Bambuk Опубликовано 13 января, 2017 · Жалоба Дано: ~300 vrf, в каждом из которых единственный dot1q интерфейс с ip адресом 192.168.0.1/24 В соответствующих vlan, которые приходят на соответствующие dot1q интерфейсы есть по одному хосту. На всех хостах одинаковые ip 192.168.0.2/24 и шлюзом прописан 192.168.0.1. Есть еще один vrf ext, в котором есть единственный интерфейс с белым ip и выходом в интернет. Нужно: Чтобы все хосты имели выход в интернет. Адресацию на хостах изменять нельзя. Дополнительный "слой", в котором все будет натиться в разные подсети и уже потом натиться в интернет, вводить нельзя. Трейс с каждого хоста должен выглядеть так, как если бы он был единственным и натился в свой белый ip. Как это можно сделать и на каком оборудовании? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 13 января, 2017 · Жалоба SE100? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 13 января, 2017 · Жалоба SE100? А там NAT запоминает в трансляции с какого интерфейса был пакет и при обратной трансляции в маршруты не смотрит, а берет обратный интерфейс из трансляции? Ссылку на то, где это описано можно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 13 января, 2017 · Жалоба В соответствующих vlan, которые приходят на соответствующие dot1q интерфейсы есть по одному хосту. На всех хостах одинаковые ip 192.168.0.2/24 и шлюзом прописан 192.168.0.1. Чтобы все хосты имели выход в интернет. Адресацию на хостах изменять нельзя. И на чо вы надеялись когда это городили? И зачем оно вам? Теперь вам нужен NAT который будет учитывать влан. Готовых решений нет. Единственное что приходит на ум это кодить. На нетграфе это был бы некая нода которая вешается на интерфейс и заменяет 0.1 в адресе на номер влана, сама декапсулирует пакеты, сама отвечает ОС на арп пакеты и запоминает маки девайсов чтобы на них потом слать пакеты из инета. Для ОС это бы выглядело как сетевуха в сети 192.168.0.0/12 где все хосты доступны по арпскану. Если маки железок одинаковые это совсем незначительно упрощает код. Всё остальное стандартно. 100500 вланов заводить не пришлось бы, маршруты рисовать тоже. Сколько вы за такое готовы заплатить?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 13 января, 2017 · Жалоба Немного устаревшая, но вполне читабельная онлайн версия мануала по NAT-у на SE есть тут (здесь полный мануал). Я бы предложил сделать пачку контекстов (context в SE - это очень навороченный аналог VRF в Cisco, этакий vRouter со своим ААА, интерфейсами, маршрутами, NAT-ами и т.д. и т.п.) и в каждом из которых поднять NAT для конкретной сети 192.168.0.2/24 в свой собственный белый IP и один контекст для аплинка (та самая vrf ext). Очень упрощенно это будет выглядеть как если бы вы купили пачку SOHO роутеров (vrf userN), настроили их, воткнули в свич (vrf ext) и вместо со свичом сложили в одну большую коробку на которой написали "Ericsson SmartEdge". Возможно это не самый оптимальное решение, но вот так сразу ничего лучше в голову не пришло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 13 января, 2017 · Жалоба в свой белый ip. Т.е. для каждого хоста будет отдельный белый IP? Cisco так умеет, по идее. vrf-lite route leaking называется. Нужно будет маршрут до белого IP leak-ать в глобальный VRF, если статикой. Если BGP то можно и между VRF. А сам нат в каждом VRF отдельно. https://routing-bits.com/2010/09/13/vrf-lite-route-leaking/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 13 января, 2017 · Жалоба ip dhcp pool arenda101 vrf arenda101 network 10.10.101.0 255.255.255.0 default-router 10.10.101.1 dns-server 8.8.8.8 domain-name office101 ip dhcp pool arenda102 vrf arenda102 network 10.10.101.0 255.255.255.0 default-router 10.10.101.1 dns-server 8.8.8.8 domain-name office102 interface FastEthernet0/1.101 description "To office 101" encapsulation dot1Q 101 ip vrf forwarding arenda101 ip address 10.10.101.1 255.255.255.0 ip nat inside traffic-shape rate 8388608 1048576 1048576 1000 ! interface FastEthernet0/1.102 description "To office 102" encapsulation dot1Q 102 ip vrf forwarding arenda102 ip address 10.10.101.1 255.255.255.0 ip nat inside traffic-shape rate 8388608 1048576 1048576 1000 ip vrf Inet rd 65037:1 route-target export 65037:1 route-target import 65037:1 ip vrf arenda101 description "Office-101" rd 65101:101 route-target export 65101:101 route-target import 65101:101 route-target import 65037:1 ip vrf arenda102 description "Office-102" rd 65102:102 route-target export 65102:102 route-target import 65102:102 route-target import 65037:1 router bgp 65000 no synchronization bgp log-neighbor-changes redistribute connected redistribute static default-information originate no auto-summary ! address-family ipv4 vrf arenda101 redistribute connected redistribute static no synchronization exit-address-family ! address-family ipv4 vrf arenda102 redistribute connected redistribute static no synchronization exit-address-family ip route vrf Inet 0.0.0.0 0.0.0.0 FastEthernet0/0.537 195.xxx.xxx.xxx name default-Inet ip access-list extended 101 10 permit ip 10.10.101.0 0.0.0.255 any exit ip access-list extended 102 10 permit ip 10.10.101.0 0.0.0.255 any exit ip nat inside source list 101 interface FastEthernet0/0.537 vrf arenda101 overload ip nat inside source list 102 interface FastEthernet0/0.537 vrf arenda102 overload вроде так. Почему route leaking через bgp? - не помню. Поначалу статик роуты были, потом отказался. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 13 января, 2017 · Жалоба Почему route leaking через bgp? - не помню. Поначалу статик роуты были, потом отказался. Потому что со статикой инет только global Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 13 января, 2017 · Жалоба Потому что со статикой инет только global Когда-то было так: ip route vrf arenda105 0.0.0.0 0.0.0.0 FastEthernet0/0.207 89.XXX.XXX.XXX global access-list 105 permit ip 10.10.105.0 0.0.0.255 any ip nat inside source list 105 interface FastEthernet0/0.207 vrf arenda105 overload Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 13 января, 2017 · Жалоба Дада, все как в той мурзилке :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 13 января, 2017 · Жалоба Дада, все как в той мурзилке :) да-да))) Не нашел сходу в закладках Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
