RN3DCX Опубликовано 15 ноября, 2021 · Жалоба Конфиг: Скрытый текст ip vrf Inet rd 15:2 route-target export 12345:2 route-target import 12345:2 ! ip vrf MGMT rd 15:1 route-target export 12345:1 route-target import 12345:1 !! interface Loopback0 ip address 10.10.0.15 255.255.255.255 ! interface FastEthernet0/0.111 description --Local_Office-- encapsulation dot1Q 111 ip address 192.168.10.1 255.255.255.0 ip nat inside no cdp enable ! interface FastEthernet0/0.333 description --Internet-- encapsulation dot1Q 333 ip vrf forwarding Inet ip address 185.202.155.1 255.255.255.240 ip nat outside no cdp enable ! interface FastEthernet0/0.1015 encapsulation dot1Q 1015 ip address 10.10.1.62 255.255.255.0 ip ospf network point-to-point mpls label protocol ldp mpls ip no cdp enable ! interface FastEthernet0/0.1016 encapsulation dot1Q 1016 ip address 10.10.1.58 255.255.255.0 ip ospf network point-to-point mpls label protocol ldp mpls ip no cdp enable ! router ospf 10 router-id 10.10.0.15 network 10.10.0.15 0.0.0.0 area 0 network 10.10.1.0 0.0.0.255 area 0 ! router bgp 12345 bgp router-id 10.10.0.15 bgp log-neighbor-changes neighbor 10.10.0.5 remote-as 12345 neighbor 10.10.0.5 update-source Loopback0 neighbor 10.10.0.6 remote-as 12345 neighbor 10.10.0.6 update-source Loopback0 ! address-family ipv4 neighbor 10.10.0.5 activate neighbor 10.10.0.6 activate exit-address-family ! address-family vpnv4 neighbor 10.10.0.5 activate neighbor 10.10.0.5 send-community both neighbor 10.10.0.6 activate neighbor 10.10.0.6 send-community both exit-address-family ! address-family ipv4 vrf Inet redistribute connected exit-address-family ! address-family ipv4 vrf MGMT redistribute connected exit-address-family ip nat inside source list NAT interface FastEthernet0/0.333 vrf Inet overload ip access-list extended NAT permit ip 192.168.10.0 0.0.0.255 any Кто подскажет как поднять на кошке NAT используя одновременно VFR+BGP ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 15 ноября, 2021 · Жалоба А в чем проблема? Что не получается то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 15 ноября, 2021 · Жалоба В 15.11.2021 в 17:52, VolanD666 сказал: А в чем проблема? Что не получается то? При текущей конфигурации: C:\>tracert 8.8.8.8 Трассировка маршрута к 8.8.8.8 с максимальным числом прыжков 30 1 1 ms 1 ms 1 ms 192.168.10.1 2 * * * Превышен интервал ожидания для запроса. 3 * * * Превышен интервал ожидания для запроса. 4 * * * Превышен интервал ожидания для запроса. 5 * * * Превышен интервал ожидания для запроса. 6 * * * Заданный узел недоступен. не знает маршрутизатор, что делать с данным трафиком =( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hRUst Опубликовано 16 ноября, 2021 · Жалоба Конфиг? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 16 ноября, 2021 · Жалоба В 16.11.2021 в 07:24, hRUst сказал: Конфиг? Спойлер откройте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 16 ноября, 2021 · Жалоба Ну т.е. у вас внутренняя сеть в глобале, а инет в VRF? Железка VASI умеет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 16 ноября, 2021 · Жалоба А я Х.З. умеет или нет. Cisco 2800 серии - вроде должна. Давайте пробовать, если нет других альтернатив в плане настроек! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 16 ноября, 2021 · Жалоба В 16.11.2021 в 13:44, RN3DCX сказал: А я Х.З. умеет или нет. Cisco 2800 серии - вроде должна. Маловероятно, но проверьте Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 16 ноября, 2021 · Жалоба пока гуглю VASI + 2800, вопрос альтернативы в плане настроек есть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 16 ноября, 2021 · Жалоба В 16.11.2021 в 14:39, RN3DCX сказал: вопрос альтернативы в плане настроек есть? RN3DCX, здравствуйте. Альтернатива есть, на первый взгляд, может выглядеть как "костыль" – с помощью Loopback интерфейсов расположенных в GRT и VRF , можно построить GRE или IP-IP тоннель между изолированными сегментами внутри CISCO и со стороны VRF имеющий доступ в WAN, настроить NAT для GRT используя сеть тоннеля. P.S. В уж извините за столь костыльную придумку, но она работает. ;) interface Loopback10 description Loopback-source-GLOBAL ip address 10.255.255.1 255.255.255.255 ! interface Loopback20 description Loopback-source-VRF-GW-ASXXXXX ip address 10.255.255.3 255.255.255.255 ! interface Tunnel30 description GLOBAL-to-VRF-GW-ASXXXXX ip address 10.255.254.9 255.255.255.252 ip mtu 1500 tunnel source Loopback10 tunnel destination 10.255.255.3 ! interface Tunnel35 description VRF-GW-ASXXXXX-to-GLOBAL ip vrf forwarding VRF-GW-ASXXXXX ip address 10.255.254.10 255.255.255.252 ip mtu 1500 tunnel source Loopback20 tunnel destination 10.255.255.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 16 ноября, 2021 · Жалоба @SUrov_IBM Благодарю Вас за приведенный пример! Завтра попробую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 16 ноября, 2021 · Жалоба В 16.11.2021 в 14:12, VolanD666 сказал: В 16.11.2021 в 13:44, RN3DCX сказал: А я Х.З. умеет или нет. Cisco 2800 серии - вроде должна. Маловероятно, но проверьте не умеет 2800 vasi - т.к. это фича ios-xe, а на 2800 ios просто. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 16 ноября, 2021 · Жалоба В 17.11.2021 в 00:22, kapydan сказал: не умеет 2800 vasi - т.к. это фича ios-xe, а на 2800 ios просто. Точняк. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 17 ноября, 2021 · Жалоба В 16.11.2021 в 21:43, SUrov_IBM сказал: interface Loopback10 description Loopback-source-GLOBAL ip address 10.255.255.1 255.255.255.255 ! interface Loopback20 description Loopback-source-VRF-GW-ASXXXXX ip address 10.255.255.3 255.255.255.255 ! interface Tunnel30 description GLOBAL-to-VRF-GW-ASXXXXX ip address 10.255.254.9 255.255.255.252 ip mtu 1500 tunnel source Loopback10 tunnel destination 10.255.255.3 ! interface Tunnel35 description VRF-GW-ASXXXXX-to-GLOBAL ip vrf forwarding VRF-GW-ASXXXXX ip address 10.255.254.10 255.255.255.252 ip mtu 1500 tunnel source Loopback20 tunnel destination 10.255.255.1 Чёт совсем обленился думать =) А куда nat вставлять? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 17 ноября, 2021 · Жалоба В 17.11.2021 в 17:59, RN3DCX сказал: Чёт совсем обленился думать =) А куда nat вставлять? По идее, как-то так: На интерфейсе VRF, смотрящим в WAN оставляем "ip nat outside": nterface FastEthernet0/0.333 ip vrf forwarding Inet ip nat outside ! На VRF интерфейсе, создающим тоннель из VRF в GRT добавляем "ip nat inside": interface Tunnel35 ip address 10.255.254.10 255.255.255.252 ip vrf forwarding Inet ip nat inside ! Создаём в VRF статический маршрут до сети 192.168.10.0/24 в GRT: ip route vrf Inet 192.168.10.0 255.255.255.0 10.255.254.9 ! Создаём в GRT Default gateway маршрут до VRF Inet: ip route 0.0.0.0 0.0.0.0 10.255.254.10 ! Определяем список сетей, которые будут обрабатываться NAT: ip nat inside source list NAT interface FastEthernet0/0.333 vrf Inet overload ! ip access-list extended NAT permit ip 192.168.10.0 0.0.0.255 any permit ip 10.255.254.8 0.0.0.3 any Сеть 192.168.10.0/24, которой требуется доступ в WAN из GRT и сеть тоннеля 10.255.254.8/30, чтобы из самой GRT была IP связь до WAN сервисов. В принципе, сеть 10.255.254.8/30 можно не указывать, если из GRT от source 10.255.254.9 не требуется доступа в WAN. Честно, конфигурацию " набросал на глаз " и на стенде не проверял, но должно работать. NAT в данном случае настраивается вполне обычным образом. ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 25 ноября, 2021 · Жалоба В 17.11.2021 в 23:28, SUrov_IBM сказал: На интерфейсе VRF, смотрящим в WAN оставляем "ip nat outside": interface FastEthernet0/0.333 ip vrf forwarding Inet ip nat outside Тут умышленно не указывается IP адрес? Или как раз тут указывается белый адрес? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 25 ноября, 2021 · Жалоба @SUrov_IBM , сорян. Не пойму в данном примере куда вписывать белый IP ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 25 ноября, 2021 · Жалоба В 25.11.2021 в 14:47, RN3DCX сказал: Тут умышленно не указывается IP адрес? Или как раз тут указывается белый адрес? RN3DCX, Да, в приведённой Вами конфигурации, "белый" IP адрес прописывается на интерфейсе FastEthernet0/0.333. Если смотреть совсем "по простому", то интерфейс с "ip nat outside" относится к внешней (WAN), а "ip nat inside" к внутренней (LAN) сети. https://deltaconfig.ru/ip-nat-outside/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 26 ноября, 2021 · Жалоба interface Loopback101 description Loopback-source-GLOBAL ip address 100.255.255.1 255.255.255.255 ! interface Loopback202 description Loopback-source-VRF-GW-ASXXXXX ip address 100.255.255.2 255.255.255.255 ! interface Tunnel101 description GLOBAL-to-VRF-GW-ASXXXXX ip address 100.255.254.1 255.255.255.252 ip mtu 1500 tunnel source Loopback101 tunnel destination 100.255.255.2 ! interface Tunnel202 description VRF-GW-ASXXXXX-to-GLOBAL ip vrf forwarding Inet ip address 100.255.254.2 255.255.255.252 ip mtu 1500 ip nat inside ip virtual-reassembly in tunnel source Loopback202 tunnel destination 100.255.255.1 ! interface FastEthernet0/0.101 description --Local_Office-- encapsulation dot1Q 101 ip address 192.168.10.1 255.255.255.0 no cdp enable ! interface FastEthernet0/0.333 encapsulation dot1Q 333 ip vrf forwarding Inet ip address 185.202.155.1 255.255.255.240 ip nat outside no cdp enable ! ip nat inside source list NAT interface FastEthernet0/0.333 vrf Inet overload ip route 0.0.0.0 0.0.0.0 100.255.254.2 ip route vrf Inet 192.168.10.0 255.255.255.0 100.255.254.1 ! ip access-list extended NAT permit ip 192.168.10.0 0.0.0.255 any permit ip 100.255.254.0 0.0.255.255 any Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 26 ноября, 2021 · Жалоба Не взлетело, ping из глобала: Tracing the route to 8.8.8.8 VRF info: (vrf in name/id, vrf out name/id) 1 * * * 2 * * * 3 * * * 4 * * * 5 * * * 6 * * * Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 26 ноября, 2021 · Жалоба В 26.11.2021 в 14:52, RN3DCX сказал: Не взлетело, ping из глобала: Tracing the route to 8.8.8.8 VRF info: (vrf in name/id, vrf out name/id) 1 * * * 2 * * * 3 * * * 4 * * * 5 * * * 6 * * * Пинг между внутренними адресами туннелей ходит? Все маршруты в таблицу встали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 26 ноября, 2021 · Жалоба с компа находящегося в сети 192.168.10.0 есть доступ до всех интерфейсов: тунели 100.255.254.0 255.255.255.252, лупбеки 100.255.255.0 255.255.255.252 C:\>tracert 8.8.8.8 Трассировка маршрута к 8.8.8.8 с максимальным числом прыжков 30 1 1 ms 1 ms 1 ms 192.168.10.1 2 1 ms 1 ms 1 ms 100.255.254.2 3 * * * Превышен интервал ожидания для запроса. 4 * * * Превышен интервал ожидания для запроса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 26 ноября, 2021 · Жалоба В НАТ таблице запись создается? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 26 ноября, 2021 · Жалоба В 26.11.2021 в 16:07, VolanD666 сказал: В НАТ таблице запись создается? R1_Primary#sh ip nat statistics Total active translations: 0 (0 static, 0 dynamic; 0 extended) Peak translations: 0 Outside interfaces: FastEthernet0/0.333 Inside interfaces: Tunnel202 Hits: 0 Misses: 0 CEF Translated packets: 0, CEF Punted packets: 1 Expired translations: 0 Dynamic mappings: -- Inside Source [Id: 6] access-list NAT interface FastEthernet0/0.333 refcount 0 R1_Primary#sh ip nat translation пустой вывод команды. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 26 ноября, 2021 · Жалоба Что то не вижу дефолта в мир. Он точно есть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...