RN3DCX Posted November 15, 2021 Posted November 15, 2021 Конфиг: Скрытый текст ip vrf Inet rd 15:2 route-target export 12345:2 route-target import 12345:2 ! ip vrf MGMT rd 15:1 route-target export 12345:1 route-target import 12345:1 !! interface Loopback0 ip address 10.10.0.15 255.255.255.255 ! interface FastEthernet0/0.111 description --Local_Office-- encapsulation dot1Q 111 ip address 192.168.10.1 255.255.255.0 ip nat inside no cdp enable ! interface FastEthernet0/0.333 description --Internet-- encapsulation dot1Q 333 ip vrf forwarding Inet ip address 185.202.155.1 255.255.255.240 ip nat outside no cdp enable ! interface FastEthernet0/0.1015 encapsulation dot1Q 1015 ip address 10.10.1.62 255.255.255.0 ip ospf network point-to-point mpls label protocol ldp mpls ip no cdp enable ! interface FastEthernet0/0.1016 encapsulation dot1Q 1016 ip address 10.10.1.58 255.255.255.0 ip ospf network point-to-point mpls label protocol ldp mpls ip no cdp enable ! router ospf 10 router-id 10.10.0.15 network 10.10.0.15 0.0.0.0 area 0 network 10.10.1.0 0.0.0.255 area 0 ! router bgp 12345 bgp router-id 10.10.0.15 bgp log-neighbor-changes neighbor 10.10.0.5 remote-as 12345 neighbor 10.10.0.5 update-source Loopback0 neighbor 10.10.0.6 remote-as 12345 neighbor 10.10.0.6 update-source Loopback0 ! address-family ipv4 neighbor 10.10.0.5 activate neighbor 10.10.0.6 activate exit-address-family ! address-family vpnv4 neighbor 10.10.0.5 activate neighbor 10.10.0.5 send-community both neighbor 10.10.0.6 activate neighbor 10.10.0.6 send-community both exit-address-family ! address-family ipv4 vrf Inet redistribute connected exit-address-family ! address-family ipv4 vrf MGMT redistribute connected exit-address-family ip nat inside source list NAT interface FastEthernet0/0.333 vrf Inet overload ip access-list extended NAT permit ip 192.168.10.0 0.0.0.255 any Кто подскажет как поднять на кошке NAT используя одновременно VFR+BGP ? Вставить ник Quote
VolanD666 Posted November 15, 2021 Posted November 15, 2021 А в чем проблема? Что не получается то? Вставить ник Quote
RN3DCX Posted November 15, 2021 Author Posted November 15, 2021 В 15.11.2021 в 17:52, VolanD666 сказал: А в чем проблема? Что не получается то? При текущей конфигурации: C:\>tracert 8.8.8.8 Трассировка маршрута к 8.8.8.8 с максимальным числом прыжков 30 1 1 ms 1 ms 1 ms 192.168.10.1 2 * * * Превышен интервал ожидания для запроса. 3 * * * Превышен интервал ожидания для запроса. 4 * * * Превышен интервал ожидания для запроса. 5 * * * Превышен интервал ожидания для запроса. 6 * * * Заданный узел недоступен. не знает маршрутизатор, что делать с данным трафиком =( Вставить ник Quote
RN3DCX Posted November 16, 2021 Author Posted November 16, 2021 В 16.11.2021 в 07:24, hRUst сказал: Конфиг? Спойлер откройте. Вставить ник Quote
VolanD666 Posted November 16, 2021 Posted November 16, 2021 Ну т.е. у вас внутренняя сеть в глобале, а инет в VRF? Железка VASI умеет? Вставить ник Quote
RN3DCX Posted November 16, 2021 Author Posted November 16, 2021 А я Х.З. умеет или нет. Cisco 2800 серии - вроде должна. Давайте пробовать, если нет других альтернатив в плане настроек! Вставить ник Quote
VolanD666 Posted November 16, 2021 Posted November 16, 2021 В 16.11.2021 в 13:44, RN3DCX сказал: А я Х.З. умеет или нет. Cisco 2800 серии - вроде должна. Маловероятно, но проверьте Вставить ник Quote
RN3DCX Posted November 16, 2021 Author Posted November 16, 2021 пока гуглю VASI + 2800, вопрос альтернативы в плане настроек есть? Вставить ник Quote
SUrov_IBM Posted November 16, 2021 Posted November 16, 2021 В 16.11.2021 в 14:39, RN3DCX сказал: вопрос альтернативы в плане настроек есть? RN3DCX, здравствуйте. Альтернатива есть, на первый взгляд, может выглядеть как "костыль" – с помощью Loopback интерфейсов расположенных в GRT и VRF , можно построить GRE или IP-IP тоннель между изолированными сегментами внутри CISCO и со стороны VRF имеющий доступ в WAN, настроить NAT для GRT используя сеть тоннеля. P.S. В уж извините за столь костыльную придумку, но она работает. ;) interface Loopback10 description Loopback-source-GLOBAL ip address 10.255.255.1 255.255.255.255 ! interface Loopback20 description Loopback-source-VRF-GW-ASXXXXX ip address 10.255.255.3 255.255.255.255 ! interface Tunnel30 description GLOBAL-to-VRF-GW-ASXXXXX ip address 10.255.254.9 255.255.255.252 ip mtu 1500 tunnel source Loopback10 tunnel destination 10.255.255.3 ! interface Tunnel35 description VRF-GW-ASXXXXX-to-GLOBAL ip vrf forwarding VRF-GW-ASXXXXX ip address 10.255.254.10 255.255.255.252 ip mtu 1500 tunnel source Loopback20 tunnel destination 10.255.255.1 Вставить ник Quote
RN3DCX Posted November 16, 2021 Author Posted November 16, 2021 @SUrov_IBM Благодарю Вас за приведенный пример! Завтра попробую. Вставить ник Quote
kapydan Posted November 16, 2021 Posted November 16, 2021 В 16.11.2021 в 14:12, VolanD666 сказал: В 16.11.2021 в 13:44, RN3DCX сказал: А я Х.З. умеет или нет. Cisco 2800 серии - вроде должна. Маловероятно, но проверьте не умеет 2800 vasi - т.к. это фича ios-xe, а на 2800 ios просто. Вставить ник Quote
VolanD666 Posted November 16, 2021 Posted November 16, 2021 В 17.11.2021 в 00:22, kapydan сказал: не умеет 2800 vasi - т.к. это фича ios-xe, а на 2800 ios просто. Точняк. Вставить ник Quote
RN3DCX Posted November 17, 2021 Author Posted November 17, 2021 В 16.11.2021 в 21:43, SUrov_IBM сказал: interface Loopback10 description Loopback-source-GLOBAL ip address 10.255.255.1 255.255.255.255 ! interface Loopback20 description Loopback-source-VRF-GW-ASXXXXX ip address 10.255.255.3 255.255.255.255 ! interface Tunnel30 description GLOBAL-to-VRF-GW-ASXXXXX ip address 10.255.254.9 255.255.255.252 ip mtu 1500 tunnel source Loopback10 tunnel destination 10.255.255.3 ! interface Tunnel35 description VRF-GW-ASXXXXX-to-GLOBAL ip vrf forwarding VRF-GW-ASXXXXX ip address 10.255.254.10 255.255.255.252 ip mtu 1500 tunnel source Loopback20 tunnel destination 10.255.255.1 Чёт совсем обленился думать =) А куда nat вставлять? Вставить ник Quote
SUrov_IBM Posted November 17, 2021 Posted November 17, 2021 В 17.11.2021 в 17:59, RN3DCX сказал: Чёт совсем обленился думать =) А куда nat вставлять? По идее, как-то так: На интерфейсе VRF, смотрящим в WAN оставляем "ip nat outside": nterface FastEthernet0/0.333 ip vrf forwarding Inet ip nat outside ! На VRF интерфейсе, создающим тоннель из VRF в GRT добавляем "ip nat inside": interface Tunnel35 ip address 10.255.254.10 255.255.255.252 ip vrf forwarding Inet ip nat inside ! Создаём в VRF статический маршрут до сети 192.168.10.0/24 в GRT: ip route vrf Inet 192.168.10.0 255.255.255.0 10.255.254.9 ! Создаём в GRT Default gateway маршрут до VRF Inet: ip route 0.0.0.0 0.0.0.0 10.255.254.10 ! Определяем список сетей, которые будут обрабатываться NAT: ip nat inside source list NAT interface FastEthernet0/0.333 vrf Inet overload ! ip access-list extended NAT permit ip 192.168.10.0 0.0.0.255 any permit ip 10.255.254.8 0.0.0.3 any Сеть 192.168.10.0/24, которой требуется доступ в WAN из GRT и сеть тоннеля 10.255.254.8/30, чтобы из самой GRT была IP связь до WAN сервисов. В принципе, сеть 10.255.254.8/30 можно не указывать, если из GRT от source 10.255.254.9 не требуется доступа в WAN. Честно, конфигурацию " набросал на глаз " и на стенде не проверял, но должно работать. NAT в данном случае настраивается вполне обычным образом. ;) Вставить ник Quote
RN3DCX Posted November 25, 2021 Author Posted November 25, 2021 В 17.11.2021 в 23:28, SUrov_IBM сказал: На интерфейсе VRF, смотрящим в WAN оставляем "ip nat outside": interface FastEthernet0/0.333 ip vrf forwarding Inet ip nat outside Тут умышленно не указывается IP адрес? Или как раз тут указывается белый адрес? Вставить ник Quote
RN3DCX Posted November 25, 2021 Author Posted November 25, 2021 @SUrov_IBM , сорян. Не пойму в данном примере куда вписывать белый IP ? Вставить ник Quote
SUrov_IBM Posted November 25, 2021 Posted November 25, 2021 В 25.11.2021 в 14:47, RN3DCX сказал: Тут умышленно не указывается IP адрес? Или как раз тут указывается белый адрес? RN3DCX, Да, в приведённой Вами конфигурации, "белый" IP адрес прописывается на интерфейсе FastEthernet0/0.333. Если смотреть совсем "по простому", то интерфейс с "ip nat outside" относится к внешней (WAN), а "ip nat inside" к внутренней (LAN) сети. https://deltaconfig.ru/ip-nat-outside/ Вставить ник Quote
RN3DCX Posted November 26, 2021 Author Posted November 26, 2021 interface Loopback101 description Loopback-source-GLOBAL ip address 100.255.255.1 255.255.255.255 ! interface Loopback202 description Loopback-source-VRF-GW-ASXXXXX ip address 100.255.255.2 255.255.255.255 ! interface Tunnel101 description GLOBAL-to-VRF-GW-ASXXXXX ip address 100.255.254.1 255.255.255.252 ip mtu 1500 tunnel source Loopback101 tunnel destination 100.255.255.2 ! interface Tunnel202 description VRF-GW-ASXXXXX-to-GLOBAL ip vrf forwarding Inet ip address 100.255.254.2 255.255.255.252 ip mtu 1500 ip nat inside ip virtual-reassembly in tunnel source Loopback202 tunnel destination 100.255.255.1 ! interface FastEthernet0/0.101 description --Local_Office-- encapsulation dot1Q 101 ip address 192.168.10.1 255.255.255.0 no cdp enable ! interface FastEthernet0/0.333 encapsulation dot1Q 333 ip vrf forwarding Inet ip address 185.202.155.1 255.255.255.240 ip nat outside no cdp enable ! ip nat inside source list NAT interface FastEthernet0/0.333 vrf Inet overload ip route 0.0.0.0 0.0.0.0 100.255.254.2 ip route vrf Inet 192.168.10.0 255.255.255.0 100.255.254.1 ! ip access-list extended NAT permit ip 192.168.10.0 0.0.0.255 any permit ip 100.255.254.0 0.0.255.255 any Вставить ник Quote
RN3DCX Posted November 26, 2021 Author Posted November 26, 2021 Не взлетело, ping из глобала: Tracing the route to 8.8.8.8 VRF info: (vrf in name/id, vrf out name/id) 1 * * * 2 * * * 3 * * * 4 * * * 5 * * * 6 * * * Вставить ник Quote
VolanD666 Posted November 26, 2021 Posted November 26, 2021 В 26.11.2021 в 14:52, RN3DCX сказал: Не взлетело, ping из глобала: Tracing the route to 8.8.8.8 VRF info: (vrf in name/id, vrf out name/id) 1 * * * 2 * * * 3 * * * 4 * * * 5 * * * 6 * * * Пинг между внутренними адресами туннелей ходит? Все маршруты в таблицу встали? Вставить ник Quote
RN3DCX Posted November 26, 2021 Author Posted November 26, 2021 с компа находящегося в сети 192.168.10.0 есть доступ до всех интерфейсов: тунели 100.255.254.0 255.255.255.252, лупбеки 100.255.255.0 255.255.255.252 C:\>tracert 8.8.8.8 Трассировка маршрута к 8.8.8.8 с максимальным числом прыжков 30 1 1 ms 1 ms 1 ms 192.168.10.1 2 1 ms 1 ms 1 ms 100.255.254.2 3 * * * Превышен интервал ожидания для запроса. 4 * * * Превышен интервал ожидания для запроса. Вставить ник Quote
VolanD666 Posted November 26, 2021 Posted November 26, 2021 В НАТ таблице запись создается? Вставить ник Quote
RN3DCX Posted November 26, 2021 Author Posted November 26, 2021 В 26.11.2021 в 16:07, VolanD666 сказал: В НАТ таблице запись создается? R1_Primary#sh ip nat statistics Total active translations: 0 (0 static, 0 dynamic; 0 extended) Peak translations: 0 Outside interfaces: FastEthernet0/0.333 Inside interfaces: Tunnel202 Hits: 0 Misses: 0 CEF Translated packets: 0, CEF Punted packets: 1 Expired translations: 0 Dynamic mappings: -- Inside Source [Id: 6] access-list NAT interface FastEthernet0/0.333 refcount 0 R1_Primary#sh ip nat translation пустой вывод команды. Вставить ник Quote
VolanD666 Posted November 26, 2021 Posted November 26, 2021 Что то не вижу дефолта в мир. Он точно есть? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.