2つの異なるCiscoインターフェイスで同じネットワークからIPを使用する方法、およびその他のIPトリッキー

私は一般的にシスコには新しく、次の設定があります。

GigabitEthernet0/0 contains an IP address that is connected to our provider/BGP drop; GigabitEthernet0/1 contains various IP addresses assigned ending in .1 for the IP prefixes we announce to the Internet; this is also the Interface that all of our devices are plugged into via our switch <--> GigabitEthernet0/1 connection.

GE0/0上のプライマリIPアドレスは、プライマリの割り当てられたIPネットワーク(a.b.c.252など)に置いて、ローカルマシン/機器のゲートウェイ用にGE0/1に.1を維持します。現在、トレースルートなどがネットワークに入ると、アップリンクからGE0/0に割り当てられたIPで応答します。私たちは代わりに、識別/通知/一貫性のために私たち自身の割り当てられた接頭辞からのIPであることを望みます。 (アップリンクのIPをセカンダリIPとして維持します)。

GE0/0とGE0/1に.252を割り当てようとすると、別のインターフェイスに既に存在するサブネットに関する通常のエラーが発生します。

これをどうやって行うのですか?ネットワーク上のクライアントがゲートウェイとしてそれを使用できるようにA.B.C.1をGE0/1に割り当てる際にA.B.C.252などのIPをプライマリIPアドレスとしてGE0/0に割り当てるにはどうすればよいですか?

または、LAN上のIPアドレスをGE0/1に接続してもGE0/0にIPを使用できるようにする方法はありますか? RIPEから割り当てられた3つの別個のプレフィックスがあり、traceroutesとwhat-have-you-have-you-have-you-you-oneを持っていたら、.1と答えてください。各サブネットの先頭からリクエスターにIPを送信することは可能でしょうか?私は、特定のICMPパケットに対してNATと対応する応答を特定のソースIPと照合することを想像しています(ただし、これはUDP tracerouteの場合は機能しません)。どちらのアイデアもありますか?

前もって感謝します!

0
答えがあなたを助けましたか?もしそうなら、回答を受け入れて、質問が永遠に現れず、答えを探してください。あるいは、あなた自身の答えを提供して受け入れることもできます。
追加された 著者 Ron Maupin,

3 答え

あなたはこれを今のところどのように設定していますか?あなたはG0/0上の私的な範囲またはあなたの別の公共サブセットを使用していますか?

異なるインターフェイス上に同じサブネットを持つことはできないため、ルーティングを中断します。ルータは、各インタフェースを通じて到達可能なホストを知ることはできません。

あなたのパブリックアドレス空間と同じネットワーク上でBGPピアリングをしたい場合、いくつかの回避策があります:

G0/0とG0/1からなるブリッジグループを作成することができます。その後、パブリックアドレスを持つBVIをグループに割り当てることができます。これにより、G0/0およびG0/1 L2からのトラフィックがIPインターフェイスに転送される単一のIPインターフェイスが得られます。別のオプションは、BGP接続をLANに接続し、IPをG0/1に置くことだけです。

これはプロバイダーと仲良くする通常の方法ではありません。ポリシーとACLを適用できるように、LANとピアリングに別々のIPインターフェイスを使用する方がはるかに良いでしょう。このように設定したいと思っている理由は何ですか?あなたのトレースルートにあなたのパブリックアドレスが表示されているだけなのですか?

2
追加された
OK、tracerouteに現れるものを変更するだけのこのルートを下ることは悪い考えです。 tracerouteに表示されているアドレスは、tracerouteの発信元に向かう発信インターフェイスのIPアドレスになるので、.1ネットワークを表示させるには、ISPとピアリングしたネットワークでなければなりません。そのアドレスはBVIでのみ使用する必要があり、あなたとあなたのISPはBGPネイバーアドレスをそのネットワーク上に変更する必要があります。本当に理想的ではない。あなたはno ip unreachablesを使ってG0/0ホップを隠すことができますが、理想的ではありません。あなたができるならtracerouteをそのまま残すのがベストです。
追加された 著者 Ben Throop,
BVIで可能なはずですが、グローバル設定で "bridge irb"を有効にしてください。ブリッジグループをG0/0とG0/1に割り当てると、それらはL2ポートになるので、前にG0/0と同じように、IPを削除してBVIに追加します。通常のセットアップではありませんが、そのようにする必要がある場合は動作するはずです
追加された 著者 Ben Throop,
うん、いいよね。標準IOSルータまたはXRを使用していますか?私は標準的なIOSで方法があるとは思わない、XRsはジュニパーのようなコミットを行うことができます。私は少し前にIOSの機能を試してみましたが、アーカイブコマンドと同様のことをしようとしましたが、実際にうまくいきませんでした。通常は、使用する5つのトリックでリロードを使用します
追加された 著者 Ben Throop,
G0/0では、2つのIPアドレスは、私たちがBGPでピアツーピアするアップリンクによって提供される2つのアドレスです。アドレスは、アップリンクのルータ上のBGPセッションと通信するために使用されます。このようにしたい理由は、あなたが推測したようなものです。traceroutesにアップリンクではなくパブリックアドレスを表示させたいのです。公衆IPプレフィックスの1つからG0/0に.1アドレスを割り当てることができましたが、LAN上のマシンは.1アドレスをゲートウェイとして使用できませんでした。
追加された 著者 nitind,
(私は最後の文字を追加することができませんでした) - 私はこのBVIインターフェイスとブリッジG0/0とG0/1を作成する場合は、私は両方のG0/0(2つのIP (私たちのアップリンクによって割り当てられ、ルータへのBGPのために使用されます)私がG0/1上に持っているIPをそして BVIインターフェイスに5 xyz1のアドレスがありますか?私はtraceroutes(a.b.c.1)に必要なアドレスにBVIのプライマリIPを設定して、それから応答が得られるでしょうか?
追加された 著者 nitind,
私の.1アドレスをプライマリG0/0として追加したとき、ISPがBGPのために通信するアドレスをセカンダリとして設定し、すべて正常に動作しました。 tracerouteが私の.1アドレスを示していて、すべてが調和していて、BGPのすべてがうまくいっていました。 BVIでそれを行う方法はありませんか?
追加された 著者 nitind,
だから、私は(セミコロンを使って行を区切る)必要があると思う:bridge irb;ブリッジ1プロトコルieee;ブリッジ1ルートip;インタフェースbvi1; IPアドレスTRACEROUTE-NETWORK-I-WANT.1; IPアドレスBGP-IP-FROM-ISPセカンダリ。 IPアドレスIP3セカンダリ。 IPアドレスIP4セカンダリ。 ;インタフェースG0/0;ブリッジグループ1; IPアドレスなし。インタフェースG0/1;ブリッジグループ1; IPアドレスなし。これはすべて正しいですか?または私は何かを逃していますか?私はBVI1(bvi 1)とブリッジグループ1にIPを設定し、G0/0&0/1にはIPを設定していません。この時点で、すべてが良いはずですか?
追加された 著者 nitind,
また、私がこれをしているときに、これらの変更をすべて一度に原子的に実行するために、とにかく私は自分自身を切断しませんか?私はリモートロックアウトの機会がある場合に備えて、私はいつも「5でリロード」して、切断された場合にルータを5分後に再起動させるため、再び立ち上げることができます。しかし、シスコには、BVI1にIPを追加して、G0/0とG0/1からIPアドレスを一度に削除することができます。私は失礼する必要があります。私はシスコにとって初めてです。ありがとう。
追加された 著者 nitind,
いいえ、ちょうどオールIOSです。私はちょうど私がデータセンターに行って、ローカルコンソールでそれをやろうと思いますそのブリッジグループを設定します(そして、他のインターフェイスに割り当てられたIPを介してログインしています)
追加された 著者 nitind,

これは実際には標準ベースではないため、製造元に依存していますが、実装されていることがわかります。つまり、Cisco IOSです。

理解ip unnumberedコマンドの設定と設定

ip unnumbered configurationコマンドを使用すると、明示的なIPアドレスを割り当てずにシリアルインターフェイスでIP処理をイネーブルにできます。 ip unnumberedインターフェイスは、ルータにすでに設定されている別のインターフェイスのIPアドレスを「借りる」ことができ、ネットワークとアドレススペースを節約します。

1
追加された

まず、tracerouteの仕組みを誤解していると思います。 tracerouteに表示されるIPアドレスは、パケットがルータに入るインターフェイスのルータアドレスです。これは、パケットがインタフェースに入るときにパケットのTTLが 1 であり、インタフェースがTTLを 0 に減らすためです。この場合、ルータはICMPメッセージを生成し、パケットの到来方向に戻します。そのメッセージの送信元アドレスは、ICMPメッセージがルータを離れるインターフェイスです( G0/0 WANインターフェイス)。 TTLが 0 (あなたの G0/1 LANインターフェース)でなければ、ルータがパケットを送信するインターフェースはこれに何も関与しません。

ルータはネットワーク間をルーティングし、あるネットワーク内のインターフェイスから同じネットワーク内のインターフェイスにはルーティングしません。同じネットワーク内に2つのインターフェイスがある場合、ルーティングテーブルは正しく機能しません。そのため、ルーターは2つの異なるインターフェイスに同じネットワークを割り当てることができません。

別の考慮点は、セキュリティ対策として、ルータでICMPとtracerouteを無効にしたい場合があるということです。ハッカーはこれを使用して、内部ネットワーク構造を発見しようとします。 Tracerouteはあなた自身のネットワーク内での使用のための良いツールですが、インターネット上では偽の情報を得ることができます。パスに沿っているISPによっては、内部ネットワークを難読化するためにICMPおよび/またはtracerouteを他のパスにドロップまたは再ルーティングします。

0
追加された