Изоляция/фильтрация трафика всей сети. С одинаковым Default GW для всех клиентов.

нельзя воспользоваться тупой нарезкой сети по 4 IP (два отнимаются, т.к. нижний - номером сети будет,верхний - броадкасn-адресом,согласно спецификации IP)

Читайте спецификации внимательнее,гламурный вы наш. Использование сети на 2 адреса (маска /32) вполне законно и корректно.Плюс на хосте может быть несколько маршрутов по умолчанию

весь топик не читал

(!!!!!!!!!!!!!!!)

За это убивать надо.

сеть на 2 адреса это /31 конечно же

По схеме не совсем понятно что Вы хотите.

1. Все вланы терминируются на свиче. Тогда он и должен управлять роутингом. В случае L3 свича на него же можно повесить правила доступа.

1. Гнать транком все вланы на сервер, и уже на нем управлять доступом. Тогда дефолт-гейт вешается на lo. И добавляются правила маршрутизации для вланов.

В винде раньше не прокатывало. В семерке не пробывал.

По моему тебе нужен не роутер, а бридж. Покури доку http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html

Использование сети на 2 адреса (маска /32) вполне законно и корректно.

Это не всегда работает. При совпадении сурса или дистинейшена с броадкастом некоторые службы ведут себя странно.

man cisco ip unnumbered

на винфак
rfc3021

4. Использовать L3 коммутатор с маршрутизацией и фильтром.

Задача понятна, непонятна цель. Зачем такие извращения? Пространства приватных IP недостаточно? Может цель достижима другими средствами?

Задача понятна, непонятна цель. Зачем такие извращения? Пространства приватных IP недостаточно? Может цель достижима другими средствами?

Согласен, ТС понапридумывал себе мельниц, теперь героически с ними сражается

Я так понимаю, что это связано с изоляцией клиентов домовых сетей. :)

эм... ты конечно извини, но это вряд ли канает в обычных Ethernet-сетях. Ибо адрес сети а адрес широковещательной рассылки съедят все адреса из /31. Поэтому корректнее - сеть из 2 адресов, которые можно выдать КОНКРЕТНЫМ устройствам это всё-таки /30

На вскидку: ACL на свиче + port based vlan. Свич естественно должен быть L3

А, и да - ip unnumbered уже тоже советовали. Но там придется дополнительные cisco-specific шаманства делать

ты не докрутил до камента с rfc3021
реально под нагрузкой я конечно не тестировал, но взятые наугад 2 хоста у меня вполне работали

ты меня конечно тоже извини, я курнул RFC, но нихрена не понял :-(

Using 31-Bit Prefixes on IPv4 Point-to-Point Links

Я так понимаю, судя по RFC броадкаст и адрес сети идут нафиг?

Какое оборудование так умеет, кроме хостов с Linux?(они, я верю умеют, флаг broadcast можно на интерфейсе поотключать, статик арп заюзать и т.д.)

И я слабо понимаю нужность подобного извращения. Разве что если на обоих концах линка - реальные IPv4 и их надо экономить. Но тогда ИМХО лучше заюзать какой-нибудь туннель а-ля GRE поверх серых IP(правда придется пожертвовать парой десятков байт в MTU).

а почему бы необьеденить все вланы в бридж - и фильтровать на мак уровне (ebiptables вроде) ? дешево и сердито

Какое оборудование так умеет, кроме хостов с Linux?

Я может чего не понимаю в вашем споре, но вешать на интерфейс p2p сетку аля /31 умеет как минимум cisco и juniper. Что не так?

r1#show running-config interface fastEthernet 0/1 | i address
 ip address 10.1.2.0 255.255.255.254
r1#ping 10.1.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/45/88 ms

спасибо, не знал

нельзя воспользоваться тупой нарезкой сети по 4 IP (два отнимаются, т.к. нижний - номером сети будет,верхний - броадкасn-адресом,согласно спецификации IP)

Мне нельзя в соответствии со вторым условием. Что на 4 IP можно нарезать я и без Вас знаю, читайте текст внимательнее. Я уже писал, что это выход, но там для каждого компа будет разный GW (из этой микросети), а мне нужен одинаковый IP для всех.

Не, это связано с моей домашней (личной) сетью.

И да: Вы говорили, что с соответствующей маской можно сделать сеть на 2 IP. Но это работает только с P2P (PPP). Для ethernet нужно ещё минимум 2 IP на броадкаст (старший) и на номер сети (младший). Поправьте, меня если я ошибаюсь.

Смотри третий пункт моих размышлений. Я всё, что пока сказали в треде предусмотрел и написал об этом. Разве так сложно прочитать полторы страницы текста?

Ну так и используйте один гейт для всех клиентов. То есть примерно так

ip route add unreachable 192.198.1.0/24
ip addr add 192.168.1.1/32 dev lo # это гейт
vconfig add eth0 100
ip link set eth0.100 up
ip route add 192.168.1.2/32 dev eth0.101 src 192.168.1.1 # это первый клиент в 100 влане
и т.д.

Я может чего не понимаю в вашем споре, но вешать на интерфейс p2p сетку
аля /31 умеет как минимум cisco и juniper. Что не так?

То, что Ethernet - ни разу не point-to-point.

r1#show running-config interface fastEthernet 0/1 | i address
ip address 10.1.2.0 255.255.255.254
r1#ping 10.1.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/45/88 ms

А, теперь, самое время заценить, как там трафик ходит.

А, теперь, самое время заценить, как там трафик ходит

Расскажете?
Я просто не догадался дамп снять, когда тестировал и навешивал адреса из /31 на первые попавшиеся хосты.

Я не совсем понял, как именно клиент работает с default gw. Он тупо на его MAC высылает
готовые IP-пакеты, что ли? Т.е. в самих пакетах к шлюзу его IP вообще не фиругирует?

Да, конечно. IP инкапсулирован в Ethernet. На то ARP и нужен, чтобы узнать нужный MAC.

Вы заморочались с пониманием принципов работы, наворотили много умных терминов, смешали в кучу L2 и L3, в итоге запутали и себя и местных знатоков.
Давайте плясать от обратного - т.е. от L7
Рассказывайте, что да как нужно приложениям пользователей, а как оно там на L2 и ниже будет работать (и соответственно как вы себе это вообразили)- это дело десятое

Расскажете?

Не то, чтобы я был уверен на 100%...

Я просто не догадался дамп снять, когда тестировал и навешивал адреса из /31
на первые попавшиеся хосты.

...но я сильно подозреваю, что тут имеет место широковещательный трафик. По-другому я не представляю пока, как объяснить.

То, что Ethernet - ни разу не point-to-point

А с этим кто-то спорит? Ну и что мешает работе?

А, теперь, самое время заценить, как там трафик ходит.

Заценим!

Собственно дамп и хронология событий:

Смотрим, все и так понятно.

r1#ping 10.1.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/46/68 ms
r1#sh ip arp 10.1.2.0
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.1.2.0                -   ca03.1ab4.0006  ARPA   FastEthernet0/1
r1#sh ip arp 10.1.2.1
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.1.2.1                2   ca04.1ab4.0008  ARPA   FastEthernet0/1

Смотрим дамп:

8	7.735000	ca:03:1a:b4:00:06	Broadcast	ARP	60	Who has 10.1.2.1?  Tell 10.1.2.0

9	7.765000	ca:04:1a:b4:00:08	ca:03:1a:b4:00:06	ARP	60	10.1.2.1 is at ca:04:1a:b4:00:08

Ну и далее:

52	21.839000	10.1.2.0	10.1.2.1	ICMP	114	Echo (ping) request  id=0x0004, seq=0/0, ttl=255

Ethernet II, Src: ca:03:1a:b4:00:06 (ca:03:1a:b4:00:06), Dst: ca:04:1a:b4:00:08 (ca:04:1a:b4:00:08)

53	21.859000	10.1.2.1	10.1.2.0	ICMP	114	Echo (ping) reply    id=0x0004, seq=0/0, ttl=255

Ethernet II, Src: ca:04:1a:b4:00:08 (ca:04:1a:b4:00:08), Dst: ca:03:1a:b4:00:06 (ca:03:1a:b4:00:06)

Комментарии, я думаю, излишни.

По-другому я не представляю пока, как объяснить.

Я все таки надеюсь вы не троллите и шутки тут не разводите, потому как схема-то обычная и самая элементарная. И сказать я не знаю, что еще - все в сообщении выше.

То, что Ethernet - ни разу не point-to-point

А с этим кто-то спорит? Ну и что мешает работе?

То, что поведение не определено. В RFC 3021 написано совершенно чётко: Point-to-Point Links.

потому как схема-то обычная и самая элементарная.

Схема отнюдь не самая обычная и самая элементарная, потому как что такое хост (/32) понятно, что такое минимальная сеть (/30) понятно тоже, а вот что такое /31 не очень понятно. И если Циска что-то там такое себе придумала, не факт, что кто-то другой себе такое придумал тоже.

То, что поведение не определено.

Скажите, чем отличается это от обычного поведения? Ну стандартного поведения, arp запроса xxxx.xxxx.xxxx -> ffff.ffff.ffff, arp ответа yyyy.yyyy.yyyy -> xxxx.xxxx.xxxx и так далее? Ничем, все тоже самое. Более того, где у вас, даже в случае /30 сети в подобном используется адрес сети или broadcast, отсутствующие в случае /31?

И если Циска что-то там такое себе придумала, не факт, что кто-то другой себе такое придумал тоже.

Ну хорошо, еще тоже самое себе (1 в 1) придумал Juniper и нормально функционирует, даже в случае juniper <-p2p-> cisco.

веселья ради

cisco

R#show running-config interface FastEthernet0/1.500
Building configuration...

Current configuration : 100 bytes
!
interface FastEthernet0/1.500
 encapsulation dot1Q 500
 ip address x.y.16.1 255.255.255.0
end

R#show ip route x.y.16.255
Routing entry for x.y.16.0/24
  Known via "connected", distance 0, metric 0 (connected, via interface)
  Routing Descriptor Blocks:
  * directly connected, via FastEthernet0/1.500
      Route metric is 0, traffic share count is 1

R#ping x.y.16.255

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to x.y.16.255, timeout is 2 seconds:

Reply to request 0 from x.y.16.19, 1 ms
Reply to request 0 from x.y.16.20, 1 ms
Reply to request 1 from x.y.16.20, 1 ms
Reply to request 1 from x.y.16.19, 1 ms
Reply to request 2 from x.y.16.19, 1 ms
Reply to request 2 from x.y.16.20, 1 ms
Reply to request 3 from x.y.16.19, 1 ms
Reply to request 3 from x.y.16.20, 1 ms
Reply to request 4 from x.y.16.20, 1 ms
Reply to request 4 from x.y.16.19, 4 ms

juniper

fun@r2> show configuration interfaces vlan unit 14  
family inet {
    address x.y.64.1/25;
}

fun@r2> show route x.y.64.127 

inet.0: 67 destinations, 67 routes (67 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

x.y.64.0/25    *[Direct/0] 2w0d 09:24:18
                    > via vlan.14

fun@r2> ping x.y.64.127 count 4    
PING x.y.64.127 (x.y.64.127): 56 data bytes
64 bytes from x.y.64.87: icmp_seq=0 ttl=64 time=2.089 ms
64 bytes from x.y.64.66: icmp_seq=0 ttl=255 time=3.880 ms (DUP!)
64 bytes from x.y.64.87: icmp_seq=1 ttl=64 time=1.734 ms
64 bytes from x.y.64.66: icmp_seq=1 ttl=255 time=1.901 ms (DUP!)
64 bytes from x.y.64.87: icmp_seq=2 ttl=64 time=1.618 ms
64 bytes from x.y.64.66: icmp_seq=2 ttl=255 time=1.958 ms (DUP!)
64 bytes from x.y.64.87: icmp_seq=3 ttl=64 time=3.171 ms

--- x.y.64.127 ping statistics ---
4 packets transmitted, 4 packets received, +3 duplicates, 0% packet loss
round-trip min/avg/max/stddev = 1.618/2.336/3.880/0.789 ms

P.S. вопрос на засыпку. Почему большие провайдеры для Ethernet стыков используют /30, неужели там неучи и бездари ?

Скажите, чем отличается это от обычного поведения?

Тем, что, например, 10.1.2.1/31 может быть воспринято, как броадкаст и так и использовано, со всеми вытекающими.

Ну хорошо, еще тоже самое себе (1 в 1) придумал Juniper и нормально
функционирует, даже в случае juniper <-p2p-> cisco.

Могу, даже, допустить, что не придумали, а списали. Тем не менее, я тут посмотрел, Циска честно предупреждает при попытке назначить на ethernet IP с маской 255.255.255.254.

Да, конечно. IP инкапсулирован в Ethernet. На то ARP и нужен, чтобы узнать нужный MAC.

Т.е. клиент в IP-пакете к гетевею вообще IP-адрес гетевея не указывает, что ли? Но тогда, получается, правильно не будет работать схема, где на одном MAC'е висят два разных IP (двух разный гетевеев). Вы точно уверены в том, что в IP-пакете к шлюзу (IP пакет для внешнего хоста) нет IP самого шлюза?

Но это же нарушение стандарта, получается? Как тогда быть с номером сети и броадкаст-адресом?

да вы батенька хам

я то условие прочитал - и решение сказал
а читать два экрана измышлений - неохото

Это решение я и сам знал. И написал, что не могу его использовать.
Извините, если Вы приняли мою критику за грубость, я этого не хотел. В случае наличия у Вас других решений, с удовольствием бы их выслушал.

каких других - чем ebtables то не устраивает ?

сначала разрешаеш - каким ip ходить на какие другие ip локальные
потом запрещаеш из локальной сети ходить на туже локальную суть (чтоб не ходили по неразрешенным соседям)
а потом разрешаеш все (чтобы ходили в инет)

вот 3 блока в фаерволе - простейшая задача - в чем вопрос то ?

Почему большие провайдеры для Ethernet стыков используют /30

Видел и /30 и /31. За /30 мотивировали как gut praktisch.

Тем, что, например, 10.1.2.1/31 может быть воспринято, как броадкаст и так и использовано, со всеми вытекающими.

Я думаю, оборудование, когда на интерфейс навешиваешь /31 сеть понимает как с этим обращаться.

Тем не менее, я тут посмотрел, Циска честно предупреждает при попытке назначить на ethernet IP с маской 255.255.255.254.

Да предупреждает, сам видел, но тут нет. Видимо от версии IOSа зависит.

r1(config)#interface Fa
r1(config)#interface FastEthernet 0/1
r1(config-if)#ip add
r1(config-if)#ip address 10.1.2.0 255.255.255.254
r1(config-if)#^Z

Как тогда быть с номером сети и броадкаст-адресом?

/31 для p2p соединений. Там не нужен номер сети и броадкаст.

Было утверждение, что на L2 имеет место быть широковещательный трафик - по дампам это не так.

В общем, не знаю что еще добавить, потому как спор ни о чем получается: работает и работает, но зависит от поддержки оборудованием. Хотите использовать /31 - используйте, нет - ваш выбор /30.

И если Циска что-то там такое себе придумала

проверил у нас на сети на цисках и на свичах huawei - всё работает,
то есть, скорее всего, все более менее свежие железки более менее крупных вендоров умеют так

Один IP можно назначить только одному интерфейсу.

IP-это атрибут хоста а не интерфейса. По факту - ты занимаешься херней и онанируешь на бредовую изначально идею. Но если ты хочешь анонировать и дальше, то делается это так:

1. Коммутатор с поддержкой VLAN'ов.

2. Один порт (к которому подключен маршрутизатор) делается тегированым

3. На сервере для каждого VLAN'а заводится тегированный интерфейс - в результате на сервере будет столько интерфейсов, сколько клиентов + 2 (аплинк и loopback)

vlan2 = eth0,802.1q,tag=2
vlan3 = eth0,802.1q,tag=3
vlan4 = eth0,802.1q,tag=4
...
vlan255 = eth0,802.1q,tag=255

4. На коммутаторе для каждого клиента создается по одному VLAN'у, в который включается нетегированый порт к которому подключен клиент и тегированый порт к которому подключен маршрутизатор. В результате количество VLAN'ов на свиче будет N-1 (N=количество портов)

VLAN2 = 802.1q ID=2 ports=Eth0[Tagged],Eth1
VLAN3 = 802.1q ID=3 ports=Eth0[Tagged],Eth2
VLAN4 = 802.1q ID=4 ports=Eth0[Tagged],Eth3
...
VLAN255 = 802.1q ID=255 ports=Eth0[Tagged],Eth254

5. Каждому клиенту присваивается свой IP-адрес с маской 255.255.255.255 - например, на виртуальный адаптер на Microsoft Loopback Adpater - например 192.168.1.23/255.255.255.255

6. Серверу указывается свой IP-адрес на виртуальном интерфейсе (каком-нибудь br123) - например, 192.168.1.1/255.255.255.255

Интерфейсы реально подключенные к свичу НЕ ИМЕЮТ привязаных IP-адресов. В результате клиент имеет примерно такую конфигурацию:

lo = 127.0.0.1/24
virti0 = 192.168.1.23/32
eth0 = no IP

Сервер имеет примерно такую конфигурацию:

lo = 127.0.0.1/24
br123 = 192.168.1.1/32
vlan1 = no IP
vlan2 = no IP
...
vlanN = no IP

Дальше тривиально - на клиенте (если клиент линукс): route add -net 192.168.1.0/255.255.255.0 dev eth0 gw 192.168.1.1 Если на клиенте винда:

route print => смотрим номер Ethernet интерфейса  =>
route add 192.168.1.0 mask 255.255.255.0 192.168.1.1 iif <номер_eth-интерфейса>

На сервере:

route add -host 192.168.1.2 dev vlan2
route add -host 192.168.1.3 dev vlan3
route add -host 192.168.1.4 dev vlan4
...
route add -host 192.168.1.23 dev vlan23
...
route add -host 192.168.1.255 dev vlan255

Всё. Далее на сервере всё просто фильтруешь в цепочке FORWARD. Задача для школьника.

По факту - ты занимаешься херней и онанируешь на бредовую изначально идею

Тут все так рьяно помогали ТСу отстрелить себе ногу, а ты взял и всё испортил
Хотя потом ты взял себя в руки, молодец

В мире куча производителей оборудования и на juniper & cisco мир клином не сошелся. Где гарантия,что все умеют эту фичу ? Где гарантия,что у клиента такое будет уметь? что если клиент сменить устройство на то которое не умеет, Вам сеть перенастраивать?

В мире куча производителей оборудования и на juniper & cisco мир клином не сошелся. Где гарантия,что все умеют эту фичу ? Где гарантия,что у клиента такое будет уметь? что если клиент сменить устройство на то которое не умеет, Вам сеть перенастраивать?

Изначально разговор был про то, возможно ли /31 на интерфейс, если да - то как это работает. Очевидно что можно и что это работает. Все.

Остальные переживания поддерживает/не поддерживает/а что если - это уже другая тема.