Anticisco http://www.anticisco.ru/forum/ |
|
Задача про ответ на traceroute http://www.anticisco.ru/forum/viewtopic.php?f=3&t=10 |
Страница 1 из 1 |
Автор: | Fedia [ 09 окт 2008, 12:53 ] |
Заголовок сообщения: | Задача про ответ на traceroute |
Пусть у вас есть маршрутизатор cisco. Требуется, чтобы при трассировке маршрута, проходящего через этот роутер, ответ от него приходил с некоторого заданного адреса (например, 1.1.1.1) Например: trace X.X.X.X 1) t t t 10.1.1.1 2) t t t 192.168.1.1 3) t t t 1.1.1.1 (это данный роутер) 4) t t t 212.111.90.33 и т.д. |
Автор: | tenno [ 16 окт 2008, 14:48 ] |
Заголовок сообщения: | Re: Задача про ответ на traceroute |
думаю это можно сделать с помощью Loopback интерфейcа. Прописать на loopback'e IP 1.1.1.1 и роут-мапами или c помощью OSPF, BGP и т.д, можно заворачивать трафик на этот интерфейс. |
Автор: | tenno [ 16 окт 2008, 15:02 ] |
Заголовок сообщения: | Re: Задача про ответ на traceroute |
еще можно через ip local policy route- map ... route-map test permit 10 set interface loopback 0 ip local policy route-map test |
Автор: | sa1000 [ 16 окт 2008, 15:26 ] |
Заголовок сообщения: | Re: Задача про ответ на traceroute |
не совсем уверен в правильности синтаксиса ибо консоли под рукой нет но в общем решение видится следующим образом: conf t ip access-list ext ICMP_TTLEXCEED permit icmp any any ttl-exceed exit route-map TO_LOOPBACK perm 10 match ip addr ICMP_EXCEED set int lo0 exit int lo0 ip addr 1.1.1.1 255.255.255.255 exit route-map REPLACE_SRCIP perm 10 match ip addr ICMP_EXCEED exit ip local policy TO_LOOPBACK ip nat ins source route-map REPLACE_SRCIP interface Loopback0 overload int fa0/0 ip addr 10.7.0.1 255.255.255.0 ip nat outside exit |
Автор: | Fedia [ 16 окт 2008, 18:43 ] |
Заголовок сообщения: | Re: Задача про ответ на traceroute |
Практически верно, но так работать не будет. Для ната надо не только ip nat outside, но и ip nat inside интерфейс. Локальный трафик рутера не будет транслироваться. И ещё: мне кажется, что не получится странслировать в адрес интерфейса, который не ip nat outside, хотя тут могу заблуждаться. Правильный ход такой: ACL ICMP_EXEEDED perm icmp any any ttl-exeeded Route-map TOLOOP0 10 match ACL ICMP_EXEEDED set int loop 0 Route-map TOLOOP1 10 match ACL ICMP_EXEEDED set int loop 1 int loop 0 ip address (не важно какой) ip policy route-map TOLOOP1 ip nat inside int loop 1 ip address 1.1.1.1/32 ip nat outside ip local policy route-map TOLOOP0 Т.е. трансляцию делаем между интерфейсами loop. Это правильно и с т.з. производительности: остальной трафик даже проверяться НАТом не будет ЗЫ Спасибо за участие |
Автор: | sluk [ 16 окт 2008, 22:03 ] |
Заголовок сообщения: | Re: Задача про ответ на traceroute |
Я на CiscoExpo предложил вариант решения с ip-unnumbered интерфейсами. С serial все просто. Оно работает! А вот с FastEthernet пришлось помучаться. Решил через Tunnel-интерфейс: interface Fastethernet 0/0 ip address 10.5.1.1 255.255.255.0 interface Tunnel0 tunnel source fastethernet0/0 tunnel destination 10.5.1.3 ip unnumbered Ну, и конечно, протокол динамическаой маршрутизации поднять, только fastethernet в network не включать, а то он более предпочтительный, чем tunnel. |
Автор: | sluk [ 16 окт 2008, 22:08 ] |
Заголовок сообщения: | Re: Задача про ответ на traceroute |
Поправка. В ip unnumbered надо, конечно, указать интерфейс loopback0. Дополнение. Мое решение чисто академическое. В production-сети я бы не стал его внедрять. Сами понимаете, накладные расходы на GRE, второй заголовок IP. Опять же CEF не работает на туннельном интерфейсе ... |
Автор: | Fedia [ 17 окт 2008, 08:02 ] |
Заголовок сообщения: | Re: Задача про ответ на traceroute |
Задачки вообще оторваны от жизни. Они скорее на понимание и широту взгляда. ЗЫ В предложенной на ЦЭ топологии Ваше решение проходит, а вот если взять 2 fastethernet, то мне кажется при traceroute "дальнего" интерфейса маршрутизатора с loop0 (1.1.1.1), отвечать всё же будет он не с 1.1.1.1, а с адреса ближнего fastethernet Вчера один коллега предложил поднять VRF, для разделения трафика по туннельным интерфейчас и по реальным адресам интерфейсов |
Автор: | Ilya [ 24 окт 2009, 21:12 ] |
Заголовок сообщения: | Re: Задача про ответ на traceroute |
сегодня проверил решение: создается 1. пул ната POOL, 2. ACL, в который входит интерфейс роутера. динамик нат ACL в POOL На интерфейс, с которого будет от отвечать ttl-exceeded - ip nat outside. Как известно, в отсутствии инсайдов, будет транслироваться траффик самого роутера. проверил на железе. С уважением, Илья |
Автор: | Fedia [ 25 окт 2009, 10:48 ] |
Заголовок сообщения: | Re: Задача про ответ на traceroute |
Хм, про "как известно" - видимо не мне. Я не знал, спасибо! |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |