我的雇主从一家公有的现任 ISP 订购了基于光纤的租用互联网。ISP 管理员说他不能提供大于的子网,/30因为他担心 ISP 边缘路由器会变得不稳定并因为来自更大子网的 ARP 广播而开始重新启动。但我迫切需要一个/29子网。我告诉他 ARP 泛洪只影响交换机而不影响路由器。但他说 ISP 边缘路由器通常会被已经分配了更大子网的客户的 ARP 广播淹没。据他说,它多次重新启动只是因为它。从边缘路由器直接分配的最大子网是/28。没有一个客户的带宽超过 20 mbps。路由器是 Cisco 7500 系列。我相信 ARP 广播泛洪永远不会导致重新启动。我需要说服他 ARP 广播不会影响路由器,我应该以某种方式获得/29子网。那么,对于这种奇怪情况,最好的步骤是什么?
编辑1:
一年来,我有一个/29来自同一 IP 的子网。由于预算限制,我只能从雇主那里得到一台服务器(具有 6 个以太网接口)用作服务器和路由器(带有 Ubuntu 服务器)。当我的用户(从 LAN 浏览互联网)访问可疑网站时,我在/29一个接口上从子网设置了一个发布 IP,用于将流量 NAT 到本地 LAN 供我的用户使用。我在另一个接口上使用另一个发布 IP,通过该接口托管一些网站(我使用 iproute2 的策略路由从与 LAN 用户使用的发布 IP 不同的接口/IP 发送我的网站)。这样做只是为了避免如果 LAN 用户使用相同的 IP 浏览可疑网站,则域关联的 IP 被列入黑名单/探测。而且,我还在另一个接口上使用另一个发布 IP 将流量 NAT 到另一组单独的用户。
现在,我要从同一家 ISP 购买 3 倍速度的链接,为此我必须使用单独的公共 IP 子网。他们提前告诉我,我将仅使用子网连接到 ISP /30,但我可能会得到一个/29通过/30子网路由的子网。此设置需要一个新的路由器,我不想拥有它。更重要的是,我会怀念那个用一台服务器处理所有事情的超棒设置。或者有没有办法在同一个路由器上使用来自两个子网的 IP /30(/29因为路由器有多个接口)?
在我居住的城市,所有 ISP(甚至是一级 ISP)都只提供/30子网直接连接。如果我们要求更多 IP,他们会提供一个/29通过之前提供的/30子网路由的子网。每个人都担心他们的边缘路由器会发生 ARP 泛洪。ARP 泛洪导致路由器重新启动似乎是一个毫无根据的城市神话。
编辑2:
在我当前的/29子网上,我使用 tcpdump 监听 arp 请求/回复。/29(ISP 的边缘路由器)网关使用其 MAC 回复许多 10.xxx、172.xxx 和 192.xxx 地址。一小时内,有超过 100 个不同的 IP 地址被公布(即使这些地址没有请求)。每次都是同一个 MAC 地址,与我的/29网关 IP 相同。似乎他们过度使用代理 arp。这会影响他们的边缘路由器的性能吗?
答案1
如果提供商的路由器受到 ARP 流量的不利影响,则说明配置错误。让他们研究控制平面监管 (CoPP),这不仅可以保护设备的 CPU 免受 ARP 流量的侵害,还可以保护其免受许多其他潜在威胁的侵害。查看http://www.cisco.com/en/US/prod/collateral/iosswrel/ps8802/ps6970/ps1838/prod_white_paper0900aecd804ac831.pdf提供一些示例和建议。
另外,正如前面提到的,如果他们只是将子网路由给您,那么 ARP 将是一个没有意义的问题。
答案2
实际上,如果提供商可以为您路由更多 IP/子网,您并不真正关心 wan 子网是否为 /30。
WAN 子网只是您的路由器和提供商之间的互连。
请考虑以下情形:
- 提供商的 7500 IP(也是您的默认网关):192.0.2.1/30
- 你的路由器 WAN IP 地址:192.0.2.2/30
然后你请求更多 IP 地址,提供商会为你提供 192.0.2.16/28。然后他会将其路由给你:
7500(config)# ip route 192.0.2.16 255.255.255.240 192.0.2.2
然后您就可以按照自己想要的方式使用它了。没有 arp 问题。
答案3
如果网络设计不良,广播数量过多,广播问题可能会影响路由器。如果 CPU 负载过高,Cisco 路由器往往会重新启动。
但它与子网掩码无关。使用广播媒体时,ARP 广播也将在 /30 中发送。
为了向您提供对您的 ISP 有效的论据,需要更多有关网络结构的详细信息。