Goed, ik zal er nog 1 post aan wijden dan:
Verwijderd schreef op dinsdag 26 juli 2011 @ 20:26:
Goed. Laat me het uitleggen dan.
Die 2960 is geen router. Het is een switch. Hij heeft een IP address, maar dat is alleen voor het management van de switch. Dat IP address wordt niet gebruikt om frames te switchen (of packetjes te routen). Vanuit het oogpunt van TCP/IP is het device dat achter 192.168.2,1 zit, niets anders dan een host.
Tot zover helemaal mee eens. Dit schreef ik 1 post hoger zelf ook al overigens...
Het zou dus kunnen zijn dat CatOS (het OS dat draait op Catalyst Switches) wel naar ICMPs luistert, als het device geconfigureert staat als layer-2 switch, en niet als layer-3 router. Ik kan je 100% garanderen dat cisco routers, die het oude vertrouwde IOS draaien, nooit hun routes zullen aanpassen als ze een ICMP redirect ontvangen. (Tenzij je ze configureert als niet-router. Bv "no ip routing").
2960's (en de meeste Catalyst switches overigens) draaien al lang geen CatOS meer, maar ook gewoon hun eigen versie van IOS.
Dat een 3750 die routeert geen routes aanpast als hij ICMP redirects ontvangt neem ik van je aan omdat ik niet de zin en tijd heb om het hier in een PoCje te testen. Wat dat ergens mee te maken heeft in mijn voorbeeld ontgaat me echter volledig.
Je static routes zijn verwarrend.
De 2690 heeft een default route naar 192.168.2.1. Dat is de 3750.
De 3750 heeft een default route naar 192.168.2.2. Dat is de 5505.
Dit suggeert dat je wilt dat de 2690 pakketjes route naar de 3750. En dat die ze door route naar de 5505.
Dat is onzin.
Die 2690 moet direct zijn pakketjes naar de 5505 sturen. De *switching*-functionaliteit van de 3750 moet er voor zorgen dat de ethernet-frames aankomen. Niet de routing-functionaliteit.
Spontaan wordt mijn 2960 een 2690, maar vooruit.
Allereerst 'moet' er niets.
Het is inderdaad zo dat de 2960 zijn default
gateway (niet route, een layer 2 switch kan geen routes configureren) naar de 3750 heeft staan.
Deze heeft zijn default route (0.0.0.0) naar de ASA staan inderdaad.
Dus als de 2960 een packet stuurt naar 10.0.0.1 dan wordt dit (zonder even ICMP redirects in beschouwing te nemen) gewoon op de default gateway afgeleverd. De 3750 dus. De 3750 krijgt op zijn VLAN interface een packet binnen van source 192.168.2.3 en destination 10.0.0.1. Hij heeft zelf geen IP in 10.0.0.x range en kan dus
niet switchen. Hij zal de route voor 10.0.0.1 moeten opzoeken in zijn
routing tabel. Daar vind hij dat dit verkeer naar de 1841 moet.
Misschien dat die default-gateway op de 2690 een tikfout was. Maar als je het echt zo bedoelde, dan blijkt daar uit dat je niet het verschil weet tussen routing en switching. En daarom vraag ik me af wat er allemaal niet nog meer mis zou kunnen zijn.
Nee, uiteraard geen tikfout, zie beneden.
En wat is "asynchrone routering" ? In 22 jaar van TCP/IP nog nooit van gehoord. Bedoel je soms "assymetrical" ?
Asymetrical (wel met 1 s uiteraard) inderdaad, I stand corrected.
Ik was niet de enige hier die moeite heeft te volgen hoe je netwerk in elkaar zit. Terwijl het echt een simpele topologie is. Maar als je geen simpele configuratie gebruikt, dan kan het verwarrend worden. Bv als een van je routers "proxy-arp" gaat doen, en alles plotseling lijkt te werken. Maar bij het minste of geringste gebeuren er onverklaarbare dingen. En als je niet precies begrijpt hoe het werkt, dan kun je zoiets nooit troubleshooten.
Je moet het heel simpel zien.
Er is een layer-2 netwerk. Dat is de basis.
Dat netwerk bestaat uit een aantal kabels, plus de switching functionaliteit van de 2690 en de 3750.
De routing van die twee boxen heeft er niks mee te maken. Die bestaat niet. Je 2690 en 3750 doen geen routing.
Dat netwerk krijgt prefix 192.168.2/24 toegewezen.
Alle devices op dat netwerk krijgen een IP address van die prefix.
Er is een (1) router die functioneert als de default gateway. Dat is de ASA5505.
Configureer op al je netwerk-devices 192.168.2.2 als de default-gateway.
Configureer je DHCP-server om ook 192.168.2.2 als default-gateway te adverteren via DHCP.
Op je ASA5505 configureer je "ip route 192.168.0.0 255.255.0.0 192.168.2.9".
Op de 2960 en de 3750 configureer je geen extra static routes.
Als de PCs op je LAN, of de 2960 of de 3750 iets naar het Internet willen sturen, dan sturen ze het naar de default-gateway. Dat is de AS5505. Die stuurt het door. Klaar.
Als de PCs op je LAN, of de 2960 of de 3750 iets naar je "Internet tbv WAN" willen sturen, dan sturen ze het ook naar de AS5505. De AS5505 echter stuurt de pakketjes terug over het LAN, maar nu naar de 1841. En de 1841 stuurt ze door. Echter, de AS5505 zal *ook* ICMP redirects sturen naar de originele zender. En die zal vanaf dat moment direct pakketjes naar de 1841 sturen.
Goed, dus mijn design waar ik een 3750 (layer 3 switch met hoge routing throughput) gebruik om zaken binnen het VLAN door te routeren naar het correcte layer 3 edge device is enorm fout, maar een ASA met beperkte doorvoer voor
exact hetzelfde gebruiken (namelijk routing binnen hetzelfde laag 2 netwerk) en daarbij een onnodige mogelijke security breach introduceren door
same-security-traffic permit intra-interface aan te moeten zetten is WEL een goed design?
Ik weet niet of je de bandwidth-overhead van beide oplossingen vergeleken hebt, maar sorry, dan gebruik ik liever mijn opzet. Voordeel van deze setup is namelijk dat er geen enkel verkeer dubbel over een fysieke interface hoeft, iets wat met jouw voorstel WEL het geval is (kabel tussen 3750 en ASA wordt daar dubbel belast).
De reden dat hiervoor dus gekozen is, is omdat er op deze manier makkelijk uitbreidingen en aanpassingen te doen zijn. Onafhankelijk wat er in de perimeter aan lijnen en routers veranderd, de default gateway van alle apparaten hoeft niet aangepast te worden (dit is ook lang niet altijd remote mogelijk). Alleen de routes op de 3750 worden (remote) aangepast en alles draait weer.
Ook een uitbreiding van het LAN is heel simpel te realiseren door ofwel een extra VLAN op de 3750 te introduceren (met bijbehorend IP dat als gateway dient voor de clients in dit VLAN), ofwel (minder secure en netjes) door een secondary IP op het bestaande VLAN te definieren.
Overigens is de aanname dat alle machines maar DHCP draaien erg naief. Kijk eens iets verder dan een standaard kantoorautomatiseringsomgeving en verdiep je eens in industriele automatisering en kom er achter dat veel devices dat NIET ondersteunen en een fixed IP en gateway nodig hebben, maar dat terzijde.
Verder nog een paar puntjes:
- Zoals gezegd kan je op een 2960 geen routes definieren, enkel een default gateway
- ICMP redirects zijn een enorme security breach en maken mitm attacks ERG makkelijk. Lees de security best practises er maar op na, het is iets wat je niet wilt
[...]
Tuurlijk wel. Mijn router thuis kan toch ook iets naar tweakers.net sturen zonder dat mijn router een IP-address heeft uit de range van tweakers.net ? Dat heet routing. Dat kun je doen door overal static routes in te typen. Of door een dynamisch routing protocol te draaien. In jouw geval hoeft die 3750 echter helemaal geen static routes te hebben, of een routing protocol te draaien. De 3750 doet geen routing. De enige routers in jouw netwerk die weet hoeven hebben van de andere subnetten binnen 192.168/16 (aka je "Internet tbv WAN") zijn de AS5505 en de 1841. Die twee dozen doen routing. De andere twee niet. Als je VLANs gaat gebruiken om routing te laten werken, dan maak je alles alleen maar onnodig complex.
Keep it Simple Stupid.
Wikipedia: KISS principle
*zucht*
Goed, om het verhaal dan helemaal te vertellen. Er werd door ik222 gesuggereerd dat ik met transfer netwerken moest gaan werkenm, dus de 1841 en ASA allemaal in een eigen range (192.168.3.1 en 4.1 ofzo)
Dit bekenent echter dat ik op de 3750 2 extra VLAN's moet aanmaken met een IP adres in de 192.168.3 en 4 range. Anders kan ik namelijk niet naar 3.1 en 4.1 routeren of wel?
Of heb jij in je router thuis staan dat al het verkeer voor tweakers.net (213.239.154.35) afgeleverd moet worden bij 87.233.1.218? Nee natuurlijk niet, want jouw thuisrouter heeft ook geen idee waar dat ie dat IP moet vinden.
Ik weet niet of je overigens ooit met L3 switches te maken gehad hebt, maar die DOEN niet veel anders dan routeren tussen VLANs. Ja, je kunt op een L3 switch een router port aanmaken, maar dat is meestal niet handig en niet nodig. gewoon een VLAN (of meerdere, een trunk) definieren met een IP erop en routeren maar tussen die VLANs (omdat ze beide directly connected zijn op de L3)
[
Voor 6% gewijzigd door
bazkar op 27-07-2011 16:54
]
:strip_icc():strip_exif()/u/27530/wolf.jpg?f=community)
:strip_icc():strip_exif()/u/212310/6.jpg?f=community)
/u/34216/avatar-60x60.png?f=community){kind=avatar}
/u/8038/crop65b285059c6d6_cropped.png?f=community)
:strip_icc():strip_exif()/u/96747/gnu_linux_poster_60.jpg?f=community)
:strip_exif()/u/16622/121823.gif?f=community)
)