ip unnumbered или снять ограничение в количество подключений через VPN

Что такое ip unnumbered?

Данный функционал реализованный в оборудовании Cisco позволяет сократить использование адресов IPv4 в условиях их дефицита.

Изначально был разработан для интерфейсов точка-точка типа Serial, при маршрутизации с участием таких интерфейсов не требуется знать адрес следующего хопа, так как это не широковещательная среда и пакет всегда достигнет своего получателя и он один, маршрутизатору достаточно «знать» что такой то префикс доступен за таким то интерфейсом.

Следовательно не требуется выделять подсеть /30 или /31 адресов на эти интерфейсы, достаточно указать на интерфейсе что вся обработка IP пакетов(а это нетранзитные пакеты к самому роутеру, либо пакеты сгенерированные самим роутером) будет осуществляться с адресом присвоенным другому интерфейсу, допустим адресом висящим на лупбеке, или на ethernet интерфейсе.

Краткая ремарка.

При не настроенном\не включённом ip unnumbered наблюдается следующая картина: начинают действовать ограничения на количество подключённых по vpn’y пользователей. К примеру, не больше 5 или 10 одновременно подключённых. Что бы этого избежать, настроим ip unnumbered.

Предположим, что настройка выдачи пула адресов для vpn’a настроена так:

ip dhcp pool vpn-pool
network 192.168.22.0 255.255.255.0
update dns both override
default-router 192.168.22.1
domain-name cisco.com
dns-server 192.168.22.217
lease infinite
update arp

Виртуальный интерфейс настроен так:

interface Virtual-Template1
ip address 192.168.22.1 255.255.255.0
ip access-group 110 in
ip nat inside
peer default ip address pool vpn-pool
ppp authentication pap callin

А теперь делаем изменения.

Создаём и настраиваем дополнительный интерфейс Loopback2:

interface Loopback2
ip address 192.168.22.1 255.255.255.0
ip nat inside
ip virtual-reassembly

а Virtual-Template1 перенастраиваем так:

interface Virtual-Template1
ip unnumbered Loopback2

Примечание.

Строка  ip virtual-reassembly отвечает за сбор фрагментов пакетов. Она способствует не столько защите сколько о том, чтобы случайно не пропустить неправильные фрагментированные пакеты.  Во многих современных IOS’ax она включена по умолчанию.

Аналоги в Unix системах

Существуют и аналоги в ip unnumbered в таких системах как Linux (подробнее описано здесь) и FreeBSD (подробнее описано здесь)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *