glady 10 Geschrieben 16. Juni 2010 Melden Teilen Geschrieben 16. Juni 2010 Hallo, hat jemand eine Idee, wie sich zwei Netze in unterschiedlichen VRF's sehen könnten? Konfiguration: ip vrf vlan11-vrf rd 11:11 interface GigabitEthernet0/1.11 encapsulation dot1Q 11 ip vrf forwarding vlan11-vrf ip address 10.5.5.2 255.255.255.0 no ip proxy-arp ip virtual-reassembly standby 72 ip 10.5.5.1 standby 72 timers 1 3 standby 72 preempt delay minimum 9 standby 72 track GigabitEthernet0/2 ip vrf vlan12-vrf rd 12:12 interface GigabitEthernet0/1.12 encapsulation dot1Q 12 ip vrf forwarding vlan12-vrf ip address 10.5.5.2 255.255.255.0 no ip proxy-arp ip virtual-reassembly standby 72 ip 10.5.5.1 standby 72 timers 1 3 standby 72 preempt delay minimum 9 standby 72 track GigabitEthernet0/2 Wenn man in der VRF das jeweils andere Netz ins globale Netz routen könnte, wäre das Problem gelöst. Geht das? Danke und Gruß glady Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 16. Juni 2010 Melden Teilen Geschrieben 16. Juni 2010 Inter-VRF Routing with VRF Lite - Packet Life Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 16. Juni 2010 Melden Teilen Geschrieben 16. Juni 2010 gibts da net irgendwas mit route-target import/export ? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 16. Juni 2010 Melden Teilen Geschrieben 16. Juni 2010 Ja, das steht ja auch da drinnen. Zusaetzlich halt noch so Sachen, dass du Routing in ein Netz wo der "Quellswitch" selbst schon drin steht ueber ein externes Device machst, aehnlich wie bei Private VLANs Zitieren Link zu diesem Kommentar
glady 10 Geschrieben 16. Juni 2010 Autor Melden Teilen Geschrieben 16. Juni 2010 Genialer Link! Danke Mein Problem ist, beide VRF's haben auch gleiche Ziele: ip route vrf vlan11-vrf 10.80.0.0 255.255.0.0 10.55.13.93 global ip route vrf vlan12-vrf 10.80.0.0 255.255.0.0 10.55.13.93 global Wenn ich das mit import/export löse, werden ja alle statischen Routen bekannt gemacht. habe ich dann 2 Routen für das Netz 10.80.0.0 (zur 10.55.13.93 und zum Nachbar-VRF? Kann das leider nicht so einfach ausprobieren, ist eine Produktivumgebung. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 16. Juni 2010 Melden Teilen Geschrieben 16. Juni 2010 Schreib mal die Config wie dus dir vorstellst .. ich hab hier noch n 3560 der das kann ... Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 16. Juni 2010 Melden Teilen Geschrieben 16. Juni 2010 Hi, Routing zwischen VRF's ist nicht das Problem - die Frage ist was du genau machen willst? Haben die beiden Routinginstanzen die gleichen IP Ranges im Tranferbereich oder generell (wirklich?). Warum willst du in die globale RT routen? cheers Zitieren Link zu diesem Kommentar
glady 10 Geschrieben 18. Juni 2010 Autor Melden Teilen Geschrieben 18. Juni 2010 Die Transfernetze in den VRF-Instanzen haben die gleichen IP's. Hat den Riesenvorteil, dass man für Scripts & Templates einheitliche Konfigurationen erstellen kann. Und den Nachteil, dass man die Router in den Transfernetzen nicht pingen kann und natten muss... Habe eine Skizze erstellt. 1.) 192.168.1.0 /24 greift auf 10.88.1.0 /24 zu 2.) 192.168.2.0 /24 greift auf 10.88.2.0 /24 zu 3.) Nun soll 192.168.1.0 /24 auf 192.168.2.0 /24 zugreifen. Und auf weitere Netze, die über andere VRF-Instanzen zu erreichen sind. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 18. Juni 2010 Melden Teilen Geschrieben 18. Juni 2010 Also bei durchdachten Scripts mit Templates hast du eigentlich am Anfang ein paar Variablen wo du nur Netze anpasst und fertig. Ich finde das Design hat keinen "Riesenvorteil". Zitieren Link zu diesem Kommentar
glady 10 Geschrieben 18. Juni 2010 Autor Melden Teilen Geschrieben 18. Juni 2010 Ich find's vorteilhaft, dass ich nicht je Transfernetz neue IP-Adressen aus einem Subnetz vergeben muss. Jeder "WAN" Router erhält immer die gleiche IP. In unseren Scripts zur Konfig.-Generierung müssen wir somit nicht einmal die IP-Adressen eintragen. Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 18. Juni 2010 Melden Teilen Geschrieben 18. Juni 2010 das sollte mit einem mix aus NAT,static route-leaking und BGP funzen (dann kann man das auch auf weiter Kunden erweitern) - das inter vrf routing ist mit gleichen p2p interface adressen ein wenig strange - das sollte man nochmal überdenken. Hier die Config des Core Routers (warum sind da keine Routernamen in der Grafik - ok next time). Also der Router in der Mitte. ---snip ip vrf vrf11 rd 1:1 export map TAG route-target export 1:1 route-target import 1:1 route-target import 99:99 !e-comm für inter-vrf ! ip vrf vrf12 rd 2:2 export map TAG route-target export 2:2 route-target import 2:2 route-target import 99:99 !e-comm für inter-vrf ! router bgp 64000 no bgp default ipv4-unicast bgp log-neighbor-changes ! address-family ipv4 vrf vrf11 no synchronization redistribute ospf 1000 vrf A metric 100 route-map INTER_VRF !IGP oder was immer in der VRF exit-address-family ! address-family ipv4 vrf vrf12 no synchronization redistribute ospf 2000 vrf B metric 100 route-map INTER_VRF !IGP oder was immer in der VRF exit-address-family ! ip nat pool VRF_A 9.9.1.0 9.9.1.254 netmask 255.255.255.0 !was auch immer Richtung Global ip nat pool VRF_B 9.9.2.0 9.9.2.254 netmask 255.255.255.0 !was auch immer Richtung Global ip nat inside source route-map NAT pool VRF_A vrf vrf11 ip nat inside source route-map NAT pool VRF_B vrf vrf12 ! ip route vrf A 10.88.0.0 255.255.0.0 <OIF_to_FW> <FW> global ip route vrf B 10.88.0.0 255.255.0.0 <OIF_to_FE> <FW> global ! ip access-list standard LEAK permit 192.168.1.0 0.0.0.255 permit 192.168.2.0 0.0.0.255 ! ip access-list extended NAT-PERMIT permit ip 192.168.0.0 0.0.255.255 10.88.0.0 0.0.255.255 ! route-map TAG permit 10 match ip address LEAK set extcommunity rt 99:99 additive !ADD RT for INTRAVRF ! route-map INTER_VRF permit 10 match ip address LEAK ! ! route-map NAT permit 10 match ip address NAT-PERMIT ==> Routen auf der FW und CO Richtung Nat Bereich nicht vergessen C1_A#ping 192.168.2.1 source loopback 0 repeat 1000 Type escape sequence to abort. Sending 1000, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1 !!!!!!!!!! Success rate is 100 percent (10/10), round-trip min/avg/max = 244/369/492 ms ! C1_A#ping 10.88.2.1 source loopback 0 repeat 1000 Type escape sequence to abort. Sending 1000, 100-byte ICMP Echos to 10.88.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1 !!!!!. Success rate is 83 percent (5/6), round-trip min/avg/max = 268/318/408 ms ! C2_A#ping 10.88.2.1 source lo0 repeat 1000 Type escape sequence to abort. Sending 1000, 100-byte ICMP Echos to 10.88.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1 !!!!. Success rate is 80 percent (4/5), round-trip min/avg/max = 272/341/416 ms ! CORE#sh ip route vrf A | beg last Gateway of last resort is not set 1.0.0.0/32 is subnetted, 1 subnets O 1.1.1.1 [110/2] via 10.5.5.1, 01:12:30, FastEthernet1/1 10.0.0.0/8 is variably subnetted, 4 subnets, 3 masks O 10.1.1.0/30 [110/2] via 10.5.5.1, 01:12:30, FastEthernet1/1 C 10.5.5.0/30 is directly connected, FastEthernet1/1 L 10.5.5.2/32 is directly connected, FastEthernet1/1 S 10.88.0.0/16 [1/0] via 192.168.254.1, FastEthernet2/0 192.168.1.0/32 is subnetted, 1 subnets O 192.168.1.1 [110/3] via 10.5.5.1, 01:12:30, FastEthernet1/1 192.168.2.0/32 is subnetted, 1 subnets B 192.168.2.1 [20/100] via 10.5.5.1 (vrf12), 01:12:14, FastEthernet1/0 CORE# ==>5.5.5.1 (interessant) ==> hoffe ich habe nichts vergessen.. na ja mal sehen hope this helps ciao Zitieren Link zu diesem Kommentar
glady 10 Geschrieben 21. Juni 2010 Autor Melden Teilen Geschrieben 21. Juni 2010 WOW Danke für Deine ausführliche Lösungs-Beschreibung! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.