[RN3DCX]

Конфиг:

Скрытый текст

ip vrf Inet
rd 15:2
route-target export 12345:2
route-target import 12345:2
!
ip vrf MGMT
rd 15:1
route-target export 12345:1
route-target import 12345:1
!!
interface Loopback0
ip address 10.10.0.15 255.255.255.255
!
 

interface FastEthernet0/0.111

description --Local_Office--
encapsulation dot1Q 111
ip address 192.168.10.1 255.255.255.0

ip nat inside
no cdp enable
!
interface FastEthernet0/0.333

description --Internet--
encapsulation dot1Q 333
ip vrf forwarding Inet
ip address 185.202.155.1 255.255.255.240

ip nat outside
no cdp enable
!
interface FastEthernet0/0.1015
encapsulation dot1Q 1015

ip address 10.10.1.62 255.255.255.0
ip ospf network point-to-point
mpls label protocol ldp
mpls ip
no cdp enable
!
interface FastEthernet0/0.1016
encapsulation dot1Q 1016
ip address 10.10.1.58 255.255.255.0
ip ospf network point-to-point
mpls label protocol ldp
mpls ip
no cdp enable
!
router ospf 10
router-id 10.10.0.15
network 10.10.0.15 0.0.0.0 area 0
network 10.10.1.0 0.0.0.255 area 0
!
router bgp 12345
bgp router-id 10.10.0.15
bgp log-neighbor-changes
neighbor 10.10.0.5 remote-as 12345
neighbor 10.10.0.5 update-source Loopback0
neighbor 10.10.0.6 remote-as 12345
neighbor 10.10.0.6 update-source Loopback0
!
address-family ipv4
 neighbor 10.10.0.5 activate
 neighbor 10.10.0.6 activate
exit-address-family
!
address-family vpnv4
 neighbor 10.10.0.5 activate
 neighbor 10.10.0.5 send-community both
 neighbor 10.10.0.6 activate
 neighbor 10.10.0.6 send-community both
exit-address-family
!
address-family ipv4 vrf Inet
 redistribute connected
exit-address-family
!
address-family ipv4 vrf MGMT
 redistribute connected
exit-address-family

 

 

ip nat inside source list NAT interface FastEthernet0/0.333 vrf Inet overload

ip access-list extended NAT
 permit ip 192.168.10.0 0.0.0.255 any

 

 

Кто подскажет как поднять на кошке NAT используя одновременно VFR+BGP ?

[VolanD666]

А в чем проблема? Что не получается то?

[RN3DCX]

В 15.11.2021 в 17:52, VolanD666 сказал:

А в чем проблема? Что не получается то?

При текущей конфигурации:

 

C:\>tracert 8.8.8.8

Трассировка маршрута к 8.8.8.8 с максимальным числом прыжков 30

 1  1 ms     1 ms     1 ms  192.168.10.1

 2     *        *        *     Превышен интервал ожидания для запроса.
 3     *        *        *     Превышен интервал ожидания для запроса.
 4     *        *        *     Превышен интервал ожидания для запроса.
 5     *        *        *     Превышен интервал ожидания для запроса.
 6     *        *        *     Заданный узел недоступен.

 

не знает маршрутизатор, что делать с данным трафиком =(

[hRUst]

Конфиг?

[RN3DCX]

В 16.11.2021 в 07:24, hRUst сказал:

Конфиг?

Спойлер откройте.

[VolanD666]

Ну т.е. у вас внутренняя сеть в глобале, а инет в VRF? Железка VASI умеет?

[RN3DCX]

А я Х.З. умеет или нет. Cisco 2800 серии - вроде должна.

Давайте пробовать, если нет других альтернатив в плане настроек!

[VolanD666]

В 16.11.2021 в 13:44, RN3DCX сказал:

А я Х.З. умеет или нет. Cisco 2800 серии - вроде должна.

Маловероятно, но проверьте

[RN3DCX]

пока гуглю VASI + 2800, вопрос альтернативы в плане настроек есть?

[SUrov_IBM]

В 16.11.2021 в 14:39, RN3DCX сказал:

вопрос альтернативы в плане настроек есть?

RN3DCX, здравствуйте.

 

Альтернатива есть, на первый взгляд, может выглядеть как "костыль" – с помощью Loopback интерфейсов расположенных в GRT и VRF , можно построить GRE или IP-IP тоннель между изолированными сегментами внутри CISCO и со стороны VRF имеющий доступ в WAN, настроить NAT для GRT используя сеть тоннеля.

 

P.S. В уж извините за столь костыльную придумку, но она работает. ;)

 

interface Loopback10
 description Loopback-source-GLOBAL
 ip address 10.255.255.1 255.255.255.255
!
interface Loopback20
 description Loopback-source-VRF-GW-ASXXXXX
 ip address 10.255.255.3 255.255.255.255
!
interface Tunnel30
 description GLOBAL-to-VRF-GW-ASXXXXX
 ip address 10.255.254.9 255.255.255.252
 ip mtu 1500
 tunnel source Loopback10
 tunnel destination 10.255.255.3
!
interface Tunnel35
 description VRF-GW-ASXXXXX-to-GLOBAL
 ip vrf forwarding VRF-GW-ASXXXXX
 ip address 10.255.254.10 255.255.255.252
 ip mtu 1500
 tunnel source Loopback20
 tunnel destination 10.255.255.1
 

[RN3DCX]

@SUrov_IBM Благодарю Вас за приведенный пример! Завтра попробую.

[kapydan]

В 16.11.2021 в 14:12, VolanD666 сказал:

В 16.11.2021 в 13:44, RN3DCX сказал:

А я Х.З. умеет или нет. Cisco 2800 серии - вроде должна.

Маловероятно, но проверьте

не умеет 2800 vasi - т.к. это фича ios-xe, а на 2800 ios просто.

[VolanD666]

В 17.11.2021 в 00:22, kapydan сказал:

не умеет 2800 vasi - т.к. это фича ios-xe, а на 2800 ios просто.

Точняк.

[RN3DCX]

В 16.11.2021 в 21:43, SUrov_IBM сказал:

interface Loopback10
 description Loopback-source-GLOBAL
 ip address 10.255.255.1 255.255.255.255
!
interface Loopback20
 description Loopback-source-VRF-GW-ASXXXXX
 ip address 10.255.255.3 255.255.255.255
!
interface Tunnel30
 description GLOBAL-to-VRF-GW-ASXXXXX
 ip address 10.255.254.9 255.255.255.252
 ip mtu 1500
 tunnel source Loopback10
 tunnel destination 10.255.255.3
!
interface Tunnel35
 description VRF-GW-ASXXXXX-to-GLOBAL
 ip vrf forwarding VRF-GW-ASXXXXX
 ip address 10.255.254.10 255.255.255.252
 ip mtu 1500
 tunnel source Loopback20
 tunnel destination 10.255.255.1

Чёт совсем обленился думать =)

А куда nat вставлять?

[SUrov_IBM]

В 17.11.2021 в 17:59, RN3DCX сказал:

Чёт совсем обленился думать =)

А куда nat вставлять?

По идее, как-то так:

 

На интерфейсе VRF, смотрящим в WAN оставляем "ip nat outside":
nterface FastEthernet0/0.333
ip vrf forwarding Inet
ip nat outside
!
На VRF интерфейсе, создающим тоннель из VRF в GRT добавляем "ip nat inside":
interface Tunnel35
ip address 10.255.254.10 255.255.255.252
ip vrf forwarding Inet
ip nat inside
!
Создаём в VRF статический маршрут до сети 192.168.10.0/24 в GRT:
ip route vrf Inet 192.168.10.0 255.255.255.0 10.255.254.9
!
Создаём в GRT Default gateway маршрут до VRF Inet:
ip route 0.0.0.0 0.0.0.0 10.255.254.10
!
Определяем список сетей, которые будут обрабатываться NAT:
ip nat inside source list NAT interface FastEthernet0/0.333 vrf Inet overload
!
ip access-list extended NAT
 permit ip 192.168.10.0 0.0.0.255 any
 permit ip 10.255.254.8 0.0.0.3 any

 

Сеть 192.168.10.0/24, которой требуется доступ в WAN из GRT и сеть тоннеля 10.255.254.8/30,
чтобы из самой  GRT была IP связь до WAN сервисов. В принципе, сеть 10.255.254.8/30 можно не указывать,
если из GRT от source 10.255.254.9 не требуется доступа в WAN.

Честно, конфигурацию " набросал на глаз " и на стенде не проверял, но должно работать. NAT в данном случае настраивается вполне обычным образом. ;)

[RN3DCX]

В 17.11.2021 в 23:28, SUrov_IBM сказал:

На интерфейсе VRF, смотрящим в WAN оставляем "ip nat outside":
interface FastEthernet0/0.333
ip vrf forwarding Inet
ip nat outside

Тут умышленно не указывается IP адрес?

Или как раз тут указывается белый адрес?

[RN3DCX]

@SUrov_IBM , сорян. Не пойму в данном примере куда вписывать белый IP ?

[SUrov_IBM]

В 25.11.2021 в 14:47, RN3DCX сказал:

Тут умышленно не указывается IP адрес?

Или как раз тут указывается белый адрес?

RN3DCX,

 

Да, в приведённой Вами конфигурации, "белый" IP адрес прописывается на интерфейсе FastEthernet0/0.333.

Если смотреть совсем "по простому", то интерфейс с "ip nat outside" относится к внешней (WAN), а "ip nat inside" к внутренней (LAN) сети.

 

https://deltaconfig.ru/ip-nat-outside/

[RN3DCX]

interface Loopback101
 description Loopback-source-GLOBAL
 ip address 100.255.255.1 255.255.255.255
!         
interface Loopback202
 description Loopback-source-VRF-GW-ASXXXXX
 ip address 100.255.255.2 255.255.255.255
!
interface Tunnel101
 description GLOBAL-to-VRF-GW-ASXXXXX
 ip address 100.255.254.1 255.255.255.252
 ip mtu 1500
 tunnel source Loopback101
 tunnel destination 100.255.255.2
!
interface Tunnel202
 description VRF-GW-ASXXXXX-to-GLOBAL
 ip vrf forwarding Inet
 ip address 100.255.254.2 255.255.255.252
 ip mtu 1500
 ip nat inside
 ip virtual-reassembly in
 tunnel source Loopback202
 tunnel destination 100.255.255.1
!
interface FastEthernet0/0.101

description --Local_Office--
encapsulation dot1Q 101
ip address 192.168.10.1 255.255.255.0

no cdp enable

!
interface FastEthernet0/0.333
 encapsulation dot1Q 333
 ip vrf forwarding Inet
 ip address 185.202.155.1 255.255.255.240

 ip nat outside
 no cdp enable
!
ip nat inside source list NAT interface FastEthernet0/0.333 vrf Inet overload

ip route 0.0.0.0 0.0.0.0 100.255.254.2
ip route vrf Inet 192.168.10.0 255.255.255.0 100.255.254.1
!         
ip access-list extended NAT
 permit ip 192.168.10.0 0.0.0.255 any
 permit ip 100.255.254.0 0.0.255.255 any

[RN3DCX]

Не взлетело, ping из глобала:

Tracing the route to 8.8.8.8
VRF info: (vrf in name/id, vrf out name/id)
  1  *  *  * 
  2  *  *  * 
  3  *  *  * 
  4  *  *  * 
  5  *  *  * 
  6  *  *  * 

 

[VolanD666]

В 26.11.2021 в 14:52, RN3DCX сказал:

Не взлетело, ping из глобала:

Tracing the route to 8.8.8.8
VRF info: (vrf in name/id, vrf out name/id)
  1  *  *  * 
  2  *  *  * 
  3  *  *  * 
  4  *  *  * 
  5  *  *  * 
  6  *  *  * 

 

Пинг между внутренними адресами туннелей ходит? Все маршруты в таблицу встали?

[RN3DCX]

с компа находящегося в сети 192.168.10.0 есть доступ до всех интерфейсов: тунели 100.255.254.0 255.255.255.252, лупбеки 100.255.255.0 255.255.255.252

 

 

C:\>tracert 8.8.8.8

Трассировка маршрута к 8.8.8.8 с максимальным числом прыжков 30

 1  1 ms     1 ms     1 ms  192.168.10.1

 2  1 ms     1 ms     1 ms  100.255.254.2

 3     *        *        *     Превышен интервал ожидания для запроса.

 4     *        *        *     Превышен интервал ожидания для запроса.

[VolanD666]

В НАТ таблице запись создается?

[RN3DCX]

В 26.11.2021 в 16:07, VolanD666 сказал:

В НАТ таблице запись создается?

R1_Primary#sh ip nat statistics  
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Peak translations: 0
Outside interfaces:
 FastEthernet0/0.333
Inside interfaces:  
 Tunnel202
Hits: 0  Misses: 0
CEF Translated packets: 0, CEF Punted packets: 1
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 6] access-list NAT interface FastEthernet0/0.333 refcount 0

 

R1_Primary#sh ip nat translation

пустой вывод команды. 

 

[VolanD666]

Что то не вижу дефолта в мир. Он точно есть?