam
Mroofka
1. Cisco 3550 jesli ma soft EMI potrafi routowac, dlatego ma dostep do kazdej podsieci do ktorej ma trase nie istotnie jak uzyskana ( routing dynamiczny, statyczny czy connected) byle byla w tablicy routingu, no i ta opcje trzeba wpierw wlaczyc komendaMroofka pisze:Witam,
ja się spróbuje podpiąć i odświeżyć wątek bo 2 dni temu rozpocząłem podobny temat i o ile idea działa i zastosowanie jest mi dość jasne to podstawowe pytania jakie mnie nurtują:
1. czemu cisco 3550 (12.1) bez ustawionego gateway'a ma dostęp do innych podsieci a host na windowsie czy na linuxie już nie mimo że router ma wlączone proxy-arp.
2. czy default'owe włączenie proxy-arp na cisco jest rozsądnym rozwiązaniem czy jest to coś co wypada wyłączyć gdyż stanowi zagorzenie bezpieczeństwa w sieci?
Pozdrawiam
Mroofka
Kod: Zaznacz cały
ip routing
Kod: Zaznacz cały
ip route x.x.x.x x.x.x.x.x fa0/0 adres IP
Dla uproszczenia można przyjąć, że:Mroofka pisze: 2. czy default'owe włączenie proxy-arp na cisco jest rozsądnym rozwiązaniem czy jest to coś co wypada wyłączyć gdyż stanowi zagorzenie bezpieczeństwa w sieci?
Pozdrawiam
Mroofka
- większość usług domyślnie włączonych dotyczy funkcjonowania podstawowych usług, które są wykorzystywane i niezbędne
- 10-20% usług domyslnie włączonych wiąże się z zagrożeniami i nalezy/mozna wyłączyc
trochę mnie to zastanowiło i zaciekawiło wszystko co opisaliśćie.
akutalnie sytuacja na moim switch'u oraz w mojej głowie jest następująca
1. po włączeniu routingu jak zasugerowaliści
bez wpisywania domyślnej bramki switch już nie ma dostępu do innych sieci niż te o których "wie" a wie tylko o jednej tej co ma connected i to jest zachowanie wg mnie prawidłowe dla mojego stanu wiezdy Uff.
2. po wylaczeniu tej funkcjonalnosci "znowu" głupieje i wypytuje poprzez arp o adresy z innej podsieci ? ponieważ gateway je zna i ma włączone arp-proxy to odpowiada na tej podstawie moj biedy 3550 wysyła pakiet na mac bramki do odległej podsieci i ma komunikacje z innymi podsieciami w ten sposób. Podstawowe pytanie jakie mnie nurtuje pozostaje niezmiennie takei samo:
Dla czego na cisco tak sie dzieje a na innych systemach juz nie? Czy to znaczy że po wyłaczeniu routingu cisco faktycznie "głupieje" i wysyła zapytania na warstwie L2 do wszystkiego co popadnie?
3 Czy host powinien wysyłać zapytania arp do ip z innej podsieci niż ta w której się znajduje? Jaki standard to definiuje lub jaki tego zabrania (bo ku tej opcji się skłaniam)?
4. czy można z tego wszystkigo wywnioskować że router który ma uruchomione proxy arp i ustawionego gatewaya u siebie odpowie na kazde zapytanie arp bo teoretycznie zna trasę do wszystkich podsieci bo zna nex-hop'a? Czy może router o którym mowa ma uruchomionego bgp i z racji tego posiada pełną tabelę routingu i dla tego odpowiada na zapytania arp?
Wiem trochę zamieszałem już teraz ale mam nadzieję że zrozumiecie moje wątpliwości i zechcecie pomóc mi w ich rozwianiu
Pozdrawiam
Mroofka
akutalnie sytuacja na moim switch'u oraz w mojej głowie jest następująca
1. po włączeniu routingu jak zasugerowaliści
Kod: Zaznacz cały
ip routing
2. po wylaczeniu tej funkcjonalnosci "znowu" głupieje i wypytuje poprzez arp o adresy z innej podsieci ? ponieważ gateway je zna i ma włączone arp-proxy to odpowiada na tej podstawie moj biedy 3550 wysyła pakiet na mac bramki do odległej podsieci i ma komunikacje z innymi podsieciami w ten sposób. Podstawowe pytanie jakie mnie nurtuje pozostaje niezmiennie takei samo:
Dla czego na cisco tak sie dzieje a na innych systemach juz nie? Czy to znaczy że po wyłaczeniu routingu cisco faktycznie "głupieje" i wysyła zapytania na warstwie L2 do wszystkiego co popadnie?
3 Czy host powinien wysyłać zapytania arp do ip z innej podsieci niż ta w której się znajduje? Jaki standard to definiuje lub jaki tego zabrania (bo ku tej opcji się skłaniam)?
4. czy można z tego wszystkigo wywnioskować że router który ma uruchomione proxy arp i ustawionego gatewaya u siebie odpowie na kazde zapytanie arp bo teoretycznie zna trasę do wszystkich podsieci bo zna nex-hop'a? Czy może router o którym mowa ma uruchomionego bgp i z racji tego posiada pełną tabelę routingu i dla tego odpowiada na zapytania arp?
Wiem trochę zamieszałem już teraz ale mam nadzieję że zrozumiecie moje wątpliwości i zechcecie pomóc mi w ich rozwianiu
Pozdrawiam
Mroofka
TakMroofka pisze:trochę mnie to zastanowiło i zaciekawiło wszystko co opisaliśćie.
akutalnie sytuacja na moim switch'u oraz w mojej głowie jest następująca
1. po włączeniu routingu jak zasugerowaliścibez wpisywania domyślnej bramki switch już nie ma dostępu do innych sieci niż te o których "wie" a wie tylko o jednej tej co ma connected i to jest zachowanie wg mnie prawidłowe dla mojego stanu wiezdy Uff.Kod: Zaznacz cały
ip routing
Nie. Po wyłączeniu "ip routing" switch jest urządzeniem L2 i pełni fukcje typowe dla switcha w l2.Mroofka pisze: 2. po wylaczeniu tej funkcjonalnosci "znowu" głupieje i wypytuje poprzez arp o adresy z innej podsieci ? ponieważ gateway je zna i ma włączone arp-proxy to odpowiada na tej podstawie moj biedy 3550 wysyła pakiet na mac bramki do odległej podsieci i ma komunikacje z innymi podsieciami w ten sposób. Podstawowe pytanie jakie mnie nurtuje pozostaje niezmiennie takei samo:
Dla czego na cisco tak sie dzieje a na innych systemach juz nie? Czy to znaczy że po wyłaczeniu routingu cisco faktycznie "głupieje" i wysyła zapytania na warstwie L2 do wszystkiego co popadnie?
Jest kilka możliwych scenariuszy komunikacji w lan (np. gdy 2 hosty są w tej samej domenie kolizyjnej, w tej samej domenie broadcastowej, lub w kilku roznych domenach broadcastowych). Generalnie to nie switch wypytuje poprzez arp o maci z innej podsieci ale hosty wysyłając broadcast w l2 i to gateway podejmuje dalszą komunikacje (proxy arp).
Host wysyła zapytania arp jako broadcast, ale broadcasty są zamykane w ramach podsieci (karta na routerze), router przejmuje zapytanie i posredniczy w tej komunikacji. Stardard: arp, proxy arp, ogólnie standardy komunikacji w sieci Ethernet. RFC: 950, 922, 826, 1027.Mroofka pisze: 3 Czy host powinien wysyłać zapytania arp do ip z innej podsieci niż ta w której się znajduje? Jaki standard to definiuje lub jaki tego zabrania (bo ku tej opcji się skłaniam)?
Czy ostatecznie komunikacja dojdzie do skutku zalezy od wielu innych protokołow i aplikacji w kolejnych warstwach. Proponuje nie mieszac do tego bgp, np moze byc uruchomiony bgp ale wyfiltrowane wszystkie prefixy a komunikacja idzie po statycznym default.Mroofka pisze: 4. czy można z tego wszystkigo wywnioskować że router który ma uruchomione proxy arp i ustawionego gatewaya u siebie odpowie na kazde zapytanie arp bo teoretycznie zna trasę do wszystkich podsieci bo zna nex-hop'a? Czy może router o którym mowa ma uruchomionego bgp i z racji tego posiada pełną tabelę routingu i dla tego odpowiada na zapytania arp?
--
pozdr