Элтекс

Тестируем ip unnumbered.
firmware 2.5.44

На коммутаторе сделан SuperVLAN с реальным пулом ip и абонентский VLAN:


Проблема в том, что в абонентском влане, наблюдаются постоянные запросы "arp 'who has'" со шлюза (.254) на невыданные адреса, если этот пул реальных ip адресов постоянно сканируется (например ботами).

Абонент на своём порту наблюдает долбёжку:
who has x.y.z.1? Tell x.y.z.254
who has x.y.z.2? Tell x.y.z.254
who has x.y.z.3? Tell x.y.z.254
...

Что можно сделать с этим, чтобы не было arp запросов если ip не выдан?
(Отключить динамический arp? Маршрутизировать сеть в Null0? )

Как правильно настраивать на коммутаторе такую конструкцию - ip unnumbered c реальным маршрутизируемым пулом?

Второй вопрос:
sh arp configuration показывает ARP Proxy enabled для 3000 влана.

Global configuration:
ARP Proxy: disabled
ARP timeout: 60000 Seconds
ARP table size: 2048
ARP table size after reset: 2048

Interface configuration:
vlan 3000:
ARP Proxy: enabled
ARP timeout: 60000 Seconds (Global)

Как это отключить? И можно ли?

Просто так ругается:

Я могу так переформулировать проблему:

1. Делаем ip unnumbered c пулом 192.168.0.1/16
2. Сканируем извне этот пул
3. Наблюдаем arp flood во всех абонентских vlan'ах:
who has 192.168.z.1? Tell 192.168.0.1
who has 192.168.z.2? Tell 192.168.0.1
who has 192.168.z.3? Tell 192.168.0.1
who has 192.168.z.4? Tell 192.168.0.1
...

Что с этим делать?
Как сделать, чтобы коммутатор не пытался узнать про невыданные ip, а работал только с реально выданными ip?

Данная настройка у вас есть в конфигурации?

console(config)#ip unnumbered proxy-arp

Полагаю что есть. При наличии данной настройки коммутатор работает как прокси для арп трафика в ip unnumbered интерфейсах. (что вполне логично).
Соответственно при получении arp request с целью узнать мак адрес хоста из данного пула, он должен отправить на него от своего лица arp request. И тут не важно есть ли кто-то за этим ip адресами или нет.

Что можно сделать с этим, чтобы не было arp запросов если ip не выдан?

А как коммутатор должен узнать выдан ли ip адрес или нет?

Да и в принципе причем тут Ip unnumbered. Если бы клиенты находились в одном броадкастовом домене и один из клиентов слал бы такие же арпы, то в данном случае другие абоненты также видели бы этот броадкаст. Только летел бы он от бота, а не от коммутатора.

Евгений Т писал(а):Данная настройка у вас есть в конфигурации?
console(config)#ip unnumbered proxy-arp

Нет, я тестирую пока без неё и наблюдаю описанный выше эффект.

А как коммутатор должен узнать выдан ли ip адрес или нет?

Я не могу ответить на этот вопрос, т.к. начал изучать технологию ip unnumbered на вашем оборудовании.

У меня сложилось мнение, возможно ошибочное, что у других вендоров, что-то сделано по этому вопросу, т.к. arp flood достаточно большой. Мне теперь, видимо, надо собрать стенд с оборудованием другого вендора, чтобы понять что там сделано в этом направлении (например: отключение arp и работа со статической таблицей соответствий).


Вопрос ещё был про включение/отключение ARP Proxy для SuperVLAN'а

Interface configuration:
vlan 3000:
ARP Proxy: enabled
ARP timeout: 60000 Seconds (Global)

Как это отключить? И можно ли?

Просто так ругается:

Нет, я тестирую пока без неё и наблюдаю описанный выше эффект.

Без этой настройки клиенты из влана 3000 не получат доступ до клиентов из влана 3001. (арпы не пройдут)

Я не могу ответить на этот вопрос, т.к. начал изучать технологию ip unnumbered на вашем оборудовании.

У меня сложилось мнение, возможно ошибочное, что у других вендоров, что-то сделано по этому вопросу, т.к. arp flood достаточно большой. Мне теперь, видимо, надо собрать стенд с оборудованием другого вендора, чтобы понять что там сделано в этом направлении (например: отключение arp и работа со статической таблицей соответствий).

Повторюсь. Тут дело не в ip unnumbered как таковом. Если бы клиенты находились в одном броадкастовом домене и один из клиентов слал бы такие же арпы, то в данном случае другие абоненты также видели бы этот броадкаст. Только летел бы он от бота, а не от коммутатора.

Вопрос ещё был про включение/отключение ARP Proxy для SuperVLAN'а

arp proxy - это несколько другой функционал. И по дефолту он выключен.

console#sh arp configuration
Global configuration:
ARP Proxy: disabled

Покажите еще sh bootvar

Евгений Т писал(а):Если бы клиенты находились в одном броадкастовом домене и один из клиентов слал бы такие же арпы, то в данном случае другие абоненты также видели бы этот броадкаст. Только летел бы он от бота, а не от коммутатора.

От этого есть switchport protected-port, как я понимаю.

Евгений Т писал(а):arp proxy - это несколько другой функционал. И по дефолту он выключен.

Вы не поняли. Мне интересен ваш комментарий на это:


bootvar:

Вы не поняли. Мне интересен ваш комментарий на это:
КОД: ВЫДЕЛИТЬ ВСЁ
#int vlan 3000
#no ip proxy-arp
ARP interface does not exist.

При включенном ip unnumbered не даст выключить arp proxy. (да и какой смысл, ведь глобально он и так выключен)

К слову, более прошаренные коллеги подсказывают, что у других вендоров такая проблема решается:

у Super Vlan это единственный режим работы, и c этим ничего не сделаешь. А нормальный ip unnumbered может и по DHCP. Кроме того, у некоторых (к примеру, juniper) при использовании ip unnumbered изучаются arp от клиентов, но при этом трафик на неиспользуемые ip молча дропается (без всяких "arp who has").

По костылям для Super Vlan - тут частично зависит, от того, какое оборудование используется. ИМХО. вижу такие варианты:

1. Перед свичами агрегации резать трафик на неиспользуемые адреса (линуксовый сервер/acl/firewall)
2. Создавать more specific маршруты в null для неиспользуемых адресов (но это какая-то полная жесть)
3. Ограничить трафик на cpu свичей агрегации, который приводит к отправке "arp who has" (тот же " mls rate-limit cef glean" или ACL c "deny-cpu" на extreme)
4. Софтина в стиле "arp sponge" от ams-ix

Надеюсь, в будущем Eltex тоже сделает подобное.

Оказывается на MES3124F не работает DHCP Relay с "ip unnumbered":
viewtopic.php?t=6013

Т.е. очень ограниченная реализация этого функционала на MES3124F