Страница 1 из 1
Доступ к ip в VRF
Добавлено: 2012-03-27 16:43:01
mmvds
Всем привет! помогите разобраться с задачкой по VRF
Есть маршрутизатор R1 (cisco 76XX), на нем vrf123
Код: Выделить всё
!
ip vrf vrf123
rd 12345:10
!
vlan 123
name vlan123
!
interface Loopback1
description loopback for vrf123
ip vrf forwarding vrf123
ip address xa.xb.xc.13 255.255.255.255
!
interface Vlan123
ip vrf forwarding vrf123
ip address xa.xb.xc.66 255.255.255.252
no ip redirects
ip ospf network point-to-point
!
router ospf 10 vrf vrf123
router-id xa.xb.xc.13
redistribute static subnets
redistribute connected subnets
passive-interface default
no passive-interface Vlan123
network xa.xb.xc.0 0.0.0.255 area 1
!
Влан 123 проброшен на порт
interface Gi1/1
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 123
switchport mode trunk
!
К порту подключен китайский цископодобный маршрутизатор R2
c ip address xa.xb.xc.65 255.255.255.252
Через который видно сеть xa.xb.xc.32 255.255.255.224
Чтобы увидеть эту сеть на R1 добавил маршрут
ip route vrf vrf123 xa.xb.xc.32 255.255.255.224 xa.xb.xc.65
Также к R1 подключен свитч SW1 (ciscio c3960), на котором сидит пользователь, которому нужно получить доступ
к ip xa.xb.xc.36
т.е. можно пропинговать xa.xb.xc.36 c R1 через ping vrf vrf123 xa.xb.xc.36, пинг проходит
При этом изменить конфиг на R1, SW1 можно,
на R2 - нельзя.
Собственно вопрос, что нужно донастроить на R1 и SW1?
Re: Доступ к ip в VRF
Добавлено: 2012-03-27 16:47:30
lap
а запихать этого юзера в этот-же врф?
Re: Доступ к ip в VRF
Добавлено: 2012-03-27 18:38:39
mmvds
Vlan123 с сетью /30, 1 ip прописан на R1, Другой на R2, а т.к. на R2 доступа для смены конфига нет, то во vlan123 больше никого не запихнуть
Re: Доступ к ip в VRF
Добавлено: 2012-03-27 18:51:33
mmvds
так, а если добавить vlan124, его тоже в vrf123?
т.е. делаю например
Код: Выделить всё
conf t
vlan 124
name vlan124
interface Vlan124
ip vrf forwarding vrf123
ip address xa.xb.xc.129 255.255.255.224
router ospf 10 vrf vrf123
no passive-interface Vlan124
И прокидываю 124 vlan на порт до пользователя?
У пользователя прописываю например
ip: xa.xb.xc.130
mask: 255.255.255.224
gateway: xa.xb.xc.129
Пробовал, не помогло, шлюз доступен от пользователя, xa.xb.xc.66 (R1 во vlan123) доступен, xa.xb.xc.65 (адрес R2 во vlan123) тоже доступен, а вот xa.xb.xc.36 не доступен
Re: Доступ к ip в VRF
Добавлено: 2012-03-27 20:31:47
lap
убить совсем svi и порт с подключенным клиентом сделать аксесным в влане 123 и юзеру назначить ипишник с этго грохнутого svi-ая
Re: Доступ к ip в VRF
Добавлено: 2012-03-27 20:45:48
mmvds
Думаю прокатит, но а если юзера 2? Может все-таки можно как-то второй влан (124) разрулить? Или как-то настроить маршрутизацию чтобы по виртульному интерфейсу глобальной таблицы маршрутизации были доступны ip из vrf? Т.е. чтобы с R1 можно было пингануть xa.xb.xc.36 без vrf?
Re: Доступ к ip в VRF
Добавлено: 2012-03-27 22:33:39
lap
ну если у тебя оспф живое, то попробуй редистрибут конектед добавить в роутер оспф в ответе про запихать клиентский интерфейс в врф и еещ клиентская машина должно знать (если у нее несколько интерфейсов) куда кидать пакеты предназначенные р2
ну и глянь-те что у вас в таблице рутинга в врфе получается + посмотреть о чем вообще оспф знает
Re: Доступ к ip в VRF
Добавлено: 2012-03-28 8:12:25
mmvds
OSPF на R1 видит только xa.xb.xc.65/30
на router ospf 10 vrf vrf123
есть
redistribute static subnets
redistribute connected subnets
Re: Доступ к ip в VRF
Добавлено: 2012-03-28 10:19:44
lap
А xa.xb.xc.36 знает про то что у вас на клиентах прописано и в какое место им отвечать надо? и пингуется-ли адрес из сети xa.xb.xc.32/27 который прописан на р2?
Re: Доступ к ip в VRF
Добавлено: 2012-03-28 11:53:50
mmvds
xa.xb.xc.36 знает только про xa.xb.xc.34
xa.xb.xc.34 на R2 c R1 пингуется
Re: Доступ к ip в VRF
Добавлено: 2012-03-28 11:58:05
lap
а с клиента, когда он в врф запихнут?
Re: Доступ к ip в VRF
Добавлено: 2012-03-28 14:08:57
mmvds
lap писал(а):а с клиента, когда он в врф запихнут?
С клиента xa.xb.xc.34 тоже пингуется, а вот злосчастный xa.xb.xc.36 - нет
Re: Доступ к ip в VRF
Добавлено: 2012-03-28 14:30:22
mmvds
Удалось раздобыть конфиг с R2
Код: Выделить всё
vlan 10
description vlan10
vlan 123
description vlan123
interface Vlanif10
ip address xa.xb.xc.34 255.255.255.224
vrrp vrid 1 virtual-ip xa.xb.xc.33
vrrp vrid 1 priority 120
vrrp vrid 1 track interface Ethernet0/0/20 reduced 30
dhcp select global
interface Vlanif123
ip address xa.xb.xc.65 255.255.255.252
ospf network-type p2p
interface Ethernet0/0/5
description server_xa.xb.xc.36
port hybrid pvid vlan 10
undo port hybrid vlan 1
port hybrid untagged vlan 10
ntdp enable
ndp enable
bpdu enable
interface Ethernet0/0/20
description uplink_to_Cisco
port link-type trunk
port trunk allow-pass vlan 123
ntdp enable
ndp enable
bpdu enable
ospf 1
silent-interface all
undo silent-interface Vlanif123
area 0.0.0.1
network xa.xb.xc.0 0.0.0.255
Соответственно xa.xb.xc.36 воткнут в 5-ый порт, находится в 10-ом влане, шлюз xa.xb.xc.33, маска 255.255.255.224
И через 20-ый порт проброшен 123 влан от R1
Re: Доступ к ip в VRF
Добавлено: 2012-03-29 9:29:14
mmvds
Получил доступ до R2, Расширил на нем сеть для vlan123 до /27 vlan пробросил vlan123 на оператора, все работает
Re: Доступ к ip в VRF
Добавлено: 2012-06-28 13:22:52
mmvds
Возвращаясь к старой проблеме,
Проблема была с китайской железкой Huawei s3328 VRP (R) software, Version 5.70 (S3328 V100R005C01SPC100), у него периодически подвисает ospf, лечится на месяц-два ребутом железки
Поэтому оставил статику