ExtremeNetworks Summit X450 - Hostroute wird ignoriert

andrer250282

Experte
Thread Starter
Mitglied seit
05.10.2015
Beiträge
338
Guten Morgen,

mal eine Frage, ich bin eigentlich eher in der Cisco Welt unterwegs, hab jetzt einen ExtremeNetworks Summit X450 CoreSwitch vor mir...
Grob das Netz: es gibt 3 VLANs mit den Netzbereichen
172.24.0.0/16
192.168.211.0/24
192.168.212.0/24

Für alle 3 VLANs ist der Summit der Gateway mit der jeweiligen .254 Adresse.
Jetzt habe ich eine IDS/IPS Firewall in diese Netze gestellt mit folgenden IPs
172.24.252.253
192.168.211.253
192.168.212.253
Dies Konzept hab ich an einem Cisco Coreswitch Standort bereits umgesetzt
Die Firewall soll nicht den Gateway komplett ersetzen, sondern nur für einzelne Systeme gelten.

Bei Cisco war das ganz einfach, für den Host 192.168.211.29 wäre die Hostroute bei Cisco so:
Code:
ip route 192.168.211.29 255.255.255.255 172.24.252.253

Also bin ich davon ausgegangen, dass dies bei Extreme mehr oder weniger genauso läuft:
Code:
configure route add 192.168.211.29 255.255.255.255 172.24.252.253

Wenn ich mir die Routen für den Host anzeigen lasse:
Code:
show iproute 192.168.211.29 255.255.255.0
Ori Destination Gateway Mtr Flags VLAN Duration
#d 192.168.211.0/24 192.168.211.250 1 U------um--f PRODUKTION1 7d:2h:59m:41s
#s 192.168.211.29/32 172.24.252.203 1 UG---S-um--f OFFICE 0d:1h:13m:24s

Origin(Ori): (b) BlackHole, (be) EBGP, (bg) BGP, (bi) IBGP, (bo) BOOTP
(ct) CBT, (d) Direct, (df) DownIF, (dv) DVMRP, (e1) ISISL1Ext
(e2) ISISL2Ext, (h) Hardcoded, (i) ICMP, (i1) ISISL1 (i2) ISISL2
(is) ISIS, (mb) MBGP, (mbe) MBGPExt, (mbi) MBGPInter, (mp) MPLS Lsp
(mo) MOSPF (o) OSPF, (o1) OSPFExt1, (o2) OSPFExt2
(oa) OSPFIntra, (oe) OSPFAsExt, (or) OSPFInter, (pd) PIM-DM, (ps) PIM-SM
(r) RIP, (ra) RtAdvrt, (s) Static, (sv) SLB_VIP, (un) UnKnown
(*) Preferred unicast route (@) Preferred multicast route
(#) Preferred unicast and multicast route

Flags: (B) BlackHole, (D) Dynamic, (G) Gateway, (H) Host Route
(L) Matching LDP LSP, (l) Calculated LDP LSP, (m) Multicast
(P) LPM-routing, (R) Modified, (S) Static, (s) Static LSP
(T) Matching RSVP-TE LSP, (t) Calculated RSVP-TE LSP, (u) Unicast, (U) Up
(f) Provided to FIB (c) Compressed Route

Mask distribution:
1 routes at length 24 1 routes at length 32


Route Origin distribution:
1 routes from Direct 1 routes from Static


Total number of routes = 2
Total number of compressed routes = 0

und wenn ich das hier richtig verstehe:
Code:
show iproute priority
Direct 10
MPLS 20
Blackhole 50
Static 1100
bedeutet das, dass direkte Routen statische Routen immer schlagen? Wie kann man denn Hostrouten bei Extreme anlegen? Oder hab ich völlig einen Denkfehler?

Wie gesagt, gleiches Konzept mit einem Cisco COreswitch funktioniert einwandfrei
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Zunächst mal, wunder mich, dass dein Konstrukt unter Cisco funktioniert.


Was du mit "show iproute priority" siehst, ist die Standardpriorität für gleichwertige Routen. Dass heißt, dass wenn du zwei Routen der gleichen Prefixgröße hast. z.B. 192.168.0.0/24 einmal gelernt via statischer Route und einmal Direct Connected. Dann würde die Direct Route gewinnen.
Hast du eine statische Route innerhalb dieses Netzbereiches z.B. 192.168.0.23/32 -> 123.123.123.123, dann würde diese aber wiederum gewinnen.

Kurzum:
Netz und Subnetzmaske zweier Routen ist gleich = Werte gemäß "show iproute prio" gelten
Subnetz (z.B. /32) innerhalb eines Netzes (z.B. /24): Kleineres Netz gewinnt. Auch "More Specific Route" genannt.



Das was du da vorhast, geht meines Erachtens nur gut, wenn du deine IDS/IPS Firewall mit einem anderen Netz an den Switch hängst und auf diesem Source Routing bzw Policy Based Routing macht.
Wie man das konfiguriert, kannst du hier finden: https://documentation.extremenetwor...ID-537987DB-F929-4B7A-B023-B34DC06B3766.shtml



Wenn ich es richtig verstanden habe, willst du folgendes: Host 1 und 2 verwenden beispielsweise die Standard Firewall als Gateway ins Internet
Host 3 soll in das Internet über die IDS/IPS Firewall.

Gemäß Extreme Doku würdest du z.B. sowas hier bauen:
Code:
 configure terminal
 ip access-list standard 99
permit 192.168.0.23 255.255.255.255
exit
 route-map test-route permit 99
 match ip address acl 99
set ip next-hop 123.123.123.123
exit
interface ethernet 1/1
ip policy route-map test-route
end

Das heißt letztendlich: Wenn an Interface ethernet 1/1 ein Paket mit der Quell Adresse 192.168.0.23 ankommt, dann nehme nicht den Nexthop aus der Routing Tabelle, sondern nehme 123.123.123.123. 123.123.123.123 wäre dann in dem Fall deine IDS Firewall


1713981398435.png
 
PBR ist in dem Fall immer die bessere Wahl.
Wo man aufpassen muss bei PBR, wenn Netze, für die die PBR gelten soll über verschiedenen Wege reinkommen soll, dann muss man sich im Vorfeld Gedanken machen, wo das überall sein kann. Das ist insbesondere größeren L3 Strukturen ein Problem. Wobei man da noch andere Abstraktionsebenen fahren kann.

Was ich mit bei dem IDS Konstrukt aber nochmal überlegen würde, ist der Umstand mit dieser Hostroute.
Meiner Meinung nach macht es mehr Sinn, den relevanten Host in ein anderes Subnetz mit L2 Virtualisierung zu packen und dann für dieses Netz das IDS als PBR eintragen. Das hat den Vorteil, dass bei einer IP-Änderung (wie auch immer die passieren sollte) der Host aus dem "immer über IDS" nicht ausbrechen kann. (solange er in dem besagten L2-Segment ist)
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh