VRF

Статическая и динамическая, протоколы

VRF

Сообщение player » 19 ноя 2009, 16:34

Господа, добрый день.
Задача: есть 7206, есть bgp и AS, есть какой то клиент, у него какие то серые сети, нужно поместить все эти сети в отдельный VRF чтобы сети клиента не пересекались с основной таблицей и для этих сетей сделать NAT чтобы был интернет

поместить сабинтерфейсы виланов, которые смотрят в сети клиентов в VRF не проблема

проблема в том, как в VRF редистрибутировать часть основной таблицы маршрутизации или если ещё обобщёний, как предоставить в VRF с помощью NAT этим сетям интернет, но чтобы эти сети не имели никакой маршрутной информации об сетях в основной таблице

читал и пробовал много примеров и документов, в голове каша, научите как решаются такого рода задачи

Буду очень благодарен за любую помощь.
player
новичок
 
Сообщения: 10
Зарегистрирован: 19 ноя 2009, 16:29

Re: VRF

Сообщение krowel » 19 ноя 2009, 19:38

А что непонятного?
Gишите роут-мапы и потом редистрибьютите в нужный VRF все что нужно, статики вот так: ip route vrf <name>
krowel
новичок
 
Сообщения: 59
Зарегистрирован: 17 июн 2009, 10:28

Re: VRF

Сообщение player » 20 ноя 2009, 10:17

статика не интересует, нужно с помощью динамической маршрутизации
вы можете дать рабочий пример, как редистрибутивать в vrf с помощью bgp ?
player
новичок
 
Сообщения: 10
Зарегистрирован: 19 ноя 2009, 16:29

Re: VRF

Сообщение root » 20 ноя 2009, 15:36

сам VRF не пользовал, не было таких задач

но на сколько я вижу redistribute делается так же как и обычно и юзая маршрутки ты сможешь точно выловить то что хочешь редистрибьютнуть

вот нарыл некий пример конфига:
Код: Выделить всё
ip vrf DC
rd 65500:202
route-target export 65500:202
route-target import 65500:255
!
ip vrf Inet
rd 65500:200
route-target export 65500:200
route-target import 65500:255
!
ip vrf Pub
rd 65500:255
route-target export 65500:255
route-target import 65500:200
route-target import 65500:202
!
router bgp 65500
no synchronization
bgp router-id 172.16.0.8
bgp log-neighbor-changes
bgp graceful-restart restart-time 120
bgp graceful-restart stalepath-time 360
bgp graceful-restart
maximum-paths 2
no auto-summary
!
address-family ipv4 vrf Pub
  redistribute connected
  no synchronization
exit-address-family
!
address-family ipv4 vrf Inet
  redistribute connected
  redistribute ospf 5 vrf Inet match internal external 1
  default-information originate
  no synchronization
exit-address-family
!
address-family ipv4 vrf DC
  redistribute connected
  redistribute static route-map mngm
  redistribute ospf 20 vrf DC match internal route-map ospf20-to-bgp
  neighbor 172.16.130.2 remote-as 65050
  neighbor 172.16.130.2 update-source Vlan4
  neighbor 172.16.130.2 activate
  neighbor 172.16.130.3 remote-as 65050
  neighbor 172.16.130.3 update-source Vlan4
  neighbor 172.16.130.3 activate
  maximum-paths 2
  no synchronization
exit-address-family
!


как мы видим юзается redistribute и address-family
идем читаем про address-family:
http://www.cisco.com/en/US/docs/ios/12_ ... #wp1025788
address-family

To enter the address family submode for configuring routing protocols, such as BGP, RIP and static routing, use the address-family command in address family configuration submode. To disable the address family submode for configuring routing protocols, use the no form of this command.

VPN-IPv4 unicast
address-family vpnv4 [unicast]
no address-family vpnv4 [unicast]

IPv4 unicast
address-family ipv4 [unicast]
no address-family ipv4 [unicast]

IPv4 unicast with CE router
address-family ipv4 [unicast] vrf vrf-name
no address-family ipv4 [unicast] vrf vrf-name

.............................
Usage Guidelines

Using the address-family command puts you in address family configuration submode (prompt: (config-router-af)# ). Within this submode, you can configure address-family specific parameters for routing protocols, such as BGP, that can accommodate multiple Layer 3 address families.

To leave address family configuration submode and return to router configuration mode, type exit-address-family, or simply exit.
Examples

The address-family command in the following example puts the router into address family configuration submode for the VPNv4 address family. Within the submode, you can configure advertisement of NLRI for the VPNv4 address family using neighbor activate and other related commands:
router bgp 100
address-family vpnv4

The command in the following example puts the router into address family configuration submode for the IPv4 address family. Use this form of the command, which specifies a VRF, only to configure routing exchanges between PE and CE devices. This address-family command causes subsequent commands entered in the submode to be executed in the context of VRF vrf2. Within the submode, you can use neighbor activate and other related commands to accomplish the following:

•Configure advertisement of IPv4 NLRI between the PE and CE routers.
•Configure translation of the IPv4 NLRI (that is, translate IPv4 into VPNv4 for NLRI received from the CE, and translate VPNv4 into IPv4 for NLRI to be sent from the PE to the CE).
•Enter the routing parameters that apply to this VRF.

Entered the address family submode as follows:
router bgp 100
address-family ipv4 unicast vrf vrf2


смотрим на роутере на предмет этой фичи:
Код: Выделить всё
ct-02(config)#router bgp 65535
ct-02(config-router)#address-family ?
  ipv4   Address family
  ipv6   Address family
  vpnv4  Address family

ct-02(config-router)#address-family ipv4 ?
  multicast  Address Family modifier
  unicast    Address Family modifier
  vrf        Specify parameters for a VPN Routing/Forwarding instance
  <cr>

ct-02(config-router)#address-family ipv4 u
ct-02(config-router)#address-family ipv4 unicast ?
  vrf  Specify parameters for a VPN Routing/Forwarding instance
  <cr>

ct-02(config-router)#address-family ipv4 vrf ?
  WORD  VPN Routing/Forwarding instance name


как мне кажется копать нужно в это сторону
если я не прав, то krowel меня поправит

ты сам уже копался с этим ? есть какие то тестовые конфиги ? приведи их тут тогда.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: VRF

Сообщение player » 20 ноя 2009, 17:39

Добрый день. Спасибо за стремление помочь.
Я решил сначала попробовать в эмуляторе.
Делал я , именно так как вы привели пример с bgp и address-family

Код: Выделить всё
ip vrf TEST
 rd 65535:100
 route-target export 65535:100
 route-target import 65535:100

interface Loopback0
 ip address 10.0.0.1 255.255.255.255
!
interface Loopback1
 ip vrf forwarding TEST
 ip address 10.0.1.1 255.255.255.255
!
interface FastEthernet1/0
 ip vrf forwarding TEST
 ip address 192.168.0.1 255.255.255.0
 duplex auto
 speed auto
!
router ospf 100 vrf TEST
 log-adjacency-changes
 redistribute bgp 65535 subnets
 network 0.0.0.0 255.255.255.255 area 100
!
router bgp 65535
 no synchronization
 bgp router-id 10.0.0.1
 bgp log-neighbor-changes
 network 10.0.0.0
 no auto-summary
 !
 address-family ipv4 vrf TEST
 redistribute connected
 redistribute static
 redistribute ospf 100 vrf TEST
 no synchronization
 exit-address-family
!
ip route 10.0.0.0 255.0.0.0 Null0


Код: Выделить всё
Router#sh ip bgp vpnv4 all
BGP table version is 5, local router ID is 10.0.0.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
Route Distinguisher: 65535:100 (default for vrf TEST)
*> 10.0.1.1/32      0.0.0.0                  0         32768 ?
*> 192.168.0.0      0.0.0.0                  0         32768 ?

Router#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
S       10.0.0.0/8 is directly connected, Null0
C       10.0.0.1/32 is directly connected, Loopback0

Router#sh ip route vrf TEST

Routing Table: TEST
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     10.0.0.0/32 is subnetted, 1 subnets
C       10.0.1.1 is directly connected, Loopback1
C    192.168.0.0/24 is directly connected, FastEthernet1/0


как видно например сеть 10.0.0.0/8 есть в основном табл маршрутизации, но не попадает в vrf, тоесть redistribute static как бы не срабатывает
привёл тут последний конфиг который получился, потому что эксперементировал уже столько что уже и не помню все варианты которые пробовал, также пробовал и на реальном роутере ,где есть bgp сессии
player
новичок
 
Сообщения: 10
Зарегистрирован: 19 ноя 2009, 16:29

Re: VRF

Сообщение root » 21 ноя 2009, 11:21

player писал(а):Спасибо за стремление помочь.

пожалуйста
иногда интересно узнавать что то новое

player писал(а):Я решил сначала попробовать в эмуляторе.

когда то тоже пользовался эмуляторами. сам иногда сталкивался с тем, что иногда, даже те схемы которые должны 100% работать, на эмуляторе не работают.

сейчас для меня не очень понятно, что ты хотел сказать вот этим:
player писал(а):network 0.0.0.0 255.255.255.255 area 100


так же в BGP:
player писал(а):network 10.0.0.0

не хватает все же "mask"
player писал(а):network 10.0.0.0 mask 255.X.X.X


ещё вижу что у тебя в конфиге:
player писал(а):address-family ipv4


а выводишь ты:
player писал(а):Router#sh ip bgp vpnv4 all


и вопрос такой:
в эмуляторе дана команда:
Код: Выделить всё
ip classless

?

постараюсь найти время и почитать по подробнее, т.к. у меня пока в голове больше вопросов по сабжу, чем ответов
и возможно попробовать у себя где нить, осталось тока придумать где :)
будут еще мысли - напишу
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: VRF

Сообщение player » 22 ноя 2009, 12:47

сейчас для меня не очень понятно, что ты хотел сказать вот этим:


так было в примере , на сколько я понял тут имеется ввиду обозначить в директиве network все сети

network 10.0.0.0


да , ip classless не включён и bgp наверно посчитало что маску можно не прописывать если адресация классовая, хотя я параметр mask указывал, хотя не в этом суть, ведь по идее должно работать и с классовой адресацией, я тестировал на реальном маршрутезаторе, там ip classless было включено

по поводу show ip bgp vpnv4 , на сколько я понимаю это именно то что нужно, в описании в командам ios:

To display Virtual Private Network (VPN) address information from the Border Gateway Protocol (BGP) table, use the show ip bgp vpnv4 command in user EXEC or privileged EXEC mode.
player
новичок
 
Сообщения: 10
Зарегистрирован: 19 ноя 2009, 16:29

Re: VRF

Сообщение root » 22 ноя 2009, 12:56

но "VPNv4 address family" и "IPv4 address family", насколько я вижу, это разные вещи
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: VRF

Сообщение player » 22 ноя 2009, 15:33

но "VPNv4 address family" и "IPv4 address family", насколько я вижу, это разные вещи


скажу честно, я не вникал подробно в эти вещи, я руководствовался примерами на cisco.com и других сайтах, VRF уже само собой подразумевает часть функционала MPLS, а опыт эксплуатации MPLS я к сожалению не имею

у меня просто есть задача, которую я описал в первом посте и я посчитал что решить её можно максимально красиво с помощью VRF , можно было бы колдовать с acl но это не решение IMHO для данного случая, хочется полноценной изоляции

скажите, у вас было время попробовать похожий пример где то у себя ? просто вот если смотреть таблицу марш. отдельного VRF то видно что никакие маршруты там не появляются которые по идее должны были туда редистрибутироваться с помощью bgp

задача сама по себе интересна, я уверен что практически любой сетевой инженер по идее должен был с этим сталкиваться, как изоливароть сети клиента и предоставить для этих сетей какие то сервисы ?
Спасибо.
player
новичок
 
Сообщения: 10
Зарегистрирован: 19 ноя 2009, 16:29

Re: VRF

Сообщение krowel » 22 ноя 2009, 22:13

К сожалению сейчас нет ни одной cisco под руками...

Но смотреть нужно вот так: sh ip bgp vpnv4 vrf <name> <prefix>

redistribute ospf 100 vrf TEST match internal external 1 external 2 - таким образом вы отдадите сети ospf
connected - у вас отредистрибутился

со статиками, надо смотреть, разбираться...
krowel
новичок
 
Сообщения: 59
Зарегистрирован: 17 июн 2009, 10:28

След.

Вернуться в Маршрутизация / Routing

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 18

cron