[RN3DCX]

Наткнулся на непонятную мне особенность VRF на киске. IOS 15 ветки.

Если на маршрутизаторе создать сабинтерфес с vlan номером 101, а коммутаторе создать VRF и запихнуть в него interface vlan 101,102,103.

То на маршрутизаторе появляется доступ помимо 101 еще и на 102,103.

 

Кто объяснит в чем прикол? Ведь по смыслу такого не должно быть?

 

 

 

Маршрутизатор:

interface GI0/1.101

encapsulation dot1q 101

ip address 192.168.1.1 255.0.0.0

 

 

 

 

Коммутатор:

ip vrf management_network

rd 10:1

 

 

vlan 101

name managment_VLAN_101

 

vlan 102

name managment_VLAN_102

 

vlan 103

name managment_VLAN_103

 

 

interface Vlan101

description managment_VLAN_101

ip vrf forwarding management_network

ip address 192.168.1.10 255.255.255.0

 

interface Vlan102

description managment_VLAN_102

ip vrf forwarding management_network

ip address 192.168.2.10 255.255.255.0

 

interface Vlan103

description managment_VLAN_102

ip vrf forwarding management_network

ip address 192.168.3.10 255.255.255.0

 

 

 

 

 

Изменено 23 декабря, 2016 пользователем RN3DCX

[stalker86]

Собственно а какого поведения вы ожидали,если у Вас все SVI интерфейсы находятся в 1 VRF management_network?

[zi_rus]

скорее он не ожидал что все заработает без прописывания маршутов, но сработал прокси-арп

[RN3DCX]

zi_rus, с маршрутом это вы прям в точку подметили.

Странно то, что такое поведение наблюдается только при добавлении нескольких интерфейсов в одном VRF.

 

По поводу proxy-arp, на маршрутизаторах есть команда no ip proxy-arp, а вот на коммутаторе такой команды не нашел.

Есть ли способ вырубить proxy-arp в VRF ?

[zi_rus]

на интерфейсе должна быть команда

[RN3DCX]

zi_rus, спасибо!!!

[RN3DCX]

рано я начал радоваться....

Добавил no ip proxy-arp на коммутаторе на интерфейсы 101,102,103.

Результат не изменился.

[zi_rus]

очисти арп кеш на роутере

[RN3DCX]

Сразу сделал на коммутаторе и маршрутизаторе после добавления no proxy-arp.

[RN3DCX]

Конфиг коммутатора

 

 

Building configuration...

 

Current configuration : 3237 bytes

!

version 12.2

no service pad

service tcp-keepalives-in

service tcp-keepalives-out

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

service sequence-numbers

!

hostname 3750G

!

boot-start-marker

boot-end-marker

!

!

aaa new-model

!

!

aaa authentication login default local

!

!

!

aaa session-id common

clock timezone MSK 3

switch 1 provision ws-c3750g-24ts

system mtu routing 1500

vtp domain 3750

vtp mode off

no ip source-route

ip routing

no ip gratuitous-arps

no ip domain-lookup

ip domain-name 3750G.local

ip dhcp bootp ignore

!

!

ip vrf management_network

rd 31:1

!

login block-for 900 attempts 5 within 100

!

!

!

!

!

!

archive

path flash:BACKUP_CONFIG_FOLDER/

spanning-tree mode pvst

spanning-tree extend system-id

!

vlan internal allocation policy ascending

!

vlan 2020

!

vlan 101

name managment_VLAN_101

!

vlan 102

name managment_VLAN_102

!

vlan 103

name managment_VLAN_103

!

ip tcp timestamp

ip ssh authentication-retries 5

ip ssh version 2

!

!

!

interface GigabitEthernet1/0/1

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface GigabitEthernet1/0/2

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface GigabitEthernet1/0/3

switchport access vlan 2020

switchport mode access

!

interface GigabitEthernet1/0/4

switchport access vlan 2020

switchport mode access

!

interface GigabitEthernet1/0/5

switchport access vlan 2020

switchport mode access

!

interface GigabitEthernet1/0/6

switchport access vlan 2020

switchport mode access

!

interface GigabitEthernet1/0/7

switchport access vlan 2020

switchport mode access

!

interface GigabitEthernet1/0/8

switchport access vlan 2020

switchport mode access

!

interface GigabitEthernet1/0/9

!

interface GigabitEthernet1/0/10

!

interface GigabitEthernet1/0/11

!

interface GigabitEthernet1/0/12

!

interface GigabitEthernet1/0/13

!

interface GigabitEthernet1/0/14

!

interface GigabitEthernet1/0/15

!

interface GigabitEthernet1/0/16

!

interface GigabitEthernet1/0/17

!

interface GigabitEthernet1/0/18

!

interface GigabitEthernet1/0/19

!

interface GigabitEthernet1/0/20

!

interface GigabitEthernet1/0/21

!

interface GigabitEthernet1/0/22

!

interface GigabitEthernet1/0/23

!

interface GigabitEthernet1/0/24

!

interface GigabitEthernet1/0/25

!

interface GigabitEthernet1/0/26

!

interface GigabitEthernet1/0/27

!

interface GigabitEthernet1/0/28

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface Vlan1

no ip address

!

interface Vlan101

description managment_VLAN_101

ip vrf forwarding management_network

ip address 192.168.1.10 255.255.255.0

no ip proxy-arp

!

interface Vlan102

description managment_VLAN_102

ip vrf forwarding management_network

ip address 192.168.2.10 255.255.255.0

no ip proxy-arp

!

interface Vlan103

description managment_VLAN_103

ip vrf forwarding management_network

ip address 192.168.3.10 255.255.255.0

no ip proxy-arp

!

ip classless

no ip http server

no ip http secure-server

!

!

!

no cdp run

!

!

!

line con 0

exec-timeout 60 0

logging synchronous

line vty 0 4

exec-timeout 60 0

privilege level 15

logging synchronous

transport input ssh

line vty 5 15

exec-timeout 60 0

privilege level 15

logging synchronous

transport input ssh

!

end

 

[RN3DCX]

#show ip route vrf management_network

 

Routing Table: management_network

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

 

Gateway of last resort is not set

 

192.168.0.0/24 is subnetted, 3 subnets

C 192.168.1.0 is directly connected, Vlan101

C 192.168.2.0 is directly connected, Vlan102

C 192.168.3.0 is directly connected, Vlan103

[zi_rus]

надо на ротер смотреть и его арп и таблицу роутинга

[RN3DCX]

Не совсем ясно, при чем здесь роутер.

Ведь вся херня происходит на стороне коммутатора.

[zi_rus]

но влияет она на роутер. еще можно поснифать трафик, может прокси арп не отключился. масса вариантов

[RN3DCX]

Еще разок всё перепроверил....

Вообщем при классической схеме без VRF усё ОК.

А вот при добавление более одного интерфейса в один VRF, с одинаковым классом сети и пофиг какой маской, появляется доступ в разные интерфейсы не с маршрутизированные между собой.

Даже не знаю, глюк это или особенно виденья мега вендора.

[stalker86]

Так ладно. Давайте по порядку.

С каого адреcа и какой адрес пингаете. Покажите вывод traceroute между хостами

[RN3DCX]

На маршрутизаторе в 101-м vlan'е c адресом 192.168.1.1 и маской 255.0.0.0 пингую интерфейс на коммутаторе с адресом 192.168.3.10 который сидит в 103-м vlan'е.

traceroute уже не смогу показать, т.к. забил на эту проблему, путем создания трех VRF-ов.

[sexst]

Нормальное поведение.

Маршрутизатор с такой маской думает что 192.168.3.10 доступен напрямую. Не находит arp записи, рассылает на широковещательный адрес запрос. Коммутатор его получает на интерфейсе в 101 влане, соображает что это его собственный ip и отвечает на арп запрос с того интерфейса, на который этот запрос получил. Маршрутизатор радостно посылает пакет, коммутатор отвечает.

Тут важно помнить что операционке вообще пофиг на какой интерфейс арп запрос пришел.

[zi_rus]

Коммутатор его получает на интерфейсе в 101 влане, соображает что это его собственный ip и отвечает на арп запрос с того интерфейса, на который этот запрос получил.

если перечитать его слова то покажется что, когда все в грт, он такого не наблюдает

[SergeiK]

На маршрутизаторе в 101-м vlan'е c адресом 192.168.1.1 и маской 255.0.0.0 пингую интерфейс на коммутаторе с адресом 192.168.3.10 который сидит в 103-м vlan'е.

traceroute уже не смогу показать, т.к. забил на эту проблему, путем создания трех VRF-ов.

Вот именно. То есть вас не смущает, что у вас не бьются маски на интерфейсах в одной сети у роутера и коммутатора?

Вы можете объяснить глубокий смысл именно такой реализации?

Такие конфигурации - источник самых неожиданных проблем, ибо их работа может зависеть от нюансов реализации той или иной версии ПО.

 

Конфигурации интерфейсов в одной сети должны быть одинаковыми.

Если вам НЕ нужны все остальные маршруты - роутите их в NULL.

[sexst]

если перечитать его слова то покажется что, когда все в грт, он такого не наблюдает

Я привык игнорировать кажущиеся заявления без пруфов, особенно не вписывающиеся в картину мира. В конце концов в global может по дефолту проверяться соответствие интерфейса, а в vrf нет, не вижу ничего нереального в этом.

[zi_rus]

по мне это повод для кейса вендору

[sexst]

Не, это повод сначала просмотреть документацию на эту тему. А вот если с ней есть расхождения или стойкое убеждение что должно работать не так (с обоснованиями почему) - тогда кейс.

[semop]

На л3 коммутаторе все 3 влан-инт - дирекли коннектед. Друг друга будут видеть при пинге с соурса. 100%

Собственно проключив один из вланов (101) - на какой то хост, в данном случае маршрутизатор - с перекрывающей маской = будет пинг, по причине которую описал господин sexst.

 

Если проключить 102 или 103 влан на комп с такой же огромной сеткой - будет тоже пинг.

А если поставить человеческую маску (та, которая = влан-инт коммутатора) то не будет. Появится, если шлюз прописать. И не появится если будут разные ВРФ, как вы и сделали.

[zi_rus]

Не, это повод сначала просмотреть документацию на эту тему. А вот если с ней есть расхождения или стойкое убеждение что должно работать не так (с обоснованиями почему) - тогда кейс.

чаще всего такие тонкости в доке не описываются

более того разработчики вендора еще начнут лечить что так и задумано, только бы им самим не переделывать