Jump to content
Калькуляторы

Глупый вопрос по VRF

Добрый вечер!

 

Хочу побить сеть на VRF чтобы отдельно маршрутизировать менеджмент и клиентов.

Сейчас в сети крутиться OSPF, циски редистрибьютят в ядро connected-сети и все хорошо. Но все в одной таблице маршрутизации, что не очень удобно в плане управления доступом и т.д. Клиенты подключены через ip unnumbered + dhcp. Есть немного статики.

 

Могу ли я внутри каждого VRF-а запустить свой процесс OSPF и вообще чем это чревато? И будет ли внутри vrf нормально работать ip unnumbered + dhcp и редистрибьюция dhcp-маршрутов через OSPF?

Share this post


Link to post
Share on other sites

Оставьте dhcp/ip unnumbered в глобале, а менеджмент пихайте в vrf - избавит вас от массы подводных камней.

ospf прекрасно живет в vrf отдельным процессом.

Share this post


Link to post
Share on other sites

У нас проблема решена просто. Управляющие VLAN не имеют L3 интерфейсов на маршрутизаторах и сваливаются на специальный сервер, который даже может не иметь связи с сетью передачи данных.

Share this post


Link to post
Share on other sites

Небось, STP используют.

MPLS-TE , прости Господи...

Share this post


Link to post
Share on other sites

и чем резервируете влан от разрыва ? )

L1 уровень может вполне быть с резервом.

 

Тем более что VLAN абонентов и VLAN управляющие летают по той же физике, просто маршрутизатор доступа к Интернет не имеет L3 интерфейсов в управляющих VLAN, они его или обходят или проходят насквозь. И от клиентов пакеты (L3 уровень) никак в управление коммутатора не смогут залететь. Да и вообще на клиентском маршрутизаторе сети управления зароучены в /dev/null

Share this post


Link to post
Share on other sites

OSPF отлично запускается в пределах vrf. Если понадобится проливать маршруты между vrf, придётся подключить bgp (у меня так и не вышло сделать это через ospf).

Share this post


Link to post
Share on other sites

Если понадобится проливать маршруты между vrf, придётся подключить bgp (у меня так и не вышло сделать это через ospf).

На Cisco динамические маршруты переливаются только посредством BGP.

Теоретически есть еще вариант построить туннель из одного vrf в другой в пределах одного маршрутизатора и настраивать любые протоколы маршрутизации на туннеле, но производительность этого решения под вопросом.

Edited by v_r

Share this post


Link to post
Share on other sites

каждому vrf - своя OSPF area,

сводится всё на фаервол - ABR,

каждая area/vrf - отдельная security zone,

для трафика между security zone - описаны правила.

ИМХО, между врф если объеденять в единый роут домен - обязательно стейтфул фаервол. (в данном случае)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this