|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Pavel Shirshov 2:5010/148.22 13 Jul 2007 00:25:58
To : Serge V.Panchenko
Subject : Роутинг широковещательных пакетов
--------------------------------------------------------------------------------
Мои бортовые системы запеленговали, что в Четверг Июль 12 2007 13:53, Serge
V.Panchenko писал Pavel Shirshov:
PS>> Предложение Andrey Tarasov мне больше по душе. Только оно не
PS>> полностью решает проблему. Описание на команду можно прочитать
PS>> здесь
PS>> http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_
PS>> command_reference_chapter09186a0080087387.html#wp101810 9
SP> Да ведь по-умолчанию ip directed-broadcast задизэйблено. Впрочем,
SP> попробовал - не помогло.
Так оно и не могло помочь. Почитай описание на эту фичу. Ее нужно применять
в центре, а тебе нужно фильтровать на периферии
PS>> ip verify unicast reverse-path allow-self ping
PS>> http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_c
PS>> onfig uration_guide_chapter09186a00804b046b.html
PS>> Эта командочка отобьет у циски желание форвардит пакеты из сети,
PS>> которая эти пакеты порождать как бы не должна. По мне самый
PS>> простой способ :)
SP> Тут немножко не та ситуация. Сеть у меня - 192.168.14.160/27.
SP> "Безбашенная винда" шлёт пакеты широковещательные пакеты с адреса
SP> 192.168.14.176 (который в эту сеть входит!). То есть, получается пакет
SP> с src ip == 192.168.14.176 и dst ip == 192.168.255.255.
Вообще, здесь какая то загвоздка. Попробуй посмотреть таблицу маршрутизацию этой
сошедшей с ума винды.
Может кто-то гадит в сети.
SP> Хочу признаться, что мой вопрос более идеологический. Ибо workaround
SP> (в виде ACL'я типа 'deny udp any host 192.168.255.255') я проверил -
SP> работает. Так вот, про идеологию. "Безбашенная" винда, как я понимаю,
SP> отсылает широковещательный пакет с src ip == 192.168.14.176 и dst ip
SP> == 192.168.255.255. И когда этот пакет ложится в Ethernet-frame, то
SP> src MAC-addr - это адрес винды, а dst MAC-addr == FFFF:FFFF:FFFF, так
SP> как этот пакет предназначен всем. По моему разумению, шлюз HЕ ДОЛЖЕH
SP> форвардить этот пакет, даже если и proxy-arp включен - ведь это не
SP> arp-request! Или я где-то не прав?
А по мне все логично. В порядке предположения - Cisco принимает пакет, потому
что он идет broadcast-ом, видит dst адрес обычный (ну нет у нее в таблице
маршрутизации сети 192.168/16). И форвардит пакет по твоей таблице
маршрутизации.
C уважением, Pavel Shirshov.
--- GoldED+/W32 1.1.5
* Origin: pavelsh(at)mail(dot)ru (2:5010/148.22)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
