The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"хочу использовать VRF но не могу."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"хочу использовать VRF но не могу."  +/
Сообщение от airo (??) on 14-Май-10, 15:34 
Здравствуйте.

...Не могу потому что, не могу найти доки. Поиск по сайту циски наводит меня только вот на такие статьи
http://www.cisco.com/en/US/docs/ios/12_2sb/feature/guide/vrf...

http://www.cisco.com/en/US/docs/optical/15000r9_0/ethernet/4...

подробностей никаких.
Мне не понятно что будет если на роутере где действeет обычная маршрутизация без всяких VRF создать всетаки VRF и прикрепить к одному интерфейсу/сабинтерфейсу, будет ли работать прежняя традиционая маршрутизация или надо весь роутер переводить на VRF. Можно ли использовать VRF не для VPN

(config-vrf)#?
    route-target Specify Target VPN Extended Communities

нужен ли мне вообще route-target export/inmport

Для чего мне это нужно.
У меня есть роутер. На роутере транковый порт к свитчу. На свитче по виланам разложены сети. На роутере для каждой сети есть свой гетвей. Теперь появилась сеть которая должна быть полность изолирована от всех остальных, но получать интернет через роутер.

Хочу вынести эту сеть в отдельный вилан, закрыть его в VRF со своей собственной таблицей маршрутизации и настроить НАТ в VRF.

Свободного оборудования нет, что бы потестить. На продакшине играться не зная последствий, последнее дело.

Где бы почитать более развернуто про этот VRF?
Ну или если не сложно выши коментарии по некоторым командам. Таким например как:
1) rd
2) route-target
3) export/import (я так понял это просто фильтр какие маршруты нужны, а какие фильтровать)

Спасибо.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "хочу использовать VRF но не могу."  +/
Сообщение от del23 email(ok) on 14-Май-10, 17:17 
Создай ACL запрещающую прохождение трафика из всей сети в ту которую хочешь изолировать и обратно да и повесь его на подинтерфейс.... зачем тебе заморачиваться с VRF ?!
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "хочу использовать VRF но не могу."  +/
Сообщение от airo (??) on 14-Май-10, 17:52 
>Создай ACL запрещающую прохождение трафика из всей сети в ту которую хочешь
>изолировать и обратно да и повесь его на подинтерфейс.... зачем тебе
>заморачиваться с VRF ?!

Хочу красивое решение.
К тому же наверное существует шанс что поменять ИП на который АЦЛ действовать не будет.
Короче хочу полной изоляции.

VRF мне в принципе подходит?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "хочу использовать VRF но не могу."  +/
Сообщение от GolDi (??) on 14-Май-10, 17:58 
>>Создай ACL запрещающую прохождение трафика из всей сети в ту которую хочешь
>>изолировать и обратно да и повесь его на подинтерфейс.... зачем тебе
>>заморачиваться с VRF ?!
>
>Хочу красивое решение.
>К тому же наверное существует шанс что поменять ИП на который АЦЛ
>действовать не будет.
>Короче хочу полной изоляции.
>
>VRF мне в принципе подходит?

Информации полно, как пример
https://www.opennet.ru/openforum/vsluhforumID6/13980.html

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "хочу использовать VRF но не могу."  +/
Сообщение от airo (??) on 14-Май-10, 18:00 
>Информации полно, как пример
>https://www.opennet.ru/openforum/vsluhforumID6/13980.html

а где там про:

....
Где бы почитать более развернуто про этот VRF?
Ну или если не сложно выши коментарии по некоторым командам. Таким например как:
1) rd
2) route-target
3) export/import (я так понял это просто фильтр какие маршруты нужны, а какие фильтровать)

примеров конфигурации я нашел их действительно полно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "хочу использовать VRF но не могу."  +/
Сообщение от sTALK_specTrum on 15-Май-10, 05:09 
>Для чего мне это нужно.
>У меня есть роутер. На роутере транковый порт к свитчу. На свитче
>по виланам разложены сети. На роутере для каждой сети есть свой
>гетвей. Теперь появилась сеть которая должна быть полность изолирована от всех
>остальных, но получать интернет через роутер.

Земляк, для этой задачи VRF не подойдёт. Представить всё можно по аналогии с VLAN'ами. Как на коммутаторе каждый VLAN - это как бы отдельный свич, никак с другими не связанный, так и на маршрутизаторе VRF - это отдельный независимый роутер со своими интерфейсами, маршрутами и другими причиндалами. Я использую VRF, чтобы "распилить" одну железку на несколько роутеров, стоящих в разных точках сети. Например граничные роутеры к разным провам, плюс роутеры к сетям других филиалов, всё такое.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "хочу использовать VRF но не могу."  +/
Сообщение от airo (??) on 17-Май-10, 10:02 
>Земляк, для этой задачи VRF не подойдёт.

ну вот я и хочу выделить одну сеточку что бы она не видела другие сеточки но получала интернет. Вопрос только как сделать интернет если интерфейс провайдера будет не в VRF. Как импортировать маршруты другого VRF, я наверное знаю (ну или думаю что знаю). А вот как импортировать не VRF..? :(

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "хочу использовать VRF но не могу."  +/
Сообщение от fantom (??) on 17-Май-10, 10:24 
>>Земляк, для этой задачи VRF не подойдёт.
>
>ну вот я и хочу выделить одну сеточку что бы она не
>видела другие сеточки но получала интернет. Вопрос только как сделать интернет
>если интерфейс провайдера будет не в VRF. Как импортировать маршруты другого
>VRF, я наверное знаю (ну или думаю что знаю). А вот
>как импортировать не VRF..? :(

1. Поместить инетовский интерфейс тоже в VRF.
2. www.cisco.com и читать про route leaking.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "хочу использовать VRF но не могу."  +/
Сообщение от airo (??) on 17-Май-10, 11:54 
интернет----10.10.10.1----------10.10.10.2---R0 МОЙ РОУТЕР----Fa0/0.50 VRF сеть 20.20.20.1--------клиент 20.20.20.2
ip vrf jail
description jail_for_client
больше мне не надо так как обмен маршрутами через статику.

роутер R0 имеет статический дефаул ip route 0.0.0.0 0.0.0.0 10.10.10.1

теперь добавляем дефаул для vrf клиентов
ip route vrf jail 0.0.0.0 0.0.0.0 10.10.10.1 global

теперь обратный маршрут
ip route 20.20.20.0 255.255.255.0 Fa0/0.50

и если сейчас я сделаю
R0#ping vrf jail 77.88.21.3

я запингую ya.ru

Это только для того что бы виртуальный роутер jail увидел интернет. НАТ это следующий шаг.
Я правильно все понял?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "хочу использовать VRF но не могу."  +/
Сообщение от airo (??) on 18-Май-10, 12:32 
есть некоторый прогресс.
для теста сделал такую схему.

                      R0 роутер---192.168.0.150------192.168.0.1 Linux
VRF 192.168.55.1------------|

ip route vrf jail 192.168.0.0 255.255.255.0 192.168.0.1 global
ip route 192.168.55.0 255.255.255.0 GigabitEthernet0/0.75 192.168.55.1

делаю #ping vrf jail 192.168.0.1

на линуксе включаю tcpdump и вижу
11:47:37.352610 192.168.55.1 > 192.168.0.1: icmp: echo request
11:47:39.349916 192.168.55.1 > 192.168.0.1: icmp: echo request
11:47:41.349869 192.168.55.1 > 192.168.0.1: icmp: echo request
11:47:43.350259 192.168.55.1 > 192.168.0.1: icmp: echo request
11:47:45.349810 192.168.55.1 > 192.168.0.1: icmp: echo request

тоесть из VRF`a пакеты доходят до пункта назначения и прошу заметить что интерфейс 192.168.0.150 не находиться в VRF.
проблема с обратным путем пакета. Тоесть вот этот маршрут не работает ip route 192.168.55.0 255.255.255.0 GigabitEthernet0/0.75 192.168.55.1

он не работает даже на самомо маршрутизаторе если сделать
#ping 192.168.55.1
соответственно с линукса пинг на 192.168.55.1 тоже не проходит
хотя трейс показывает:

  traceroute 192.168.55.1
traceroute to 192.168.55.1 (192.168.55.1), 30 hops max, 38 byte packets
  1 192.168.0.150 (192.168.0.150) 0.983 ms 1.637 ms 0.902 ms
  2 *

пакет доходит до R0 а дальше....

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "хочу использовать VRF но не могу."  +/
Сообщение от KiM email(??) on 18-Май-10, 13:13 
>[оверквотинг удален]
>#ping 192.168.55.1
>соответственно с линукса пинг на 192.168.55.1 тоже не проходит
>хотя трейс показывает:
>
>  traceroute 192.168.55.1
>traceroute to 192.168.55.1 (192.168.55.1), 30 hops max, 38 byte packets
>  1 192.168.0.150 (192.168.0.150) 0.983 ms 1.637 ms 0.902 ms
>  2 *
>
>пакет доходит до R0 а дальше....

мошть вначале почитать про mpls, а только потом обратится к vrf;)))

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "хочу использовать VRF но не могу."  +/
Сообщение от airo (??) on 18-Май-10, 16:06 
вот дока если верить которой, все должно работать без mpls
раздел "Route Leaking from a Global Routing Table into a VRF and Route
Leaking from a VRF into a Global Routing Table"

http://www.cisco.com/application/pdf/paws/47807/routeleaking...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "хочу использовать VRF но не могу."  +/
Сообщение от KiM email(??) on 19-Май-10, 08:37 
>вот дока если верить которой, все должно работать без mpls
>раздел "Route Leaking from a Global Routing Table into a VRF and
>Route
>Leaking from a VRF into a Global Routing Table"
>
>http://www.cisco.com/application/pdf/paws/47807/routeleaking...

чтобы быстрее понять как работает vrf, проще узнать как работает mpls.

зы я в курсе что оно работает без mpls

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "хочу использовать VRF но не могу."  +/
Сообщение от airo (??) on 19-Май-10, 11:28 
>чтобы быстрее понять как работает vrf, проще узнать как работает mpls.

верю на слово :)
меня всегда интересовал MPLS просто руки до него не доходили, просто не знал как применить на практике у себя в сети.

Частично VRF у меня заработал. Помогли люди. Хотя почему-то изначально таже конфигурация в  чисто моем исполнении не работала.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "хочу использовать VRF но не могу."  +/
Сообщение от KiM email(??) on 20-Май-10, 09:43 
>>чтобы быстрее понять как работает vrf, проще узнать как работает mpls.
>
>верю на слово :)
>меня всегда интересовал MPLS просто руки до него не доходили, просто не
>знал как применить на практике у себя в сети.
>
>Частично VRF у меня заработал. Помогли люди. Хотя почему-то изначально таже конфигурация
>в  чисто моем исполнении не работала.

route-leaking ЗЛО!!!!! попомни мои слова

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "хочу использовать VRF но не могу."  +/
Сообщение от sTALK_specTrum on 20-Май-10, 10:11 
Ой, братие, чой-то вы не в ту тундру ушли...

Изначально цель была, как я понимаю, организовать просто отдельную изолированную сеть. Типа классической DMZ... И далее мы видим, как благое желание "сделать красиво" выродилось в реализацию "через ass автогеном".  =)_)  Нет, конечно, в порядке эксперимента прокачать своё кунг-фу новым vrf-до - дело святое, но...  ;)

Ну не понимаю я красоты в виртуальном роутере с одним-единственным интерфейсом.
То есть достаточно было создать ещё один подынтерфейс с dot1Q и как бы всё.

А сделать красиво и сертифицированно - бери две ASA в failover'e и рисуй там аклы-наты-вланы.  =)))

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "хочу использовать VRF но не могу."  +/
Сообщение от fantom (??) on 20-Май-10, 15:38 
>>>чтобы быстрее понять как работает vrf, проще узнать как работает mpls.
>>
>>верю на слово :)
>>меня всегда интересовал MPLS просто руки до него не доходили, просто не
>>знал как применить на практике у себя в сети.
>>
>>Частично VRF у меня заработал. Помогли люди. Хотя почему-то изначально таже конфигурация
>>в  чисто моем исполнении не работала.
>
>route-leaking ЗЛО!!!!! попомни мои слова

Вещи не бывают злыми или добрыми - все зависит от того, кто и как их использует.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру