NATを使用せずに同じサブネット間をルーティングする

最近、私は少し奇妙だと思っていたL3スイッチ設定を見つけました。 ですから、この質問は、1)これらのタイプの設定が一般的なプラクティスであるかどうか、および2)それに問題があるかどうかを理解することです。

私は最初の人物の物語からシナリオを説明しようとしますが、私はクレジット/非難を主張しません。

私は、同じIPv4ネットワークID(例えば130.10.0.0/16)を持つ2つの別々のサブネットAとBを持っています。各ネットワークは1つのL3スイッチを持ち、これらのサブネットに同じVLAN ID(たとえば3)を使用します。単純化のために、AとBはお互いのほぼクローンです。

これらの2つのネットワークは別々のブロードキャストドメインのままでなければなりませ両方のネットワークで使用される多くのIPアドレスがあります。既存のノードのIPアドレスは変更できません。

今や、ネットワークAのIPアドレス130.10.10.221を持つ新しく追加されたノードからIPアドレス130.10.10.222を持つネットワークBの新しく追加されたノードにIPトラフィックをルーティングする必要があります。

私のL3スイッチはNATをサポートしておらず、これらのスイッチの交換はオプションではありません。

これまでの唯一の良いニュースは、新しいノードでは、AとBの両方で一意であるようにIPアドレスを選択できるということです。つまり、130.10.10.221はAにのみ存在し、130.10.10.222はBにのみ存在します。

両方のスイッチに新しいVLAN 10を追加し、各スイッチの1つのポートをこのVLANに割り当てます。 スイッチAのVLAN 10ルーティングインターフェイス(SVI)に10.1.20.1/24を割り当て、スイッチBのVLAN 10 SVIに10.1.20.2/24を割り当てます。

スイッチAにip route 130.10.10.222 255.255.255.255 10.1.20.2を追加
スイッチBにip route 130.10.10.221 255.255.255.255 10.1.20.1を追加
両方のスイッチでVLAN 3のプロキシarpをイネーブルにします。

スイッチAのVLAN 10ポートをスイッチBのVLAN 10ポートに接続します。

130.10.10.221 ARPが130.10.10.222の場合、この宛先に対して設定されたルートがあり、プロキシARPが有効になっているため、ルータは応答します。 130.10.10.222宛てのパケットがスイッチAに到達すると、IP転送ルールに従って、32ビットサブネットマスクを使用したスタティックルートが最も優先されるルート(16ビットサブネットマスクでローカルVLAN 3を切り捨てる)であるため、パケットは転送されますスイッチBでは、130.10.0.0/16は「接続」(または直接)ルートであるため、パケットはBのVLAN 3に転送されます。逆はBからAへのトラフィックで発生します。VLAN 3スイッチAのVLAN 3の130.10.10.221は、スイッチBのVLAN 3の130.10.10.222へのTCP接続を確立できます。何が問題になる可能性がありますか?

1
確かに。あなたは proxy-arp の言及をすぐに止めることができます。それは決して行われてはいけない最後の溝操縦です。あなたがやっていることを正確に知っていればいいですが、誰かに何か 聞かなければならない場合は、しないでください。 DCにプロキシarpスタブがいくつかありますが、その理由を正確に知っています。
追加された 著者 Neall,
それは泥だらけで、縮尺は変わっていません。各ネットワーク上の1つのデバイス間でのみこれを必要とする場合は、一時的なソリューションとして使用できますが、実際の解決策は1つまたは両方のネットワークを再ドレスすることです。また、プロキシARPはセキュリティホールであるため、デフォルトでは有効になっていません。このようなことをするときには、実際にN番目の学位に文書化する必要があります。
追加された 著者 Ron Maupin,
それらはパブリックIPアドレスです。あなたが記述する状況は、ラボ環境の外には存在しません。いずれの場合も、「同一サブネット間のルーティング」は、技術的に clusterFck と呼ばれ、企業買収中にプライベートIPアドレス範囲内で発生する可能性があります。 NATは固定されるまで回避策としてよく使われます。
追加された 著者 Ron Royston,

1 答え

何が間違っている可能性がありますか?

両方のネットワークで130.10.10.10のIPを持つデバイスがあるとします。ネットワークAの130.10.10.10が130.10.10.222にパケットを送信したとします。

パケットはネットワークBの130.10.10.222に正常に配信され、応答が生成されます。しかし、ネットワークB上の130.10.10.10に返信されます。 "興味深い"結果を持つ可能性のあるネットワーク上で使用されているprocotolsによって異なります。

0
追加された
新しいノードは互いにうまく通信します。興味深いのは、他のノードの1つが相互接続を介してトラフィックを送信しようとする場合です。
追加された 著者 Peter Green,
いずれかのネットワークで競合するIP(プロキシARPと競合する)を持つノードを後で追加すると、事態が壊れる可能性があることに同意します。しかし、この質問に記載されているように、両方のネットワークで一意のIPアドレスを持つ2つの「新しい」ノードを作成するという本来の目標が達成されました。
追加された 著者 Avi Mehenwal,