Страница 1 из 1

Доступ к ip в VRF

Добавлено: 2012-03-27 16:43:01
mmvds
Всем привет! помогите разобраться с задачкой по VRF
Есть маршрутизатор R1 (cisco 76XX), на нем vrf123

Код: Выделить всё

!
ip vrf vrf123
 rd 12345:10
!

vlan 123
 name vlan123
!

interface Loopback1
 description loopback for vrf123
 ip vrf forwarding vrf123
 ip address xa.xb.xc.13 255.255.255.255
!

interface Vlan123
 ip vrf forwarding vrf123
 ip address xa.xb.xc.66 255.255.255.252
 no ip redirects
 ip ospf network point-to-point
!

router ospf 10 vrf vrf123
 router-id xa.xb.xc.13
 redistribute static subnets
 redistribute connected subnets
 passive-interface default
 no passive-interface Vlan123
 network xa.xb.xc.0 0.0.0.255 area 1
!

Влан 123 проброшен на порт
interface Gi1/1
 switchport
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 123
 switchport mode trunk
!
К порту подключен китайский цископодобный маршрутизатор R2
c ip address xa.xb.xc.65 255.255.255.252
Через который видно сеть xa.xb.xc.32 255.255.255.224


Чтобы увидеть эту сеть на R1 добавил маршрут
ip route vrf vrf123 xa.xb.xc.32 255.255.255.224 xa.xb.xc.65


Также к R1 подключен свитч SW1 (ciscio c3960), на котором сидит пользователь, которому нужно получить доступ
к ip xa.xb.xc.36
т.е. можно пропинговать xa.xb.xc.36 c R1 через ping vrf vrf123 xa.xb.xc.36, пинг проходит

При этом изменить конфиг на R1, SW1 можно,
на R2 - нельзя.
Собственно вопрос, что нужно донастроить на R1 и SW1?

Re: Доступ к ip в VRF

Добавлено: 2012-03-27 16:47:30
lap
а запихать этого юзера в этот-же врф?

Re: Доступ к ip в VRF

Добавлено: 2012-03-27 18:38:39
mmvds
Vlan123 с сетью /30, 1 ip прописан на R1, Другой на R2, а т.к. на R2 доступа для смены конфига нет, то во vlan123 больше никого не запихнуть :(

Re: Доступ к ip в VRF

Добавлено: 2012-03-27 18:51:33
mmvds
так, а если добавить vlan124, его тоже в vrf123?
т.е. делаю например

Код: Выделить всё

conf t
vlan 124
 name vlan124

interface Vlan124
 ip vrf forwarding vrf123
 ip address xa.xb.xc.129 255.255.255.224

router ospf 10 vrf vrf123
no passive-interface Vlan124
И прокидываю 124 vlan на порт до пользователя?
У пользователя прописываю например
ip: xa.xb.xc.130
mask: 255.255.255.224
gateway: xa.xb.xc.129

Пробовал, не помогло, шлюз доступен от пользователя, xa.xb.xc.66 (R1 во vlan123) доступен, xa.xb.xc.65 (адрес R2 во vlan123) тоже доступен, а вот xa.xb.xc.36 не доступен :(

Re: Доступ к ip в VRF

Добавлено: 2012-03-27 20:31:47
lap
убить совсем svi и порт с подключенным клиентом сделать аксесным в влане 123 и юзеру назначить ипишник с этго грохнутого svi-ая :smile:

Re: Доступ к ip в VRF

Добавлено: 2012-03-27 20:45:48
mmvds
Думаю прокатит, но а если юзера 2? Может все-таки можно как-то второй влан (124) разрулить? Или как-то настроить маршрутизацию чтобы по виртульному интерфейсу глобальной таблицы маршрутизации были доступны ip из vrf? Т.е. чтобы с R1 можно было пингануть xa.xb.xc.36 без vrf?

Re: Доступ к ip в VRF

Добавлено: 2012-03-27 22:33:39
lap
ну если у тебя оспф живое, то попробуй редистрибут конектед добавить в роутер оспф в ответе про запихать клиентский интерфейс в врф и еещ клиентская машина должно знать (если у нее несколько интерфейсов) куда кидать пакеты предназначенные р2

ну и глянь-те что у вас в таблице рутинга в врфе получается + посмотреть о чем вообще оспф знает

Re: Доступ к ip в VRF

Добавлено: 2012-03-28 8:12:25
mmvds
OSPF на R1 видит только xa.xb.xc.65/30
на router ospf 10 vrf vrf123
есть
redistribute static subnets
redistribute connected subnets

Re: Доступ к ip в VRF

Добавлено: 2012-03-28 10:19:44
lap
А xa.xb.xc.36 знает про то что у вас на клиентах прописано и в какое место им отвечать надо? и пингуется-ли адрес из сети xa.xb.xc.32/27 который прописан на р2?

Re: Доступ к ip в VRF

Добавлено: 2012-03-28 11:53:50
mmvds
xa.xb.xc.36 знает только про xa.xb.xc.34
xa.xb.xc.34 на R2 c R1 пингуется

Re: Доступ к ip в VRF

Добавлено: 2012-03-28 11:58:05
lap
а с клиента, когда он в врф запихнут?

Re: Доступ к ip в VRF

Добавлено: 2012-03-28 14:08:57
mmvds
lap писал(а):а с клиента, когда он в врф запихнут?
С клиента xa.xb.xc.34 тоже пингуется, а вот злосчастный xa.xb.xc.36 - нет :(

Re: Доступ к ip в VRF

Добавлено: 2012-03-28 14:30:22
mmvds
Удалось раздобыть конфиг с R2

Код: Выделить всё

vlan 10
 description vlan10

vlan 123
 description vlan123


interface Vlanif10
 ip address xa.xb.xc.34 255.255.255.224
 vrrp vrid 1 virtual-ip xa.xb.xc.33
 vrrp vrid 1 priority 120
 vrrp vrid 1 track interface Ethernet0/0/20 reduced 30
 dhcp select global

interface Vlanif123
 ip address xa.xb.xc.65 255.255.255.252
 ospf network-type p2p

interface Ethernet0/0/5
 description server_xa.xb.xc.36
 port hybrid pvid vlan 10
 undo port hybrid vlan 1
 port hybrid untagged vlan 10
 ntdp enable
 ndp enable
 bpdu enable

interface Ethernet0/0/20
 description uplink_to_Cisco
 port link-type trunk
 port trunk allow-pass vlan 123
 ntdp enable
 ndp enable
 bpdu enable

ospf 1
 silent-interface all
 undo silent-interface Vlanif123
 area 0.0.0.1
  network xa.xb.xc.0 0.0.0.255
Соответственно xa.xb.xc.36 воткнут в 5-ый порт, находится в 10-ом влане, шлюз xa.xb.xc.33, маска 255.255.255.224
И через 20-ый порт проброшен 123 влан от R1

Re: Доступ к ip в VRF

Добавлено: 2012-03-29 9:29:14
mmvds
Получил доступ до R2, Расширил на нем сеть для vlan123 до /27 vlan пробросил vlan123 на оператора, все работает

Re: Доступ к ip в VRF

Добавлено: 2012-06-28 13:22:52
mmvds
Возвращаясь к старой проблеме,
Проблема была с китайской железкой Huawei s3328 VRP (R) software, Version 5.70 (S3328 V100R005C01SPC100), у него периодически подвисает ospf, лечится на месяц-два ребутом железки :)
Поэтому оставил статику