Jump to content
Калькуляторы

Проблема с переходом на ip unnumbered Не получается маршрутизация между двумя vrf, если их svi-интерфейсы ..

Проблема с переходом на ip unnumbered. Есть схема:

post-85986-035802800 1476363837_thumb.jpg

 

Исходная задача: Необходимо, чтобы каждый влан уходил в инет через свой брас.

Для решения есть два способа, pbr - прописывать политики для указания next-hop нужного браса для каждого пакета, который предназначен для интернета.

Либо использовать vrf, а в этом vrf - умолчательный маршрут на нужный брас. У меня есть стойкое убеждени, что вторая схема будет правильнее и оверхеда процессора будет меньше. Могу ошибаться.

 

Брасы на схеме остановлены - это нормально, непринципиально. Рабочий конфиг циски:

!
ip vrf Nas2
rd 65000:2
route-target export 65000:2
route-target import 65000:3
!
ip vrf Nas3
rd 65000:3
route-target export 65000:3
route-target import 65000:2
!
ip cef
!
vlan internal allocation policy ascending
!
interface Ethernet0/0
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,20
switchport mode trunk
duplex auto
!
interface Ethernet0/2
description abons-nas2
switchport access vlan 2
switchport mode access
duplex auto
!
interface Ethernet0/3
description abons-nas3
switchport access vlan 36
switchport mode access
duplex auto
!
interface Ethernet1/0
description nas2-uplink
no switchport
ip vrf forwarding Nas2
ip address 172.16.19.2 255.255.255.252
!
interface Ethernet1/1
description nas2-mx-uplink
switchport access vlan 20
switchport mode access
duplex auto
!
interface Ethernet1/2
description nas3-mx-uplink
switchport access vlan 10
switchport mode access
duplex auto
!
interface Ethernet1/3
description cisco-to-nas3-link
no switchport
ip vrf forwarding Nas3
ip address 172.16.11.2 255.255.255.252
!
interface Vlan1
no ip address
shutdown
!
interface Vlan2
description vlan2-l3-interface
ip vrf forwarding Nas2
ip address 10.10.1.1 255.255.0.0
!
interface Vlan36
description vlan36-l3-interface
ip vrf forwarding Nas3
ip address 10.225.155.1 255.255.255.0
!
router bgp 100
bgp router-id 1.1.1.1
bgp log-neighbor-changes
!
address-family ipv4 vrf Nas2
 redistribute connected
exit-address-family
!
address-family ipv4 vrf Nas3
 redistribute connected
exit-address-family
!
!
!
ip route vrf Nas2 0.0.0.0 0.0.0.0 172.16.19.1
ip route vrf Nas3 0.0.0.0 0.0.0.0 172.16.11.1
!

 

Все хорошо, хосты друг друга пингуют, из разных вилановв том числе, все хорошо. Каждый исходящий пакет уходит на нужный брас.

Но хочется бОльшего, хочется заюзать ip unnumbered. Потом проще будет переходить на vlan-per-user и т.п.

Сказано-сделано. Меняю svi-влан интерфейссы, как unnambered. Ип вешаю на разные лупбеки, лупбеки в нужные vrf, на интерфейсах - ip unnumbered loopback X poll.

Получившийся конфиг:

!
ip vrf Nas2
rd 65000:2
route-target export 65000:2
route-target import 65000:3
!
ip vrf Nas3
rd 65000:3
route-target export 65000:3
route-target import 65000:2
!
ip cef
!
interface Loopback2
ip vrf forwarding Nas2
ip address 10.10.1.1 255.255.0.0
no ip redirects
!
interface Loopback3
ip vrf forwarding Nas3
ip address 10.225.155.1 255.255.255.0
no ip redirects
no ip unreachables
!
interface Ethernet0/0
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,20
switchport mode trunk
duplex auto
!
interface Ethernet0/1
shutdown
duplex auto
!
interface Ethernet0/2
description abons-nas2
switchport access vlan 2
switchport mode access
duplex auto
!
interface Ethernet0/3
description abons-nas3
switchport access vlan 36
switchport mode access
duplex auto
!
interface Ethernet1/0
description nas2-uplink
no switchport
ip vrf forwarding Nas2
ip address 172.16.19.2 255.255.255.252
!
interface Ethernet1/1
description nas2-mx-uplink
switchport access vlan 20
switchport mode access
duplex auto
!
interface Ethernet1/2
description nas3-mx-uplink
switchport access vlan 10
switchport mode access
duplex auto
!
interface Ethernet1/3
description cisco-to-nas3-link
no switchport
ip vrf forwarding Nas3
ip address 172.16.11.2 255.255.255.252
!
interface Vlan2
description vlan2-l3-interface
ip vrf forwarding Nas2
ip unnumbered Loopback2 poll
no ip unreachables
!
interface Vlan36
description vlan36-l3-interface
ip vrf forwarding Nas3
ip unnumbered Loopback3 poll
ip helper-address vrf Nas2 10.10.1.11
no ip redirects
no ip unreachables
!
router bgp 100
bgp router-id 1.1.1.1
bgp log-neighbor-changes
!
address-family ipv4 vrf Nas2
 redistribute connected
exit-address-family
!
address-family ipv4 vrf Nas3
 redistribute connected
exit-address-family
!
no ip http server
ip route vrf Nas2 0.0.0.0 0.0.0.0 172.16.19.1
ip route vrf Nas3 0.0.0.0 0.0.0.0 172.16.11.1
!

Маршруты есть в обоих vrf:

Router#show ip route vrf Nas2

S*    0.0.0.0/0 [1/0] via 172.16.19.1
     10.0.0.0/8 is variably subnetted, 4 subnets, 3 masks
C        10.10.0.0/16 is directly connected, Loopback2
L        10.10.1.1/32 is directly connected, Loopback2
B        10.225.155.0/24 is directly connected (Nas3), 00:04:57, Loopback3
L        10.225.155.1/32 is directly connected, Loopback3
     172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks
B        172.16.11.0/30 is directly connected (Nas3), 00:04:57, Ethernet1/3
L        172.16.11.2/32 is directly connected, Ethernet1/3
C        172.16.19.0/30 is directly connected, Ethernet1/0
L        172.16.19.2/32 is directly connected, Ethernet1/0
Router#show ip route vrf Nas3

S*    0.0.0.0/0 [1/0] via 172.16.11.1
     10.0.0.0/8 is variably subnetted, 4 subnets, 3 masks
B        10.10.0.0/16 is directly connected (Nas2), 00:05:00, Loopback2
L        10.10.1.1/32 is directly connected, Loopback2
C        10.225.155.0/24 is directly connected, Loopback3
L        10.225.155.1/32 is directly connected, Loopback3
     172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks
C        172.16.11.0/30 is directly connected, Ethernet1/3
L        172.16.11.2/32 is directly connected, Ethernet1/3
B        172.16.19.0/30 is directly connected (Nas2), 00:05:00, Ethernet1/0
L        172.16.19.2/32 is directly connected, Ethernet1/0

 

И тут непонятка возникает. В пределах своего влан хосты видят друг друга и шлюз, и могут ходить наружу. А вот видеть хосты из других вланов - перестали.

Но мне надо, чтоб они могли видеть хосты других вланов.

Прошу помочь разобраться. Я уже исчерпал все варианты.

Спасибо.

Edited by DemonS

Share this post


Link to post
Share on other sites

Проксиарп я не выключал, по умолчанию он включен.

К тому же он влияет на доступность хостов в пределах вилана. У меня такая доступность есть. Я в соседний вилан в другом vrf попасть не могу.

Share this post


Link to post
Share on other sites

Вам нужно импортировать маршруты из одной таблицы в другую. На джунипере выглядит это так:

Либо как выше говорят нужно влючить прокси арп то тогда у вас будет железка отвечать всем арп запросам в этом широковещательном домене.

 

routing-options {
   rib-groups {
       nat1 {
           import-rib [ inet.0 nat.inet.0 ];

routing-instances {
   nat {
       instance-type forwarding;
       routing-options {
           static {
               route 0.0.0.0/0 next-hop ms-0/2/0.0;
           }
       }
   }
}

 

Или вот так

 

routing-instances {
   nat {
       instance-type virtual-router;
       interface lo0.100;
       routing-options {
           static {                    
               route 0.0.0.0/0 next-hop ms-0/2/0.10;
           }
           instance-import GLOBAL_ACC_INT;
       }
   }

policy-options {
   policy-statement GLOBAL_ACC_INT {
       term 10 {
           from {
               instance master;
               protocol [ access-internal access ];
           }
           then accept;
       }
       term 20 {
           then reject;
       }
   }                                   
}
}

 

Возможно направит вас в нужное направление.

Share this post


Link to post
Share on other sites

Я думал об этом. Выше в посте есть вывод таблиц маршрутизации в обоих vrf. Для "перетекания" маршрутов между vrf использую протокол bgp.

Не уверен, что в этих маршрутах дело. Без unnumbered на интерфейсах все же работает. И маршруты есть и все хорошо...

 

Может есть какие-то команды для диагностики. debug чего-то там...

Edited by DemonS

Share this post


Link to post
Share on other sites

Вам поможет только и только статическая маршрутизация через туннели!

Вот часть рабочего конфига.

В моем случае маршрутизация идет через global.

Но можно и каждый vrf с другими vrf соединить туннелями, но нужно больше туннелей :)

 

 

# sh run vrf usr21

Building configuration...

 

Current configuration : 1454 bytes

vrf definition usr21

rd XXXXX:21

!

address-family ipv4

exit-address-family

!

!

interface Loopback211

vrf forwarding usr21

ip address 10.10.15.253 255.255.248.0 secondary

ip address 10.10.15.251 255.255.248.0

!

interface Tunnel2110 (туннель в global)

vrf forwarding usr21

ip address 192.168.99.2 255.255.255.252

tunnel source 10.1.10.21

tunnel destination 10.1.21.10

!

interface Tunnel2111 (туннель в VRF usr11)

vrf forwarding usr21

ip address 192.168.99.13 255.255.255.252

tunnel source 10.1.11.21

tunnel destination 10.1.21.11

!

interface Vlan821

vrf forwarding usr21

ip address A.B.228.105 255.255.255.248

!

router ospf 21 vrf usr21

router-id A.B.228.105

summary-address 10.10.8.0 255.255.248.0

redistribute connected metric 111 subnets route-map ospf-noredist

network A.B.228.104 0.0.0.7 area 21

!

!

ip route vrf usr21 10.10.0.0 255.255.248.0 Tunnel2110

 

 

 

# sh run int tunnel1021

Building configuration...

 

Current configuration : 126 bytes

!

interface Tunnel1021

ip address 192.168.99.1 255.255.255.252

tunnel source 10.1.21.10

tunnel destination 10.1.10.21

end

 

ip route 10.10.8.0 255.255.248.0 Tunnel1021

ip route 10.10.0.0 255.255.248.0 Tunnel1011 (это маршрут в vrf usr11)

 

 

Vlan821 для связи с брасами (OSPF).

 

Потому что через bgp между vrf и у меня работало на простых VLAN, как только хочешь ip unnumbered - перестает работать!

Так что только туннели (в нужном количестве).

Edited by Nik0n

Share this post


Link to post
Share on other sites

Т.е. тоннели между vrf1 и global, global и vrf2, vrf1 и vrf2. Правильно?

 

Я хоть праввильный, труъ путь выбрал для решения?

Может, через pbr правильнее было бы?

Share this post


Link to post
Share on other sites

Т.е. тоннели между vrf1 и global, global и vrf2, vrf1 и vrf2. Правильно?

Либо туннели между vrf1-global и vrf2-global и т.д.

Либо каждая vrf туннель со всеми другими.

 

Я хоть праввильный, труъ путь выбрал для решения?

Может, через pbr правильнее было бы?

Правильный!

Я пробовал на C4900M c PBR (был только global) - спустя минут 5 - CPU 99.9%, консоль тормозит, у клиентов лаги.

Кое-как вернул назад (без PBR) ;-)

Share this post


Link to post
Share on other sites

Правильный!

Я пробовал на C4900M c PBR (был только global) - спустя минут 5 - CPU 99.9%, консоль тормозит, у клиентов лаги.

Кое-как вернул назад (без PBR) ;-)

Спасибо! Буду пробовать, потом отпишусь. Я несколько удивлен, что нужно городить еще тунелей вагончик))

 

Я так-то задался сначала вопросом бы нужна ли вообще локалка? Мож просто игра не стоит свеч?)))

Локалка нужна, ибо провайдерские сервисы "ДНС", "ИПТВ" и т.п. должны быть доступны абонентам.

Share this post


Link to post
Share on other sites

"ДНС"

Отдельная подсеть, для клиентов выглядит просто как хост в интернете.

"ИПТВ"

MVR если мультик, или см. выше

Share this post


Link to post
Share on other sites

Я так-то задался сначала вопросом бы нужна ли вообще локалка? Мож просто игра не стоит свеч?)))

Ой как нужна, у нас есть юрики, которым в разных точках подключения вынь да положь связанность этих точек.

Другое дело что можно через BRAS это дело организовать.

Share this post


Link to post
Share on other sites

Железка VASI не умеет?

 

ЗЫ: Еще, подскажите, плиз чем такие схемы нарисованы?

Схема является скриншотом окошка браузера, подключенного к виртуальной машине с unetlab. Очень клевая штука.

Share this post


Link to post
Share on other sites

Я так-то задался сначала вопросом бы нужна ли вообще локалка? Мож просто игра не стоит свеч?)))

Ой как нужна, у нас есть юрики, которым в разных точках подключения вынь да положь связанность этих точек.

Другое дело что можно через BRAS это дело организовать.

 

а разные точки одного юрика в один vrf засунуть не судьба?))

зачем всем общаться со всеми?

 

 

Share this post


Link to post
Share on other sites

а разные точки одного юрика в один vrf засунуть не судьба?))

зачем всем общаться со всеми?

Ну можно и так.

Только сети прибиты к vrf, это значит что менять IP у клиента, а юрики "бесятся" когда им белый IP меняют ;-)

Да еще сразу и не поймешь что это один юрик. Другие точки они могут со временем открывать и на другие ООО, ИП и т.п.

Ну короче эту проблему/задачу нам проще решить техническим способом описанным выше.

Share this post


Link to post
Share on other sites

тунели на этой платформе в софте же.

сделайте физическую петлю и запустите там протокол динамической маршрутизации.

Сделал петлю. прописал статикой маршруты - все доступно, все хорошо.

Попробовал оспф поднять (redistribute connected subnets), а передается маршрут только лупбека. Что-то не так.

 

Router#sho ip route vrf Nas2

S*    0.0.0.0/0 [1/0] via 172.16.19.1
     10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
C        10.10.0.0/16 is directly connected, Loopback2
L        10.10.1.1/32 is directly connected, Loopback2
O        10.225.155.1/32 [110/11] via 172.16.1.2, 00:15:35, Ethernet2/2
     172.16.0.0/16 is variably subnetted, 5 subnets, 2 masks
C        172.16.1.0/30 is directly connected, Ethernet2/2
L        172.16.1.1/32 is directly connected, Ethernet2/2
O E2     172.16.11.0/30 [110/20] via 172.16.1.2, 00:09:08, Ethernet2/2
C        172.16.19.0/30 is directly connected, Ethernet1/0
L        172.16.19.2/32 is directly connected, Ethernet1/0


Router#sho ip route vrf Nas3

Routing Table: Nas3

S*    0.0.0.0/0 [1/0] via 172.16.11.1
     10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
O        10.10.1.1/32 [110/11] via 172.16.1.1, 00:08:40, Ethernet2/3
C        10.225.155.0/24 is directly connected, Loopback3
L        10.225.155.1/32 is directly connected, Loopback3
     172.16.0.0/16 is variably subnetted, 5 subnets, 2 masks
C        172.16.1.0/30 is directly connected, Ethernet2/3
L        172.16.1.2/32 is directly connected, Ethernet2/3
C        172.16.11.0/30 is directly connected, Ethernet1/3
L        172.16.11.2/32 is directly connected, Ethernet1/3
O E2     172.16.19.0/30 [110/20] via 172.16.1.1, 00:02:33, Ethernet2/3

 

 

Получается, что при unnumbered интерфейсах только статика работает. Собственно, Nik0n об этом и написал уже.

Edited by DemonS

Share this post


Link to post
Share on other sites

Сделал петлю. прописал статикой маршруты - все доступно, все хорошо.

У Вас два vrf, а в случае 4 vrf Вы будете делать 4*3 петлей ? Вам нужно будет тогда использовать 24 порта!

Так что туннели самое то и работают без проблем.

 

ЗЫ OSPF не пробовал, сразу удовлетворился статикой. Не вижу в нем смысла, т.к набор сетей известен и постоянен.

В случае изменений сетей - маршруты легко правятся (набор туннелей не меняться).

Share this post


Link to post
Share on other sites

Никон у вас поди 65/76?

Откуда 65 да тем более 76 !

4900M всего-то и 4507 Sup V-10GE в разогретом резерве (терминацию влан ip unnumbered резервировать на них можно только руками).

Share this post


Link to post
Share on other sites

Сделал петлю. прописал статикой маршруты - все доступно, все хорошо.

У Вас два vrf, а в случае 4 vrf Вы будете делать 4*3 петлей ? Вам нужно будет тогда использовать 24 порта!

Так что туннели самое то и работают без проблем.

 

ЗЫ OSPF не пробовал, сразу удовлетворился статикой. Не вижу в нем смысла, т.к набор сетей известен и постоянен.

В случае изменений сетей - маршруты легко правятся (набор туннелей не меняться).

Да, я согласен, придется статикой. Хотелось красоты динамической))

Петля хороша на 2 vrf, у меня их 3. Уже некрасиво)) Портов, конечно, 48 - должно хватить, но скорость петли - 1Г всего. Тоннели скоростью, наверное, не ограничены. Спасибо на помощь!

Share this post


Link to post
Share on other sites

ну не знаю, наверное всё таки это задачи для железок уровнем повыше нежели л3 свичи, какие-нибудь роутеры пожирнее

я бы либо аппетиты поумерил, либо взял железку где это реализуется лучше

 

Ну можно и так. Только сети прибиты к vrf, это значит что менять IP у клиента, а юрики "бесятся" когда им белый IP меняют ;-) Да еще сразу и не поймешь что это один юрик. Другие точки они могут со временем открывать и на другие ООО, ИП и т.п. Ну короче эту проблему/задачу нам проще решить техническим способом описанным выше.

 

фиг знает, вы ж не экстрасенсы там

наверное юрики сами должны говорить что они как-то связаны меж собой и хотят общения меж филиалами.

всё таки \30 на юриков (по запросу можно и больше) лучшая практика

и не нужно этих вот костылей)))

vrf куда удобнее чем pbr, особенно с тем, что в PBR акли надо грамотные делать

что б в него не ушло того чего не нужно, а бегало согласно таблицы маршрутизации

но даже с vrf выглядит уж больно громоздко и неудобно

 

а чем вызвана потребность балансировки нагрузки? софт брасы стоят с ограничеными возможностями и хочеться load-balance клиентов кого в какой брас пихать?

в этом плане л2 до браса и уже на брасах разруливать кого и куда выглядит куда изящнее

ну и роутинг меж брасов (раз локалка так нужна) куда удобнее сделать чем городить

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.