teer Posted May 21, 2016 (edited) · Report post Есть Cisco 7606 с RSP720-3C-GE/MSFC4/PFC3C и софтом c7600rsp72043-advipservicesk9-mz.122-33.SRE8.bin . Есть вот такого вида конфиг (выдержка): vrf definition C description Customers vrf rd 65534:41 route-target export 65534:41 route-target import 65534:41 ! address-family ipv4 route-target export 65534:41 route-target import 65534:41 maximum routes 1000 warning-only exit-address-family ! address-family ipv6 route-target export 65534:41 route-target import 65534:41 maximum routes 1000 warning-only exit-address-family ! ! interface Loopback2 ip address 192.168.255.6 255.255.255.255 secondary ip address 192.168.255.5 255.255.255.255 no ip redirects no ipv6 redirects ! interface Tunnel5 description IPv6 no ip address ipv6 address FE80::1 link-local ipv6 enable tunnel source 192.168.255.5 tunnel destination 192.168.255.6 tunnel path-mtu-discovery ! interface Tunnel50 description IPv6 vrf forwarding C no ip address ipv6 address FE80::2 link-local ipv6 enable tunnel source 192.168.255.6 tunnel destination 192.168.255.5 tunnel path-mtu-discovery ! смысл в том, чтобы потом статическим маршрутом закинуть IPv6-сети в vrf, находящийся на этом же маршрутизаторе, для связи с ним организован GRE-туннель. C IPv4 такое получилось без проблем (другая пара туннелей), всё работает. Работает и IPv6 в глобальном контексте. А вот с IPv6 так не работает, нет между link-local адресами туннелей связи, пинги не ходят, соседи не дискаверятся, в логах пусто. Судя по счётчикам, трафик в vrf-контекст уходит и на него идут ответы, но что с ними происходит, непонятно. Прочитал все найденные цисковские доки, там везде вроде бы подразумевается, что GRE-туннель "из коробки" пропускает и IPv4 и IPv6 и никаких специальных телодвижений не требуется. Помогите снятся с ручника, что я делаю не так? Либо, если есть опыт, посоветуйте, как можно переделать, чтобы добиться желаемого. Edited May 27, 2016 by teer Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
teer Posted May 23, 2016 (edited) · Report post Пробовал уже "tunnel mode ipv6ip", "tunnel mode ipv6", от безысходности. Пишет, что пакеты будут коммутироваться программно, но всё равно не работает. Осталось только мысль MPLS поднимать между контекстами и пробовать "tunnel mode mpls", но как-то пока опасаюсь. Upd: "tunnel mode mpls" это скорее всего MPLS TE и не то. Но идея всё равно в поднятии MPLS через туннель между контекстами, где бегает IPv4. Edited May 23, 2016 by teer Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pfexec Posted May 23, 2016 · Report post ipv6 unicast-routing вообще включен ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
teer Posted May 23, 2016 (edited) · Report post Да, "Работает и IPv6 в глобальном контексте" означает что пингается мир по IPv6 из глобального контекста. Хочется пробросить IPv6 в vrf. Ну и ipv6 unicast-routing не нужен для пингов между connected link-local адресами, насколько помню. Edited May 23, 2016 by teer Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted May 23, 2016 · Report post Прям какая-то "петля в интернете" вырисовывается. Мож нужно про VRF-Like route leaking прочитать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted May 23, 2016 · Report post или route replicate. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted May 23, 2016 · Report post а CEF случаем не выключил ? В целом лупбек - софтовый интерфейс, и тунели через него тоже, ИМХО. Пойдет нормальный траффик и все умрет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
teer Posted May 23, 2016 · Report post а CEF случаем не выключил ? #sh ip cef summ IPv4 CEF is enabled for distributed and running VRF Default 87572 prefixes (87546/26 fwd/non-fwd) Table id 0x0 Database epoch: 2 (87572 entries at this epoch) #sh ipv6 cef summ IPv6 distributed CEF is enabled and running. VRF Default 29180 prefixes (29180/0 fwd/non-fwd) Table id 0x1E000000 Database epoch: 2 (29180 entries at this epoch) В целом лупбек - софтовый интерфейс, и тунели через него тоже, ИМХО. Пойдет нормальный траффик и все умрет. Видимо, где как. Бегает в такой конфигурации несколько пар туннелей с IPv4, гигабититы трафика, ничего не умирает, свичится аппаратно. Вопрос, что нужно для IPv6 или как можно это сделать. P.S.: про vrf route leaking и route replicate почитаю, но судя по тем верхам, что запомнились, это не то что нужно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted May 23, 2016 · Report post Тогда расскажите, что вы хотите. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
teer Posted May 23, 2016 · Report post Хочу закинуть IPv6-префиксов из глобального контекста в vrf. Т.е. чтобы трафик уходил на хосты, подключенные в этот vrf и возвращался обратно в глобальный контекст по маршруту по умолчанию. Т.е. vrf здесь просто как "виртуальный роутер". Делаю аналогично тому, как настроено и работает для IPv4, но увы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted May 23, 2016 · Report post Репликация поможет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
teer Posted May 27, 2016 (edited) · Report post Пока не читал про репликацию и утечки маршрутов, попробовал так: no interface Tunnel5 no interface Tunnel50 no interface Loopback2 ! interface GigabitEthernet1/45 description C-IPv6 no ip address no shutdown ipv6 address FE80::1 link-local ipv6 enable mls qos trust dscp storm-control broadcast level 5.00 ! interface GigabitEthernet2/44 description C-IPv6-vrf vrf forwarding C no ip address no shutdown ipv6 address FE80::2 link-local ipv6 enable mls qos trust dscp storm-control broadcast level 5.00 ! Толку опять же чуть. IPv6 ND не работает: #sh ipv6 nei gi1/45 IPv6 Address Age Link-layer Addr State Interface FE80::2 0 - INCMP Gi1/45 Edited May 27, 2016 by teer Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
teer Posted May 27, 2016 · Report post Думал и о том, что возможно не хватает TCAM-а под IPv6, и это даже вроде бы подтверждается: #show platform hardware capacity forwarding L2 Forwarding Resources MAC Table usage: Module Collisions Total Used %Used 5 0 98304 2228 2% VPN CAM usage: Total Used %Used 512 0 0% L3 Forwarding Resources Module FIB TCAM usage: Total Used %Used 5 72 bits (IPv4, MPLS, EoM) 196608 10356 5% 144 bits (IP mcast, IPv6) 32768 29703 91% detail: Protocol Used %Used IPv4 8307 4% MPLS 2049 1% EoM 0 0% IPv6 29471 90% IPv4 mcast 229 1% IPv6 mcast 3 1% Adjacency usage: Total Used %Used 1048576 2740 1% Forwarding engine load: Module pps peak-pps peak-time 5 2794023 6396218 15:44:35 KRSK Thu Mar 24 2016 (90% и 91% смутили). Но дока о перераспределении TCAM-а на 65xx/76xx (и для которого требуется перезагрузка) пишет, что при переполнении должна быть запись в лог. Да и судя по всему переполнения и не было: #sh mls cef exception status Current IPv4 FIB exception state = FALSE Current IPv6 FIB exception state = FALSE Current MPLS FIB exception state = FALSE Хотя в vrf-е всего несколько штук маршрутов, попробовал для опыта очистить TCAM для IPv6, потушив IPv6 BGP-пира. Утилизация TCAM под IPv6 упала до 1%, но безрезультатно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
teer Posted May 27, 2016 · Report post Ещё бродит мысль: а не нужно ли делать перезагрузку, чтобы применился введённый mls ipv6 vrf? В доке такого нет, но упоминается, что перезагрузка нужна для того, чтобы его выключить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...