Доступ к ip в VRF

[mmvds]

Всем привет! помогите разобраться с задачкой по VRF
Есть маршрутизатор R1 (cisco 76XX), на нем vrf123

Код: Выделить всё

!
ip vrf vrf123
 rd 12345:10
!

vlan 123
 name vlan123
!

interface Loopback1
 description loopback for vrf123
 ip vrf forwarding vrf123
 ip address xa.xb.xc.13 255.255.255.255
!

interface Vlan123
 ip vrf forwarding vrf123
 ip address xa.xb.xc.66 255.255.255.252
 no ip redirects
 ip ospf network point-to-point
!

router ospf 10 vrf vrf123
 router-id xa.xb.xc.13
 redistribute static subnets
 redistribute connected subnets
 passive-interface default
 no passive-interface Vlan123
 network xa.xb.xc.0 0.0.0.255 area 1
!

Влан 123 проброшен на порт
interface Gi1/1
 switchport
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 123
 switchport mode trunk
!

К порту подключен китайский цископодобный маршрутизатор R2
c ip address xa.xb.xc.65 255.255.255.252
Через который видно сеть xa.xb.xc.32 255.255.255.224


Чтобы увидеть эту сеть на R1 добавил маршрут
ip route vrf vrf123 xa.xb.xc.32 255.255.255.224 xa.xb.xc.65


Также к R1 подключен свитч SW1 (ciscio c3960), на котором сидит пользователь, которому нужно получить доступ
к ip xa.xb.xc.36
т.е. можно пропинговать xa.xb.xc.36 c R1 через ping vrf vrf123 xa.xb.xc.36, пинг проходит

При этом изменить конфиг на R1, SW1 можно,
на R2 - нельзя.
Собственно вопрос, что нужно донастроить на R1 и SW1?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[lap]

а запихать этого юзера в этот-же врф?

[mmvds]

Vlan123 с сетью /30, 1 ip прописан на R1, Другой на R2, а т.к. на R2 доступа для смены конфига нет, то во vlan123 больше никого не запихнуть

[mmvds]

так, а если добавить vlan124, его тоже в vrf123?
т.е. делаю например

Код: Выделить всё

conf t
vlan 124
 name vlan124

interface Vlan124
 ip vrf forwarding vrf123
 ip address xa.xb.xc.129 255.255.255.224

router ospf 10 vrf vrf123
no passive-interface Vlan124

И прокидываю 124 vlan на порт до пользователя?
У пользователя прописываю например
ip: xa.xb.xc.130
mask: 255.255.255.224
gateway: xa.xb.xc.129

Пробовал, не помогло, шлюз доступен от пользователя, xa.xb.xc.66 (R1 во vlan123) доступен, xa.xb.xc.65 (адрес R2 во vlan123) тоже доступен, а вот xa.xb.xc.36 не доступен

[lap]

убить совсем svi и порт с подключенным клиентом сделать аксесным в влане 123 и юзеру назначить ипишник с этго грохнутого svi-ая

[mmvds]

Думаю прокатит, но а если юзера 2? Может все-таки можно как-то второй влан (124) разрулить? Или как-то настроить маршрутизацию чтобы по виртульному интерфейсу глобальной таблицы маршрутизации были доступны ip из vrf? Т.е. чтобы с R1 можно было пингануть xa.xb.xc.36 без vrf?

[lap]

ну если у тебя оспф живое, то попробуй редистрибут конектед добавить в роутер оспф в ответе про запихать клиентский интерфейс в врф и еещ клиентская машина должно знать (если у нее несколько интерфейсов) куда кидать пакеты предназначенные р2

ну и глянь-те что у вас в таблице рутинга в врфе получается + посмотреть о чем вообще оспф знает

[mmvds]

OSPF на R1 видит только xa.xb.xc.65/30
на router ospf 10 vrf vrf123
есть
redistribute static subnets
redistribute connected subnets

[lap]

А xa.xb.xc.36 знает про то что у вас на клиентах прописано и в какое место им отвечать надо? и пингуется-ли адрес из сети xa.xb.xc.32/27 который прописан на р2?

[mmvds]

xa.xb.xc.36 знает только про xa.xb.xc.34
xa.xb.xc.34 на R2 c R1 пингуется

[lap]

а с клиента, когда он в врф запихнут?

[mmvds]

а с клиента, когда он в врф запихнут?

С клиента xa.xb.xc.34 тоже пингуется, а вот злосчастный xa.xb.xc.36 - нет

[mmvds]

Удалось раздобыть конфиг с R2

Код: Выделить всё

vlan 10
 description vlan10

vlan 123
 description vlan123


interface Vlanif10
 ip address xa.xb.xc.34 255.255.255.224
 vrrp vrid 1 virtual-ip xa.xb.xc.33
 vrrp vrid 1 priority 120
 vrrp vrid 1 track interface Ethernet0/0/20 reduced 30
 dhcp select global

interface Vlanif123
 ip address xa.xb.xc.65 255.255.255.252
 ospf network-type p2p

interface Ethernet0/0/5
 description server_xa.xb.xc.36
 port hybrid pvid vlan 10
 undo port hybrid vlan 1
 port hybrid untagged vlan 10
 ntdp enable
 ndp enable
 bpdu enable

interface Ethernet0/0/20
 description uplink_to_Cisco
 port link-type trunk
 port trunk allow-pass vlan 123
 ntdp enable
 ndp enable
 bpdu enable

ospf 1
 silent-interface all
 undo silent-interface Vlanif123
 area 0.0.0.1
  network xa.xb.xc.0 0.0.0.255

Соответственно xa.xb.xc.36 воткнут в 5-ый порт, находится в 10-ом влане, шлюз xa.xb.xc.33, маска 255.255.255.224
И через 20-ый порт проброшен 123 влан от R1

[mmvds]

Получил доступ до R2, Расширил на нем сеть для vlan123 до /27 vlan пробросил vlan123 на оператора, все работает

[mmvds]

Возвращаясь к старой проблеме,
Проблема была с китайской железкой Huawei s3328 VRP (R) software, Version 5.70 (S3328 V100R005C01SPC100), у него периодически подвисает ospf, лечится на месяц-два ребутом железки
Поэтому оставил статику