Pull to refresh

Comments 66

Не, ну согласитесь, такую задачу было бы слишком самонадеяно называть «задача» :)

Нет, никакой динамической маршрутизации тоже нельзя :)
Сейчас поправлю в топике
Пока не выветрилась вся водка выпитая за день связиста, предположу на вскидку.
Нужно в настройках обоих интерфейсов на ASA прописать: ip proxy-arp.
Кстати, с праздником :)

Мыслите в правильном направлении, но это ничего не даст :)

Proxy-arp позволяет связать 2 куска одной сети (скажем, если бы на маршрутизаторах были бы те же адреса но с маской /8), но не применим для связи разных сетей.
CDP выключен? по умолчанию включен… :D

CDP / ODR…
да, ODR — это выход, но разве это не dynamic routing?
да я больше забавляюсь :P
хотя CDP-то как раз по умолчанию включен…
На ASAх, о которых изначально в задаче шла речь, CDP нет вовсе.

Кстати, если уж зашла речь: как без помощи ODR, т.к. это хоть и куцый, но протокол маршрутизации, а только используя CDP собирались связность организовать?
я не вижу в описании ASA :) кроме как посередине.

а ODR — сложно его все же динамикой назвать :) поделие… EIGRP впрочем хорош.

а так — ну например можно static NAT включить на подсетки :P

p.s. говорю же, развлекаюсь :)
А что даст включение CDP, если посередине — АСА, которая про него ни сном ни духом? Даже если попробовать ODR — тоже нифигане выйдет

А статик нат на подсети… Можно. ПРедоставьте конфиг — вам это просто :) ВОт и обсудим:) Там есть несколько увесистых подводных камней :)
ASA вполне может быть вообще-то прозрачным фильтром, и CDP спокойненько через себя пропускать :P

а конфиги под циску — боюсь это мне скучно, последний раз когда было РЕАЛЬНО весело — когда упал на шеститоннике ACE модуль и не мог встать из-за того что трафик сразу валить начинал под 2 гигабита :) конфиг пришлось сносить и кусочками поднимать обратно.

перешли на F5 Viprion — после чего спим спокойно, и не проклинаем Cisco больше — просто вернули им обратно железа на сотни килодолларов :P

p.s. а что в вашем понимании «камни»? вышеописанный вариант со static будет прекрасно работать — или камень это то что не надо забывать про snat/dnat? :)
Я тоже развлекаюсь :)

Про то, что АСУ можно в транспарент загнать я и сам как то не подумал :)

ПРавда и здесь CDP не поможет — железяки в разных подсетях. Не захотят ходить друг к другу.

ЗЫ Ещё одно слово, о котором надо внимательно подумать — f5. Есть чего почитать/ознакомиться/пощупать?
F5 :))))

есть, учитывая что я собственно их в Россию и притащил в бОльшой степени :)
на rootconf я легкую презентацию делал собснно…

скоро парочку Viprion в России впервые будут закуплены.
а так — лучшее место для общения это https://devcentral.f5.com/

Регистрация free.
Если нужна реальная демонстрация чего-то, можно сделать доступ в F5 labs.

Ну и в общем-то сейчас решаем вопрос доступности железок в Мск в лаборатории.
Кстати, F10 тоже ОЧЕНЬ рекомендую присмотреться…

www.force10networks.com
Дай доступ. Будем расширять кругозор, а то в узколобии обвиняют, очки пририсовывают :)

А чем Ф5 — прорыв? Козыри какие?
Ты пока на девцентрале потуси лучше, почитай.

F5 сравнивать с Cisco — как мерседес с жигулями.
ЦИскины L7 решения и рядом не валялись, по фичесету и производительности.

Скажем так, аналогов тому же Viprion просто в мире не существует — решение построенное на blade технологии, до 40 гигабит L7 трафика балансировка и фильтрация…

Цискино решение GSS — угребище полное, они в итоге за несколько лет так баги и не поправили в результате чего мы ушли на F5 GTM. На котором сидят facebook, юзают в гугле и тд и тп ;)

Но это надо погрузиться в тему глубоко :)
Намекну, что в России спецы по F5 big-ip будут скоро в цене неслабой…

На рынке app delivery циско вообще аутсайдер полный.
F5, Citrix NetScaler, Крещендо в определенной мере… Ну и где-то там cisco плетется ;)
Доступ не жалко, но он просто time eval. — тобишь когда конкретно захочется пощупать, сделаем на пару недель.
Это он самый и есть.
надломил мозг

т.е. в конфиге нет ничего кроме указанных строк, значит надо что-то сделать в exec?
а что можно в exec? — show, clear, ping, trace, debug, (другое не относящееся к задаче), все остальное специфично от версии IOS
Нет, это значит «что то» надо сделать на ASA (ну или если вместо нее там поставить рутер).
подождите, если в условии задачи требуется не трогать роутеры 10.X.X.1, то на них один маршрут
C       10.X.X.0/24 is directly connected, SomeInterface0


без использования cdp/irp пакеты дропнуться, т.е. должен быть какойто левый сервис который работает на центральном маршрутизаторе и обрабатывается роутерами по сторонам

кстати, в условии задачи не задан L2
езернет. Да, это важно. Обычно прямыми линиями на цискиных диаграммах именно он обозначается.

Ничего больше использовать не надо. Ни CDP, ни IRP. Но мыслите верно :)
dhcp, tftp отпадает.
блин, интересно
каким тогда спрашивается образом, можно добавить из-вне строку в таблицу маршрутизации любой ОС? Но так как BOOTP/DHCP/CDP/IRP отпадает — ИМХО это не реально.

Ну или какой-нибудь хитрый и «левый» сервис типа «special-service-for-inject-routes» который нужно устанавливать отдельно.

Короче мозг сломан окончательно.
или быть может (как подсказал shapa) на крайних роутерах (станциях) подготавливать Source-Routed пакеты, а на центральном их разрешить?
Как я понял, это не вписывается в условия задачи. Нужно хитро сконфигурить центральный роутер.
Мозг почти сдался, но самолюбие еще сопротивляется.
играет ли роль, если по бокам будет обычный linux?
Хмммм… Думаю, что не важно. Можно хоть винду по краям. Но так, для аутентичности задачи :)

только давай сделаем

net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

:)
А на АСА маршрутизация между интерфейсами включена?
Тоже верно мыслите. ASA вы можете конфигурить КАК ХОТИТЕ. В этом и есть задача.
Хотя больше интересно, что будет делать станция, если ей надо обратиться к машинке в lругой сети, а адреса дефолтового роутера нет.
Собственно куда слать ARP?
в том то и дело что ничего — просто дропнет пакет с ошибкой «network unreacheble»
NAT(не знаю как цисководы это называют), точнее SNAT на обоих интерфейсах?
Попробуйте логически (без команд, если не известны) написать алгоритм, что и как надо настроить.

Здравый смысл говорит, что на хостах подключенных к этой циске, она все-таки стоит шлюзом по-умолчанию.
Далее варианта два:
1) Сказать циске, что это одна сеть, поменять маску на меньшую и объединить два интерфейса. Но по условию задачи, маску я так понял менять нельзя.
2) На циске, статически транслировать адреса из одной сети в адреса другой сети. Но это тоже не пройдет по условию задачи.
3) Транслировать адреса динамически, т.е. S-NAT. Пакеты пришедшие из другой сети, хосты будут видеть как пакеты от циски.
Как пакеты дойдут до циски-асы?
Перед тем как отправить пакет в другую сеть, машинка арп разошлет и спросит МАК шлюза.
А шлюз у нее не прописан, поэтому пакеты просто не уйдет никуда.
По этой причине например прокси арп не подошел.
Нат 0 не сгодится. Без трансляции не обойтись
Скажите, а можно ли послать хитрый arp пакет с асы на машинку(циску), типа МАК_АСЫ=ИП_ЦИСКИ_В_ДРУГОЙ_СЕТИ?
Типо легального arp спуфинга)
даже если это и реально, то нужно рассылать по каждому адресу (матрица 254*254) такие сообщения по крону?
Ну arp сам по себе широковещательный, поэтому 254*254 тут не надо.
arp reply можно целенаправленно направить на машинку, адреса их известны же.
вот поэтому и понадобится 254*254 пакета, чтобы все знали про всех
Коллеги, вы уходите в сторону. Поэтому малость подскажу:
надо, чтобы крайние циски увидели друг друга. Т.е. если сидя на одной вам удалось попасть по телнету например, на другую, то вы победили.

Для этого ДОСТАТОЧНО настроить ТОЛЬКО ASA. (Ну или если вам приятнее вместо неё видеть рутер — пусть будет)

Мало того: тут спрашивали, можно ли вместо крайних ретов поставить линукс/виндовз. Можно, НО тогда у этих хостов НЕ ДОЛЖНО быть дефолтного шлюза (как у цисок нет дефолтного маршрута)
Мы пришли к выводу, что если дефолтового шлюза не будет на крайних машинах, они не смогут отправить пакет в другую подсеть, те просто дропнут его.
Соответственно решения нет, как мне кажется.

Я рассматривал задачу именно попадания на другую машинку путем подключения по ip другой машинки.

Или может быть так, что настроен какой-нибудь нат 1 в 1. И тогда например когда я попробую подключится к 10.у.у.2 с 10.у.у.1, то аса затранслирует 10.у.у.2 в 10.х.х.1 и по факту я попаду на машину по телнету, правда по другому адресу, который будет натится.
Соответственно наверно можно настроить подобный нат 10.у.у.2 в 10.х.х.1 и 10.у.у.1 в 10.х.х.2.
Тогда при запросе на 2 ипшник своей подсети с любой из машин, мы получим от циски асы арп ответ, что это она с таким маком. Потом она просто натит без оверфлова.

Такое возможно?
Ну конечно!

Ведь нигде не сказано, что надо попасть по родному адресу :)

Это одна из любимых наколок в лабах CCIE Security :) Понятно, что эта задачка много проще, но хитрость именно в этом :)

Опишите, как настроить АСУ или рутер. Потом расскажу, откуда эта задачка родилась :)
Мне проверять негде)
Но однозначно надо сначала настроить binat)

При экспериментах с Packet Tracer он не ответил на arp запрос, несмотря на то, что на нем было
ip nat inside source static 10.10.0.2 10.10.1.1

Ну я больше сказать ничего не могу, надо пробовать, вдруг какие баги вылезут. Я на циске нат не настраивал, потому что плохо они нат делают.
В общем лично мне надо попробовать, с ходу не скажу.

Может кто другой напишет
Нет, надо другой эмулятор. nat outside на нем нету =\
UFO just landed and posted this here
Вот. Это вторая половинка задачи. Если первая делается по большому счёту 2 командами и одним ACL на интерфейсе (ASA), а можно и вообще 2 командами обойтись, то вторая половинка — из разряда поразмышлять: как, когда возможно, а когда — нет.

Скажем так: относительно красивое решение есть, когда надо дать доступ из сети, у которой дефолтным шлюзом стоит НЕ ASA (или вообще нет шлюза) к хосту в другой сети.
вообще нужно было ставть вопрос по другому
«есть машина на которой нет default route, нужно на нее зайти имея доступ на роутер из ее сети» — такие задачи рашаю на практике через день
задача очень глупа…

я разочарован

можно таким образом подключится при помощи консоли, которая подключена с одной стороны к Async порту центрального роутера и к консоли второго роутера, в задаче это не запрещалось. т.е. например

telnet ASA 2001
Других подключений нет, как видите на картинке.

Но перед тем, как возопить: «Боже, как глупа задача, как глуп составитель» напишите конфиг, где В ОБЕ СТОРОНЫ работает. А не только в одну. Вель дефолтных гейтвеев нет у обоих рутеров.

В этом и была ПРОСТАЯ задача, над которой в частности Вы бились несколько дней.

А условие поставлено корректно. То, что Вы в нем прочитали лишнее говорит о… ну, например, пририсовывании нимба мне :))

Не надо ругаться :) Если эта задача проста для Вас — прекрасно! Более сложная уже готова. А пока можете прочитать и попробовать без подсказки решить задачки с нашего форума «Задачки на сообразительность»

WBR, Сергей
честно говоря картинки так и не увидел (верней увидел только сейчас)

что я бы сделал на линуксе:
ip addr add 10.0.1.2/24 dev eth0
ip addr add 10.0.2.2/24 dev eth1
iptables -A PREROUTING -t nat -i eth0 -d 10.0.1.2 -j DNAT --to-destination 10.0.2.2
iptables -A PREROUTING -t nat -i eth1 -d 10.0.2.2 -j DNAT --to-destination 10.0.1.2
iptables -A POSTROUTING -t nat -o eth0 -j SNAT --to-source 10.0.1.2
iptables -A POSTROUTING -t nat -o eth1 -j SNAT --to-source 10.0.2.2


да нимб присутсвовал ;) — ожидал от Вас задачку более интригующую ;)
а еще Вы мне напомнили задачу
«в прихожей 8 туфель, сколько играет детей в комнате?»

и непонятно, сколько одноногих детей играет, сколько детей прошло не разбувшись и сколько вообще туфель стояло до их прихода

PS: хотя я большой любитель сделать хитрый SNAT/DNAT
задача глупа-покажите тогда решение, если она глупа
Fedia: «Ведь нигде не сказано, что надо попасть по родному адресу :)»
UFO just landed and posted this here
Называется local-proxy-arp.

Но АРП ещё разослать надо.
Как я понял, задачку уже отгадали на сайте, где оригинал.
А можно еще какую-нибудь задачку на подобие? :)
Там, где оригинал, можно размяться: есть простенькие с виду задачки. Там же и решения.

Новую задачку опубликую чуть позже. Она чуть сложнее. Пока же силы брошены на новую серию «Курса молодого бойца». Следите за анонсами :)
Sign up to leave a comment.

Articles