DemonS Опубликовано 13 октября, 2016 (изменено) · Жалоба Проблема с переходом на ip unnumbered. Есть схема: Исходная задача: Необходимо, чтобы каждый влан уходил в инет через свой брас. Для решения есть два способа, pbr - прописывать политики для указания next-hop нужного браса для каждого пакета, который предназначен для интернета. Либо использовать vrf, а в этом vrf - умолчательный маршрут на нужный брас. У меня есть стойкое убеждени, что вторая схема будет правильнее и оверхеда процессора будет меньше. Могу ошибаться. Брасы на схеме остановлены - это нормально, непринципиально. Рабочий конфиг циски: ! ip vrf Nas2 rd 65000:2 route-target export 65000:2 route-target import 65000:3 ! ip vrf Nas3 rd 65000:3 route-target export 65000:3 route-target import 65000:2 ! ip cef ! vlan internal allocation policy ascending ! interface Ethernet0/0 switchport trunk encapsulation dot1q switchport trunk allowed vlan 10,20 switchport mode trunk duplex auto ! interface Ethernet0/2 description abons-nas2 switchport access vlan 2 switchport mode access duplex auto ! interface Ethernet0/3 description abons-nas3 switchport access vlan 36 switchport mode access duplex auto ! interface Ethernet1/0 description nas2-uplink no switchport ip vrf forwarding Nas2 ip address 172.16.19.2 255.255.255.252 ! interface Ethernet1/1 description nas2-mx-uplink switchport access vlan 20 switchport mode access duplex auto ! interface Ethernet1/2 description nas3-mx-uplink switchport access vlan 10 switchport mode access duplex auto ! interface Ethernet1/3 description cisco-to-nas3-link no switchport ip vrf forwarding Nas3 ip address 172.16.11.2 255.255.255.252 ! interface Vlan1 no ip address shutdown ! interface Vlan2 description vlan2-l3-interface ip vrf forwarding Nas2 ip address 10.10.1.1 255.255.0.0 ! interface Vlan36 description vlan36-l3-interface ip vrf forwarding Nas3 ip address 10.225.155.1 255.255.255.0 ! router bgp 100 bgp router-id 1.1.1.1 bgp log-neighbor-changes ! address-family ipv4 vrf Nas2 redistribute connected exit-address-family ! address-family ipv4 vrf Nas3 redistribute connected exit-address-family ! ! ! ip route vrf Nas2 0.0.0.0 0.0.0.0 172.16.19.1 ip route vrf Nas3 0.0.0.0 0.0.0.0 172.16.11.1 ! Все хорошо, хосты друг друга пингуют, из разных вилановв том числе, все хорошо. Каждый исходящий пакет уходит на нужный брас. Но хочется бОльшего, хочется заюзать ip unnumbered. Потом проще будет переходить на vlan-per-user и т.п. Сказано-сделано. Меняю svi-влан интерфейссы, как unnambered. Ип вешаю на разные лупбеки, лупбеки в нужные vrf, на интерфейсах - ip unnumbered loopback X poll. Получившийся конфиг: ! ip vrf Nas2 rd 65000:2 route-target export 65000:2 route-target import 65000:3 ! ip vrf Nas3 rd 65000:3 route-target export 65000:3 route-target import 65000:2 ! ip cef ! interface Loopback2 ip vrf forwarding Nas2 ip address 10.10.1.1 255.255.0.0 no ip redirects ! interface Loopback3 ip vrf forwarding Nas3 ip address 10.225.155.1 255.255.255.0 no ip redirects no ip unreachables ! interface Ethernet0/0 switchport trunk encapsulation dot1q switchport trunk allowed vlan 10,20 switchport mode trunk duplex auto ! interface Ethernet0/1 shutdown duplex auto ! interface Ethernet0/2 description abons-nas2 switchport access vlan 2 switchport mode access duplex auto ! interface Ethernet0/3 description abons-nas3 switchport access vlan 36 switchport mode access duplex auto ! interface Ethernet1/0 description nas2-uplink no switchport ip vrf forwarding Nas2 ip address 172.16.19.2 255.255.255.252 ! interface Ethernet1/1 description nas2-mx-uplink switchport access vlan 20 switchport mode access duplex auto ! interface Ethernet1/2 description nas3-mx-uplink switchport access vlan 10 switchport mode access duplex auto ! interface Ethernet1/3 description cisco-to-nas3-link no switchport ip vrf forwarding Nas3 ip address 172.16.11.2 255.255.255.252 ! interface Vlan2 description vlan2-l3-interface ip vrf forwarding Nas2 ip unnumbered Loopback2 poll no ip unreachables ! interface Vlan36 description vlan36-l3-interface ip vrf forwarding Nas3 ip unnumbered Loopback3 poll ip helper-address vrf Nas2 10.10.1.11 no ip redirects no ip unreachables ! router bgp 100 bgp router-id 1.1.1.1 bgp log-neighbor-changes ! address-family ipv4 vrf Nas2 redistribute connected exit-address-family ! address-family ipv4 vrf Nas3 redistribute connected exit-address-family ! no ip http server ip route vrf Nas2 0.0.0.0 0.0.0.0 172.16.19.1 ip route vrf Nas3 0.0.0.0 0.0.0.0 172.16.11.1 ! Маршруты есть в обоих vrf: Router#show ip route vrf Nas2 S* 0.0.0.0/0 [1/0] via 172.16.19.1 10.0.0.0/8 is variably subnetted, 4 subnets, 3 masks C 10.10.0.0/16 is directly connected, Loopback2 L 10.10.1.1/32 is directly connected, Loopback2 B 10.225.155.0/24 is directly connected (Nas3), 00:04:57, Loopback3 L 10.225.155.1/32 is directly connected, Loopback3 172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks B 172.16.11.0/30 is directly connected (Nas3), 00:04:57, Ethernet1/3 L 172.16.11.2/32 is directly connected, Ethernet1/3 C 172.16.19.0/30 is directly connected, Ethernet1/0 L 172.16.19.2/32 is directly connected, Ethernet1/0 Router#show ip route vrf Nas3 S* 0.0.0.0/0 [1/0] via 172.16.11.1 10.0.0.0/8 is variably subnetted, 4 subnets, 3 masks B 10.10.0.0/16 is directly connected (Nas2), 00:05:00, Loopback2 L 10.10.1.1/32 is directly connected, Loopback2 C 10.225.155.0/24 is directly connected, Loopback3 L 10.225.155.1/32 is directly connected, Loopback3 172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks C 172.16.11.0/30 is directly connected, Ethernet1/3 L 172.16.11.2/32 is directly connected, Ethernet1/3 B 172.16.19.0/30 is directly connected (Nas2), 00:05:00, Ethernet1/0 L 172.16.19.2/32 is directly connected, Ethernet1/0 И тут непонятка возникает. В пределах своего влан хосты видят друг друга и шлюз, и могут ходить наружу. А вот видеть хосты из других вланов - перестали. Но мне надо, чтоб они могли видеть хосты других вланов. Прошу помочь разобраться. Я уже исчерпал все варианты. Спасибо. Изменено 14 октября, 2016 пользователем DemonS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 13 октября, 2016 · Жалоба Proxy arp ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 13 октября, 2016 · Жалоба Local proxy arp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemonS Опубликовано 13 октября, 2016 · Жалоба Проксиарп я не выключал, по умолчанию он включен. К тому же он влияет на доступность хостов в пределах вилана. У меня такая доступность есть. Я в соседний вилан в другом vrf попасть не могу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 13 октября, 2016 · Жалоба Вам нужно импортировать маршруты из одной таблицы в другую. На джунипере выглядит это так: Либо как выше говорят нужно влючить прокси арп то тогда у вас будет железка отвечать всем арп запросам в этом широковещательном домене. routing-options { rib-groups { nat1 { import-rib [ inet.0 nat.inet.0 ]; routing-instances { nat { instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop ms-0/2/0.0; } } } } Или вот так routing-instances { nat { instance-type virtual-router; interface lo0.100; routing-options { static { route 0.0.0.0/0 next-hop ms-0/2/0.10; } instance-import GLOBAL_ACC_INT; } } policy-options { policy-statement GLOBAL_ACC_INT { term 10 { from { instance master; protocol [ access-internal access ]; } then accept; } term 20 { then reject; } } } } Возможно направит вас в нужное направление. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemonS Опубликовано 13 октября, 2016 (изменено) · Жалоба Я думал об этом. Выше в посте есть вывод таблиц маршрутизации в обоих vrf. Для "перетекания" маршрутов между vrf использую протокол bgp. Не уверен, что в этих маршрутах дело. Без unnumbered на интерфейсах все же работает. И маршруты есть и все хорошо... Может есть какие-то команды для диагностики. debug чего-то там... Изменено 13 октября, 2016 пользователем DemonS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nik0n Опубликовано 14 октября, 2016 (изменено) · Жалоба Вам поможет только и только статическая маршрутизация через туннели! Вот часть рабочего конфига. В моем случае маршрутизация идет через global. Но можно и каждый vrf с другими vrf соединить туннелями, но нужно больше туннелей :) # sh run vrf usr21 Building configuration... Current configuration : 1454 bytes vrf definition usr21 rd XXXXX:21 ! address-family ipv4 exit-address-family ! ! interface Loopback211 vrf forwarding usr21 ip address 10.10.15.253 255.255.248.0 secondary ip address 10.10.15.251 255.255.248.0 ! interface Tunnel2110 (туннель в global) vrf forwarding usr21 ip address 192.168.99.2 255.255.255.252 tunnel source 10.1.10.21 tunnel destination 10.1.21.10 ! interface Tunnel2111 (туннель в VRF usr11) vrf forwarding usr21 ip address 192.168.99.13 255.255.255.252 tunnel source 10.1.11.21 tunnel destination 10.1.21.11 ! interface Vlan821 vrf forwarding usr21 ip address A.B.228.105 255.255.255.248 ! router ospf 21 vrf usr21 router-id A.B.228.105 summary-address 10.10.8.0 255.255.248.0 redistribute connected metric 111 subnets route-map ospf-noredist network A.B.228.104 0.0.0.7 area 21 ! ! ip route vrf usr21 10.10.0.0 255.255.248.0 Tunnel2110 # sh run int tunnel1021 Building configuration... Current configuration : 126 bytes ! interface Tunnel1021 ip address 192.168.99.1 255.255.255.252 tunnel source 10.1.21.10 tunnel destination 10.1.10.21 end ip route 10.10.8.0 255.255.248.0 Tunnel1021 ip route 10.10.0.0 255.255.248.0 Tunnel1011 (это маршрут в vrf usr11) Vlan821 для связи с брасами (OSPF). Потому что через bgp между vrf и у меня работало на простых VLAN, как только хочешь ip unnumbered - перестает работать! Так что только туннели (в нужном количестве). Изменено 14 октября, 2016 пользователем Nik0n Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemonS Опубликовано 14 октября, 2016 · Жалоба Т.е. тоннели между vrf1 и global, global и vrf2, vrf1 и vrf2. Правильно? Я хоть праввильный, труъ путь выбрал для решения? Может, через pbr правильнее было бы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nik0n Опубликовано 14 октября, 2016 · Жалоба Т.е. тоннели между vrf1 и global, global и vrf2, vrf1 и vrf2. Правильно? Либо туннели между vrf1-global и vrf2-global и т.д. Либо каждая vrf туннель со всеми другими. Я хоть праввильный, труъ путь выбрал для решения? Может, через pbr правильнее было бы? Правильный! Я пробовал на C4900M c PBR (был только global) - спустя минут 5 - CPU 99.9%, консоль тормозит, у клиентов лаги. Кое-как вернул назад (без PBR) ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 14 октября, 2016 · Жалоба Я так-то задался сначала вопросом бы нужна ли вообще локалка? Мож просто игра не стоит свеч?))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemonS Опубликовано 14 октября, 2016 · Жалоба Правильный! Я пробовал на C4900M c PBR (был только global) - спустя минут 5 - CPU 99.9%, консоль тормозит, у клиентов лаги. Кое-как вернул назад (без PBR) ;-) Спасибо! Буду пробовать, потом отпишусь. Я несколько удивлен, что нужно городить еще тунелей вагончик)) Я так-то задался сначала вопросом бы нужна ли вообще локалка? Мож просто игра не стоит свеч?))) Локалка нужна, ибо провайдерские сервисы "ДНС", "ИПТВ" и т.п. должны быть доступны абонентам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 14 октября, 2016 · Жалоба "ДНС" Отдельная подсеть, для клиентов выглядит просто как хост в интернете. "ИПТВ" MVR если мультик, или см. выше Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 14 октября, 2016 · Жалоба Железка VASI не умеет? ЗЫ: Еще, подскажите, плиз чем такие схемы нарисованы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nik0n Опубликовано 14 октября, 2016 · Жалоба Я так-то задался сначала вопросом бы нужна ли вообще локалка? Мож просто игра не стоит свеч?))) Ой как нужна, у нас есть юрики, которым в разных точках подключения вынь да положь связанность этих точек. Другое дело что можно через BRAS это дело организовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nik0n Опубликовано 14 октября, 2016 · Жалоба Железка VASI не умеет? С4900M Умеет только VRF-Lite, не думаю что 4948 может полный VRF. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemonS Опубликовано 14 октября, 2016 · Жалоба Железка VASI не умеет? ЗЫ: Еще, подскажите, плиз чем такие схемы нарисованы? Схема является скриншотом окошка браузера, подключенного к виртуальной машине с unetlab. Очень клевая штука. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 14 октября, 2016 · Жалоба Я так-то задался сначала вопросом бы нужна ли вообще локалка? Мож просто игра не стоит свеч?))) Ой как нужна, у нас есть юрики, которым в разных точках подключения вынь да положь связанность этих точек. Другое дело что можно через BRAS это дело организовать. а разные точки одного юрика в один vrf засунуть не судьба?)) зачем всем общаться со всеми? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nik0n Опубликовано 14 октября, 2016 · Жалоба а разные точки одного юрика в один vrf засунуть не судьба?)) зачем всем общаться со всеми? Ну можно и так. Только сети прибиты к vrf, это значит что менять IP у клиента, а юрики "бесятся" когда им белый IP меняют ;-) Да еще сразу и не поймешь что это один юрик. Другие точки они могут со временем открывать и на другие ООО, ИП и т.п. Ну короче эту проблему/задачу нам проще решить техническим способом описанным выше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 14 октября, 2016 · Жалоба тунели на этой платформе в софте же. сделайте физическую петлю и запустите там протокол динамической маршрутизации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemonS Опубликовано 14 октября, 2016 (изменено) · Жалоба тунели на этой платформе в софте же. сделайте физическую петлю и запустите там протокол динамической маршрутизации. Сделал петлю. прописал статикой маршруты - все доступно, все хорошо.Попробовал оспф поднять (redistribute connected subnets), а передается маршрут только лупбека. Что-то не так. Router#sho ip route vrf Nas2 S* 0.0.0.0/0 [1/0] via 172.16.19.1 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks C 10.10.0.0/16 is directly connected, Loopback2 L 10.10.1.1/32 is directly connected, Loopback2 O 10.225.155.1/32 [110/11] via 172.16.1.2, 00:15:35, Ethernet2/2 172.16.0.0/16 is variably subnetted, 5 subnets, 2 masks C 172.16.1.0/30 is directly connected, Ethernet2/2 L 172.16.1.1/32 is directly connected, Ethernet2/2 O E2 172.16.11.0/30 [110/20] via 172.16.1.2, 00:09:08, Ethernet2/2 C 172.16.19.0/30 is directly connected, Ethernet1/0 L 172.16.19.2/32 is directly connected, Ethernet1/0 Router#sho ip route vrf Nas3 Routing Table: Nas3 S* 0.0.0.0/0 [1/0] via 172.16.11.1 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks O 10.10.1.1/32 [110/11] via 172.16.1.1, 00:08:40, Ethernet2/3 C 10.225.155.0/24 is directly connected, Loopback3 L 10.225.155.1/32 is directly connected, Loopback3 172.16.0.0/16 is variably subnetted, 5 subnets, 2 masks C 172.16.1.0/30 is directly connected, Ethernet2/3 L 172.16.1.2/32 is directly connected, Ethernet2/3 C 172.16.11.0/30 is directly connected, Ethernet1/3 L 172.16.11.2/32 is directly connected, Ethernet1/3 O E2 172.16.19.0/30 [110/20] via 172.16.1.1, 00:02:33, Ethernet2/3 Получается, что при unnumbered интерфейсах только статика работает. Собственно, Nik0n об этом и написал уже. Изменено 14 октября, 2016 пользователем DemonS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nik0n Опубликовано 14 октября, 2016 · Жалоба Сделал петлю. прописал статикой маршруты - все доступно, все хорошо. У Вас два vrf, а в случае 4 vrf Вы будете делать 4*3 петлей ? Вам нужно будет тогда использовать 24 порта! Так что туннели самое то и работают без проблем. ЗЫ OSPF не пробовал, сразу удовлетворился статикой. Не вижу в нем смысла, т.к набор сетей известен и постоянен. В случае изменений сетей - маршруты легко правятся (набор туннелей не меняться). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 14 октября, 2016 · Жалоба Никон у вас поди 65/76? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nik0n Опубликовано 14 октября, 2016 · Жалоба Никон у вас поди 65/76? Откуда 65 да тем более 76 ! 4900M всего-то и 4507 Sup V-10GE в разогретом резерве (терминацию влан ip unnumbered резервировать на них можно только руками). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemonS Опубликовано 14 октября, 2016 · Жалоба Сделал петлю. прописал статикой маршруты - все доступно, все хорошо. У Вас два vrf, а в случае 4 vrf Вы будете делать 4*3 петлей ? Вам нужно будет тогда использовать 24 порта! Так что туннели самое то и работают без проблем. ЗЫ OSPF не пробовал, сразу удовлетворился статикой. Не вижу в нем смысла, т.к набор сетей известен и постоянен. В случае изменений сетей - маршруты легко правятся (набор туннелей не меняться). Да, я согласен, придется статикой. Хотелось красоты динамической))Петля хороша на 2 vrf, у меня их 3. Уже некрасиво)) Портов, конечно, 48 - должно хватить, но скорость петли - 1Г всего. Тоннели скоростью, наверное, не ограничены. Спасибо на помощь! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 14 октября, 2016 · Жалоба ну не знаю, наверное всё таки это задачи для железок уровнем повыше нежели л3 свичи, какие-нибудь роутеры пожирнее я бы либо аппетиты поумерил, либо взял железку где это реализуется лучше Ну можно и так. Только сети прибиты к vrf, это значит что менять IP у клиента, а юрики "бесятся" когда им белый IP меняют ;-) Да еще сразу и не поймешь что это один юрик. Другие точки они могут со временем открывать и на другие ООО, ИП и т.п. Ну короче эту проблему/задачу нам проще решить техническим способом описанным выше. фиг знает, вы ж не экстрасенсы там наверное юрики сами должны говорить что они как-то связаны меж собой и хотят общения меж филиалами. всё таки \30 на юриков (по запросу можно и больше) лучшая практика и не нужно этих вот костылей))) vrf куда удобнее чем pbr, особенно с тем, что в PBR акли надо грамотные делать что б в него не ушло того чего не нужно, а бегало согласно таблицы маршрутизации но даже с vrf выглядит уж больно громоздко и неудобно а чем вызвана потребность балансировки нагрузки? софт брасы стоят с ограничеными возможностями и хочеться load-balance клиентов кого в какой брас пихать? в этом плане л2 до браса и уже на брасах разруливать кого и куда выглядит куда изящнее ну и роутинг меж брасов (раз локалка так нужна) куда удобнее сделать чем городить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...