RN3DCX Опубликовано 23 декабря, 2016 (изменено) · Жалоба Наткнулся на непонятную мне особенность VRF на киске. IOS 15 ветки. Если на маршрутизаторе создать сабинтерфес с vlan номером 101, а коммутаторе создать VRF и запихнуть в него interface vlan 101,102,103. То на маршрутизаторе появляется доступ помимо 101 еще и на 102,103. Кто объяснит в чем прикол? Ведь по смыслу такого не должно быть? Маршрутизатор: interface GI0/1.101 encapsulation dot1q 101 ip address 192.168.1.1 255.0.0.0 Коммутатор: ip vrf management_network rd 10:1 vlan 101 name managment_VLAN_101 vlan 102 name managment_VLAN_102 vlan 103 name managment_VLAN_103 interface Vlan101 description managment_VLAN_101 ip vrf forwarding management_network ip address 192.168.1.10 255.255.255.0 interface Vlan102 description managment_VLAN_102 ip vrf forwarding management_network ip address 192.168.2.10 255.255.255.0 interface Vlan103 description managment_VLAN_102 ip vrf forwarding management_network ip address 192.168.3.10 255.255.255.0 Изменено 23 декабря, 2016 пользователем RN3DCX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 23 декабря, 2016 · Жалоба Собственно а какого поведения вы ожидали,если у Вас все SVI интерфейсы находятся в 1 VRF management_network? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 23 декабря, 2016 · Жалоба скорее он не ожидал что все заработает без прописывания маршутов, но сработал прокси-арп Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 23 декабря, 2016 · Жалоба zi_rus, с маршрутом это вы прям в точку подметили. Странно то, что такое поведение наблюдается только при добавлении нескольких интерфейсов в одном VRF. По поводу proxy-arp, на маршрутизаторах есть команда no ip proxy-arp, а вот на коммутаторе такой команды не нашел. Есть ли способ вырубить proxy-arp в VRF ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 23 декабря, 2016 · Жалоба на интерфейсе должна быть команда Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 23 декабря, 2016 · Жалоба zi_rus, спасибо!!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 23 декабря, 2016 · Жалоба рано я начал радоваться.... Добавил no ip proxy-arp на коммутаторе на интерфейсы 101,102,103. Результат не изменился. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 23 декабря, 2016 · Жалоба очисти арп кеш на роутере Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 23 декабря, 2016 · Жалоба Сразу сделал на коммутаторе и маршрутизаторе после добавления no proxy-arp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 23 декабря, 2016 · Жалоба Конфиг коммутатора Building configuration... Current configuration : 3237 bytes ! version 12.2 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec service timestamps log datetime msec service password-encryption service sequence-numbers ! hostname 3750G ! boot-start-marker boot-end-marker ! ! aaa new-model ! ! aaa authentication login default local ! ! ! aaa session-id common clock timezone MSK 3 switch 1 provision ws-c3750g-24ts system mtu routing 1500 vtp domain 3750 vtp mode off no ip source-route ip routing no ip gratuitous-arps no ip domain-lookup ip domain-name 3750G.local ip dhcp bootp ignore ! ! ip vrf management_network rd 31:1 ! login block-for 900 attempts 5 within 100 ! ! ! ! ! ! archive path flash:BACKUP_CONFIG_FOLDER/ spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! vlan 2020 ! vlan 101 name managment_VLAN_101 ! vlan 102 name managment_VLAN_102 ! vlan 103 name managment_VLAN_103 ! ip tcp timestamp ip ssh authentication-retries 5 ip ssh version 2 ! ! ! interface GigabitEthernet1/0/1 switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEthernet1/0/2 switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEthernet1/0/3 switchport access vlan 2020 switchport mode access ! interface GigabitEthernet1/0/4 switchport access vlan 2020 switchport mode access ! interface GigabitEthernet1/0/5 switchport access vlan 2020 switchport mode access ! interface GigabitEthernet1/0/6 switchport access vlan 2020 switchport mode access ! interface GigabitEthernet1/0/7 switchport access vlan 2020 switchport mode access ! interface GigabitEthernet1/0/8 switchport access vlan 2020 switchport mode access ! interface GigabitEthernet1/0/9 ! interface GigabitEthernet1/0/10 ! interface GigabitEthernet1/0/11 ! interface GigabitEthernet1/0/12 ! interface GigabitEthernet1/0/13 ! interface GigabitEthernet1/0/14 ! interface GigabitEthernet1/0/15 ! interface GigabitEthernet1/0/16 ! interface GigabitEthernet1/0/17 ! interface GigabitEthernet1/0/18 ! interface GigabitEthernet1/0/19 ! interface GigabitEthernet1/0/20 ! interface GigabitEthernet1/0/21 ! interface GigabitEthernet1/0/22 ! interface GigabitEthernet1/0/23 ! interface GigabitEthernet1/0/24 ! interface GigabitEthernet1/0/25 ! interface GigabitEthernet1/0/26 ! interface GigabitEthernet1/0/27 ! interface GigabitEthernet1/0/28 switchport trunk encapsulation dot1q switchport mode trunk ! interface Vlan1 no ip address ! interface Vlan101 description managment_VLAN_101 ip vrf forwarding management_network ip address 192.168.1.10 255.255.255.0 no ip proxy-arp ! interface Vlan102 description managment_VLAN_102 ip vrf forwarding management_network ip address 192.168.2.10 255.255.255.0 no ip proxy-arp ! interface Vlan103 description managment_VLAN_103 ip vrf forwarding management_network ip address 192.168.3.10 255.255.255.0 no ip proxy-arp ! ip classless no ip http server no ip http secure-server ! ! ! no cdp run ! ! ! line con 0 exec-timeout 60 0 logging synchronous line vty 0 4 exec-timeout 60 0 privilege level 15 logging synchronous transport input ssh line vty 5 15 exec-timeout 60 0 privilege level 15 logging synchronous transport input ssh ! end Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 23 декабря, 2016 · Жалоба #show ip route vrf management_network Routing Table: management_network Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 192.168.0.0/24 is subnetted, 3 subnets C 192.168.1.0 is directly connected, Vlan101 C 192.168.2.0 is directly connected, Vlan102 C 192.168.3.0 is directly connected, Vlan103 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 23 декабря, 2016 · Жалоба надо на ротер смотреть и его арп и таблицу роутинга Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 23 декабря, 2016 · Жалоба Не совсем ясно, при чем здесь роутер. Ведь вся херня происходит на стороне коммутатора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 23 декабря, 2016 · Жалоба но влияет она на роутер. еще можно поснифать трафик, может прокси арп не отключился. масса вариантов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 23 декабря, 2016 · Жалоба Еще разок всё перепроверил.... Вообщем при классической схеме без VRF усё ОК. А вот при добавление более одного интерфейса в один VRF, с одинаковым классом сети и пофиг какой маской, появляется доступ в разные интерфейсы не с маршрутизированные между собой. Даже не знаю, глюк это или особенно виденья мега вендора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 24 декабря, 2016 · Жалоба Так ладно. Давайте по порядку. С каого адреcа и какой адрес пингаете. Покажите вывод traceroute между хостами Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 24 декабря, 2016 · Жалоба На маршрутизаторе в 101-м vlan'е c адресом 192.168.1.1 и маской 255.0.0.0 пингую интерфейс на коммутаторе с адресом 192.168.3.10 который сидит в 103-м vlan'е. traceroute уже не смогу показать, т.к. забил на эту проблему, путем создания трех VRF-ов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 26 декабря, 2016 · Жалоба Нормальное поведение. Маршрутизатор с такой маской думает что 192.168.3.10 доступен напрямую. Не находит arp записи, рассылает на широковещательный адрес запрос. Коммутатор его получает на интерфейсе в 101 влане, соображает что это его собственный ip и отвечает на арп запрос с того интерфейса, на который этот запрос получил. Маршрутизатор радостно посылает пакет, коммутатор отвечает. Тут важно помнить что операционке вообще пофиг на какой интерфейс арп запрос пришел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 26 декабря, 2016 · Жалоба Коммутатор его получает на интерфейсе в 101 влане, соображает что это его собственный ip и отвечает на арп запрос с того интерфейса, на который этот запрос получил. если перечитать его слова то покажется что, когда все в грт, он такого не наблюдает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 26 декабря, 2016 · Жалоба На маршрутизаторе в 101-м vlan'е c адресом 192.168.1.1 и маской 255.0.0.0 пингую интерфейс на коммутаторе с адресом 192.168.3.10 который сидит в 103-м vlan'е. traceroute уже не смогу показать, т.к. забил на эту проблему, путем создания трех VRF-ов. Вот именно. То есть вас не смущает, что у вас не бьются маски на интерфейсах в одной сети у роутера и коммутатора? Вы можете объяснить глубокий смысл именно такой реализации? Такие конфигурации - источник самых неожиданных проблем, ибо их работа может зависеть от нюансов реализации той или иной версии ПО. Конфигурации интерфейсов в одной сети должны быть одинаковыми. Если вам НЕ нужны все остальные маршруты - роутите их в NULL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 26 декабря, 2016 · Жалоба если перечитать его слова то покажется что, когда все в грт, он такого не наблюдает Я привык игнорировать кажущиеся заявления без пруфов, особенно не вписывающиеся в картину мира. В конце концов в global может по дефолту проверяться соответствие интерфейса, а в vrf нет, не вижу ничего нереального в этом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 26 декабря, 2016 · Жалоба по мне это повод для кейса вендору Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 27 декабря, 2016 · Жалоба Не, это повод сначала просмотреть документацию на эту тему. А вот если с ней есть расхождения или стойкое убеждение что должно работать не так (с обоснованиями почему) - тогда кейс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 27 декабря, 2016 · Жалоба На л3 коммутаторе все 3 влан-инт - дирекли коннектед. Друг друга будут видеть при пинге с соурса. 100% Собственно проключив один из вланов (101) - на какой то хост, в данном случае маршрутизатор - с перекрывающей маской = будет пинг, по причине которую описал господин sexst. Если проключить 102 или 103 влан на комп с такой же огромной сеткой - будет тоже пинг. А если поставить человеческую маску (та, которая = влан-инт коммутатора) то не будет. Появится, если шлюз прописать. И не появится если будут разные ВРФ, как вы и сделали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 27 декабря, 2016 · Жалоба Не, это повод сначала просмотреть документацию на эту тему. А вот если с ней есть расхождения или стойкое убеждение что должно работать не так (с обоснованиями почему) - тогда кейс. чаще всего такие тонкости в доке не описываются более того разработчики вендора еще начнут лечить что так и задумано, только бы им самим не переделывать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...