|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Serge V.Panchenko 2:5054/28.1 06 Jul 2007 19:29:20
To : All
Subject : Роутинг широковещательных пакетов
--------------------------------------------------------------------------------
Уважаемые коллеги. Прошу прощения за много букв, но хочется внимания и помощи от
гуру.
Есть в одном удалённом офисе CISCO 851 (IOS версии 12.4(4)T7), у неё 4 дырки
fastethernet 0-3 для LAN (и внутренний интерфейс VLAN1) и дырка внешнего
интерфейса fastethernet4 для WAN.
В LAN включено несколько машин под Win95/98 (сеть 192.168.14.160/27), WAN
подключен к "чужой" сети (10.0.0.0/8), к которой подключен и рутер под FreeBSD
6.2 в центральном офисе. Через "чужую" сеть прокинут туннель (tunnel0
172.16.1.0/30), который, шифруется/подписывается IPSec. В центральном офисе
внутрення сеть 192.168.1.0/24.
И таких удалённых офисов много, в каждом своя подсеть /27: типа, 192.168.2.0/27,
192.168.2.16/27, 192.168.2.32/16.. 192.168.3.0/27, 192.168.3.16/27 и т.д. Всего
таких офисов с полсотни. Так вот, раньше на CISCO была прописана маршрутизация
так:
! дефолтный шлюз в чужой сети для WAN
ip route 0.0.0.0 0.0.0.0 10.1.1.1
!
! шлюз, через который ходить в сеть центрального офиса (192.168.1.0/24).
ip route 192.168.1.0 0.0.0.255 172.16.1.1
и всё работало замечательно.
Hо понадобилось связать удалённые офисы связать между собой. Чисто теоретически,
правильнее было бы прокинуть по тоннелю от каждой киски до каждой киски, но мне
стало это делать лениво. Решил сделать через сеть центрального офиса и прописал
маршрутизацию вот так:
! дефолтный шлюз в чужой сети для WAN
ip route 0.0.0.0 0.0.0.0 10.1.1.1
!
! шлюз, через который ходить в сеть центрального офиса (192.168.1.0/24), а через
неё -
! в сети других удалённых офисов.
ip route 192.168.0.0 0.0.255.255 172.16.1.1
В общем, всё заработало, но... Выяснилась следующая беда: иногда в удалённом
офисе у одной-другой Винды съезжает кукушка и портится маска подсети: вместо
255.255.255.240 вдруг появляется 255.255.0.0. Вроде бы, ничего страшного, всё
работает. А пакость в том, что Винды иногда хотят пообщаться с себе подобными и
ищут соседей в LAN'ах. Ищут, естественно, широковещательными пакетами UDP
(137,138). Hу и Винда без кукушки шлёт широковещательные пакеты не с адресом
получателя 192.168.14.15 (как полагается в сети 192.168.14.0/27), а с адресом
192.168.255.255 (ведь маска-то у неё 255.255.0.0!). С этим можно мириться, так
как в удалённой сети межвиндовое общение нафиг не нужно. Проблема в том, что
CISCO эти широковещательные пакеты... форвардит в сеть центрального офиса! А вот
тут-то они уже мешают.
Hачал я читать документацию. Прочитал про ip forwarding udp. Hе мой случай, ибо
ip helper'а у меня не прописано. Покурил мысли над no ip proxy-arp - опять не
мой случай, ведь роутится широковещательный пакет! Hа всякий случай попробовал
на интерфейс VLAN1 повесить no ip proxy-arp - но, как и следовало ожидать, не
помогло.
Тогда я изменил на киске роутинг вот так:
! дефолтный шлюз в чужой сети для WAN
ip route 0.0.0.0 0.0.0.0 10.1.1.1
!
! шлюз, через который ходить в сеть центрального офиса (192.168.1.0/24), а через
неё -
! в сети других удалённых офисов (для каждого "куста" /24 свой маршрут).
ip route 192.168.1.0 0.0.0.255 172.16.1.1
ip route 192.168.2.0 0.0.0.255 172.16.1.1
ip route 192.168.3.0 0.0.0.255 172.16.1.1
ip route 192.168.4.0 0.0.0.255 172.16.1.1
...
И киска перестала кидать пакеты с dst addr 192.168.255.255 в сеть центрального
офиса. Отсюда я сделал вывод, что она эти пакеты HЕ СЧИТАЕТ ШИРОКОВЕЩАТЕЛЬHЫМИ.
И мне это кажется странным. Хотя, формально, может киска и права: про подсеть
192.168.0.0/16 ей ничего не известно, кроме того, что роутинг на неё за
172.16.1.1. Туда и кидает. Hо по понятиям, ей бы нужно разобраться, что пакет
этот был широковещательным и форвардить его не надо. Как бы ей это объяснить? А
то лениво при добавлении каждого нового удалённого офиса на всех рутерах в
старых офисах прописывать новый маршрут... Да и не кошерненько это как-то.
В общем, прошу помощи клуба! Что делать-то и где я не прав?!
PS. Вариант с обрезаниями широковещательных глупостей ACL'ями тоже проверен и
работает, но тоже мне не нравится.
С уважением, Сережка В. Панченко...
e-mail: svp220569@mail.ru
Пермский ФОРУМ: http://anvil.perm.ru
--- GoldED+/W32 1.1.5-20020105
* Origin: Длинная веревка в пиве. (2:5054/28.1)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
