RN3DCX Posted December 23, 2016 (edited) Наткнулся на непонятную мне особенность VRF на киске. IOS 15 ветки. Если на маршрутизаторе создать сабинтерфес с vlan номером 101, а коммутаторе создать VRF и запихнуть в него interface vlan 101,102,103. То на маршрутизаторе появляется доступ помимо 101 еще и на 102,103. Кто объяснит в чем прикол? Ведь по смыслу такого не должно быть? Маршрутизатор: interface GI0/1.101 encapsulation dot1q 101 ip address 192.168.1.1 255.0.0.0 Коммутатор: ip vrf management_network rd 10:1 vlan 101 name managment_VLAN_101 vlan 102 name managment_VLAN_102 vlan 103 name managment_VLAN_103 interface Vlan101 description managment_VLAN_101 ip vrf forwarding management_network ip address 192.168.1.10 255.255.255.0 interface Vlan102 description managment_VLAN_102 ip vrf forwarding management_network ip address 192.168.2.10 255.255.255.0 interface Vlan103 description managment_VLAN_102 ip vrf forwarding management_network ip address 192.168.3.10 255.255.255.0 Edited December 23, 2016 by RN3DCX Share this post Link to post Share on other sites More sharing options...
stalker86 Posted December 23, 2016 Собственно а какого поведения вы ожидали,если у Вас все SVI интерфейсы находятся в 1 VRF management_network? Share this post Link to post Share on other sites More sharing options...
zi_rus Posted December 23, 2016 скорее он не ожидал что все заработает без прописывания маршутов, но сработал прокси-арп Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 23, 2016 zi_rus, с маршрутом это вы прям в точку подметили. Странно то, что такое поведение наблюдается только при добавлении нескольких интерфейсов в одном VRF. По поводу proxy-arp, на маршрутизаторах есть команда no ip proxy-arp, а вот на коммутаторе такой команды не нашел. Есть ли способ вырубить proxy-arp в VRF ? Share this post Link to post Share on other sites More sharing options...
zi_rus Posted December 23, 2016 на интерфейсе должна быть команда Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 23, 2016 zi_rus, спасибо!!! Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 23, 2016 рано я начал радоваться.... Добавил no ip proxy-arp на коммутаторе на интерфейсы 101,102,103. Результат не изменился. Share this post Link to post Share on other sites More sharing options...
zi_rus Posted December 23, 2016 очисти арп кеш на роутере Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 23, 2016 Сразу сделал на коммутаторе и маршрутизаторе после добавления no proxy-arp. Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 23, 2016 Конфиг коммутатора Building configuration... Current configuration : 3237 bytes ! version 12.2 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec service timestamps log datetime msec service password-encryption service sequence-numbers ! hostname 3750G ! boot-start-marker boot-end-marker ! ! aaa new-model ! ! aaa authentication login default local ! ! ! aaa session-id common clock timezone MSK 3 switch 1 provision ws-c3750g-24ts system mtu routing 1500 vtp domain 3750 vtp mode off no ip source-route ip routing no ip gratuitous-arps no ip domain-lookup ip domain-name 3750G.local ip dhcp bootp ignore ! ! ip vrf management_network rd 31:1 ! login block-for 900 attempts 5 within 100 ! ! ! ! ! ! archive path flash:BACKUP_CONFIG_FOLDER/ spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! vlan 2020 ! vlan 101 name managment_VLAN_101 ! vlan 102 name managment_VLAN_102 ! vlan 103 name managment_VLAN_103 ! ip tcp timestamp ip ssh authentication-retries 5 ip ssh version 2 ! ! ! interface GigabitEthernet1/0/1 switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEthernet1/0/2 switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEthernet1/0/3 switchport access vlan 2020 switchport mode access ! interface GigabitEthernet1/0/4 switchport access vlan 2020 switchport mode access ! interface GigabitEthernet1/0/5 switchport access vlan 2020 switchport mode access ! interface GigabitEthernet1/0/6 switchport access vlan 2020 switchport mode access ! interface GigabitEthernet1/0/7 switchport access vlan 2020 switchport mode access ! interface GigabitEthernet1/0/8 switchport access vlan 2020 switchport mode access ! interface GigabitEthernet1/0/9 ! interface GigabitEthernet1/0/10 ! interface GigabitEthernet1/0/11 ! interface GigabitEthernet1/0/12 ! interface GigabitEthernet1/0/13 ! interface GigabitEthernet1/0/14 ! interface GigabitEthernet1/0/15 ! interface GigabitEthernet1/0/16 ! interface GigabitEthernet1/0/17 ! interface GigabitEthernet1/0/18 ! interface GigabitEthernet1/0/19 ! interface GigabitEthernet1/0/20 ! interface GigabitEthernet1/0/21 ! interface GigabitEthernet1/0/22 ! interface GigabitEthernet1/0/23 ! interface GigabitEthernet1/0/24 ! interface GigabitEthernet1/0/25 ! interface GigabitEthernet1/0/26 ! interface GigabitEthernet1/0/27 ! interface GigabitEthernet1/0/28 switchport trunk encapsulation dot1q switchport mode trunk ! interface Vlan1 no ip address ! interface Vlan101 description managment_VLAN_101 ip vrf forwarding management_network ip address 192.168.1.10 255.255.255.0 no ip proxy-arp ! interface Vlan102 description managment_VLAN_102 ip vrf forwarding management_network ip address 192.168.2.10 255.255.255.0 no ip proxy-arp ! interface Vlan103 description managment_VLAN_103 ip vrf forwarding management_network ip address 192.168.3.10 255.255.255.0 no ip proxy-arp ! ip classless no ip http server no ip http secure-server ! ! ! no cdp run ! ! ! line con 0 exec-timeout 60 0 logging synchronous line vty 0 4 exec-timeout 60 0 privilege level 15 logging synchronous transport input ssh line vty 5 15 exec-timeout 60 0 privilege level 15 logging synchronous transport input ssh ! end Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 23, 2016 #show ip route vrf management_network Routing Table: management_network Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 192.168.0.0/24 is subnetted, 3 subnets C 192.168.1.0 is directly connected, Vlan101 C 192.168.2.0 is directly connected, Vlan102 C 192.168.3.0 is directly connected, Vlan103 Share this post Link to post Share on other sites More sharing options...
zi_rus Posted December 23, 2016 надо на ротер смотреть и его арп и таблицу роутинга Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 23, 2016 Не совсем ясно, при чем здесь роутер. Ведь вся херня происходит на стороне коммутатора. Share this post Link to post Share on other sites More sharing options...
zi_rus Posted December 23, 2016 но влияет она на роутер. еще можно поснифать трафик, может прокси арп не отключился. масса вариантов Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 23, 2016 Еще разок всё перепроверил.... Вообщем при классической схеме без VRF усё ОК. А вот при добавление более одного интерфейса в один VRF, с одинаковым классом сети и пофиг какой маской, появляется доступ в разные интерфейсы не с маршрутизированные между собой. Даже не знаю, глюк это или особенно виденья мега вендора. Share this post Link to post Share on other sites More sharing options...
stalker86 Posted December 24, 2016 Так ладно. Давайте по порядку. С каого адреcа и какой адрес пингаете. Покажите вывод traceroute между хостами Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 24, 2016 На маршрутизаторе в 101-м vlan'е c адресом 192.168.1.1 и маской 255.0.0.0 пингую интерфейс на коммутаторе с адресом 192.168.3.10 который сидит в 103-м vlan'е. traceroute уже не смогу показать, т.к. забил на эту проблему, путем создания трех VRF-ов. Share this post Link to post Share on other sites More sharing options...
sexst Posted December 26, 2016 Нормальное поведение. Маршрутизатор с такой маской думает что 192.168.3.10 доступен напрямую. Не находит arp записи, рассылает на широковещательный адрес запрос. Коммутатор его получает на интерфейсе в 101 влане, соображает что это его собственный ip и отвечает на арп запрос с того интерфейса, на который этот запрос получил. Маршрутизатор радостно посылает пакет, коммутатор отвечает. Тут важно помнить что операционке вообще пофиг на какой интерфейс арп запрос пришел. Share this post Link to post Share on other sites More sharing options...
zi_rus Posted December 26, 2016 Коммутатор его получает на интерфейсе в 101 влане, соображает что это его собственный ip и отвечает на арп запрос с того интерфейса, на который этот запрос получил. если перечитать его слова то покажется что, когда все в грт, он такого не наблюдает Share this post Link to post Share on other sites More sharing options...
SergeiK Posted December 26, 2016 На маршрутизаторе в 101-м vlan'е c адресом 192.168.1.1 и маской 255.0.0.0 пингую интерфейс на коммутаторе с адресом 192.168.3.10 который сидит в 103-м vlan'е. traceroute уже не смогу показать, т.к. забил на эту проблему, путем создания трех VRF-ов. Вот именно. То есть вас не смущает, что у вас не бьются маски на интерфейсах в одной сети у роутера и коммутатора? Вы можете объяснить глубокий смысл именно такой реализации? Такие конфигурации - источник самых неожиданных проблем, ибо их работа может зависеть от нюансов реализации той или иной версии ПО. Конфигурации интерфейсов в одной сети должны быть одинаковыми. Если вам НЕ нужны все остальные маршруты - роутите их в NULL. Share this post Link to post Share on other sites More sharing options...
sexst Posted December 26, 2016 если перечитать его слова то покажется что, когда все в грт, он такого не наблюдает Я привык игнорировать кажущиеся заявления без пруфов, особенно не вписывающиеся в картину мира. В конце концов в global может по дефолту проверяться соответствие интерфейса, а в vrf нет, не вижу ничего нереального в этом. Share this post Link to post Share on other sites More sharing options...
zi_rus Posted December 26, 2016 по мне это повод для кейса вендору Share this post Link to post Share on other sites More sharing options...
sexst Posted December 27, 2016 Не, это повод сначала просмотреть документацию на эту тему. А вот если с ней есть расхождения или стойкое убеждение что должно работать не так (с обоснованиями почему) - тогда кейс. Share this post Link to post Share on other sites More sharing options...
semop Posted December 27, 2016 На л3 коммутаторе все 3 влан-инт - дирекли коннектед. Друг друга будут видеть при пинге с соурса. 100% Собственно проключив один из вланов (101) - на какой то хост, в данном случае маршрутизатор - с перекрывающей маской = будет пинг, по причине которую описал господин sexst. Если проключить 102 или 103 влан на комп с такой же огромной сеткой - будет тоже пинг. А если поставить человеческую маску (та, которая = влан-инт коммутатора) то не будет. Появится, если шлюз прописать. И не появится если будут разные ВРФ, как вы и сделали. Share this post Link to post Share on other sites More sharing options...
zi_rus Posted December 27, 2016 Не, это повод сначала просмотреть документацию на эту тему. А вот если с ней есть расхождения или стойкое убеждение что должно работать не так (с обоснованиями почему) - тогда кейс. чаще всего такие тонкости в доке не описываются более того разработчики вендора еще начнут лечить что так и задумано, только бы им самим не переделывать Share this post Link to post Share on other sites More sharing options...
