Jump to content
Калькуляторы

NAT+VFR+BGP на одном маршрутизаторе ?

R1_Primary#sh ip route  
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
      D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area  
      N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
      E1 - OSPF external type 1, E2 - OSPF external type 2
      i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
      ia - IS-IS inter area, * - candidate default, U - per-user static route
      o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
      + - replicated route, % - next hop override

Gateway of last resort is 100.255.254.2 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 100.255.254.2
     10.0.0.0/8 is variably subnetted, 34 subnets, 2 masks

O        10.10.0.5/32 [110/2] via 10.10.1.61, 2w0d, FastEthernet0/0.1017
                     [110/2] via 10.10.1.53, 2w0d, FastEthernet0/0.1015

O        10.10.0.5/32 [110/2] via 10.10.1.61, 2w0d, FastEthernet0/0.1017
                     [110/2] via 10.10.1.53, 2w0d, FastEthernet0/0.1015

 

Share this post


Link to post
Share on other sites

RN3DCX,

 

Прошу прощения за глупый вопрос, сама VRF Inet доступ в Интернет имеет? Просто, я не увидел у Вас 0.0.0.0/0 маршрута для VRF Inet.

 

#sh ip ro vrf Inet | i 0.0.0.0

 

#ping vrf Inet 8.8.8.8

 

Также, пожалуйста покажите вывод команд из GRT:

 

#ping 8.8.8.8 source 100.255.254.1

 

#traceroute source 100.255.254.1

Share this post


Link to post
Share on other sites

С хоста расположенного в сети 192.168.10.0/24, проходит ping и tracert до внешнего IP  185.202.155.1?

Edited by SUrov_IBM

Share this post


Link to post
Share on other sites

В 26.11.2021 в 17:10, SUrov_IBM сказал:

сама VRF Inet доступ в Интернет имеет?

Да, конечно! 

R1_Primary#ping vrf Inet 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/16/20 ms
В 26.11.2021 в 17:10, SUrov_IBM сказал:

Просто, я не увидел у Вас 0.0.0.0/0 маршрута для VRF Inet

Его нет, т.к. используется BGP
 

 

В 26.11.2021 в 17:10, SUrov_IBM сказал:

#sh ip ro vrf Inet | i 0.0.0.0

R1_Primary#sh ip ro vrf Inet | i 0.0.0.0 
Gateway of last resort is 10.10.0.9 to network 0.0.0.0
B*    0.0.0.0/0 [200/3] via 10.10.0.9, 2w1d
      100.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

 

В 26.11.2021 в 17:10, SUrov_IBM сказал:

#ping 8.8.8.8 source 100.255.254.1

R1_Primary#ping 8.8.8.8 source 100.255.254.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 100.255.254.1 
.....

 

В 26.11.2021 в 17:10, SUrov_IBM сказал:

#traceroute source 100.255.254.1

R1_Primary#traceroute 8.8.8.8 source 100.255.254.1
Type escape sequence to abort.
Tracing the route to 8.8.8.8
VRF info: (vrf in name/id, vrf out name/id)
  1 100.255.254.2 4 msec 4 msec 0 msec
  2 10.10.1.53 [MPLS: Labels 1187/1027 Exp 0] 8 msec
    10.10.1.61 [MPLS: Labels 1187/1027 Exp 0] 8 msec
    10.10.1.53 [MPLS: Labels 1187/1027 Exp 0] 8 msec
  3 185.202.113.10 8 msec 4 msec 8 msec
  4 185.202.113.17 msec 4 msec 4 msec
  5  *  *  * 
  6  *  *  * 
  7  *  *  * 
  8  *  *  * 
  9  *  *  * 
 10  *  *  * 

доступ серым сетям в мир зафильтрован на бордере 185.202.113.17

Share this post


Link to post
Share on other sites

Конфиг:

Скрытый текст

interface Loopback101
 description Loopback-source-GLOBAL
 ip address 100.255.255.1 255.255.255.255
!         
interface Loopback202
 description Loopback-source-VRF-GW-ASXXXXX
 ip address 100.255.255.2 255.255.255.255
!
interface Tunnel101
 description GLOBAL-to-VRF-GW-ASXXXXX
 ip address 100.255.254.1 255.255.255.252
 ip mtu 1500
 tunnel source Loopback101
 tunnel destination 100.255.255.2
!
interface Tunnel202
 description VRF-GW-ASXXXXX-to-GLOBAL
 ip vrf forwarding Inet
 ip address 100.255.254.2 255.255.255.252
 ip mtu 1500
 ip nat inside
 ip virtual-reassembly in
 tunnel source Loopback202
 tunnel destination 100.255.255.1
!
interface FastEthernet0/0.101

description --Local_Office--
encapsulation dot1Q 101
ip address 192.168.10.1 255.255.255.0

no cdp enable

!
interface FastEthernet0/0.333
 encapsulation dot1Q 333
 ip vrf forwarding Inet
 ip address 185.202.155.1 255.255.255.240

 ip nat outside
 no cdp enable
!
ip nat inside source list NAT interface FastEthernet0/0.333 vrf Inet overload
!
ip route 0.0.0.0 0.0.0.0 100.255.254.2
ip route vrf Inet 192.168.10.0 255.255.255.0 100.255.254.1
!         
ip access-list extended NAT
 permit ip 192.168.10.0 0.0.0.255 any
 permit ip 100.255.254.0 0.0.255.255 any

 

Share this post


Link to post
Share on other sites

В 26.11.2021 в 17:51, RN3DCX сказал:
R1_Primary#sh ip ro vrf Inet | i 0.0.0.0 
Gateway of last resort is 10.10.0.9 to network 0.0.0.0
B*    0.0.0.0/0 [200/3] via 10.10.0.9, 2w1d

C этого места, пожалуйста подробнее, у Вас трафик в Интернет, через шлюз 10.10.0.9, этот маршрут пролегает через интерфейс FastEthernet0/0.333 или через другой?

 

Покажите вывод:
#sh ip ro vrf Inet | i 10.10.0
 

 

Для того, чтобы NAT в VRF заработал, значение "ip nat outside"  должно применяться на интерфейсе, через который исходящий трафик направляется в Интернет.

 

Интерфейс FastEthernet0/0.1017 находится в VRF Inet?

Share this post


Link to post
Share on other sites

В 26.11.2021 в 18:19, SUrov_IBM сказал:

Интерфейс FastEthernet0/0.1017 находится в VRF Inet?

Если да, то снимите "ip nat outside" с FastEthernet0/0.333 и назначьте его на интерфейс FastEthernet0/0.1017.

 

И соответственно строку:

ip nat inside source list NAT interface FastEthernet0/0.333 vrf Inet overload

 

замените на:

ip nat inside source list NAT interface FastEthernet0/0.1017 vrf Inet overload

Share this post


Link to post
Share on other sites

В 26.11.2021 в 18:19, SUrov_IBM сказал:

C этого места, пожалуйста подробнее, у Вас трафик в Интернет, через шлюз 10.10.0.9, этот маршрут пролегает через интерфейс FastEthernet0/0.333 или через другой?

 

Я честно сказать понятия не имею какой маршрут next-hop выберет себе циска.

Адреса вида 10.10.0.9, 10.10.0.6, 10.10.0.5, это лупбэки использующиеся для связности с вышестоящим оборудованием.

 

 

R1_Primary#sh ip ro vrf Inet | i 10.10.0
Gateway of last resort is 10.10.0.9 to network 0.0.0.0
B*    0.0.0.0/0 [200/3] via 10.10.0.9, 2w1d
B        95.133.226.200 [200/0] via 10.10.0.9, 2w1d
B        149.126.96.4/30 [200/0] via 10.10.0.9, 2w1d
B        149.126.96.8/30 [200/0] via 10.10.0.5, 2w1d
B        149.126.96.12/30 [200/0] via 10.10.0.5, 2w1d
B        149.126.96.16/30 [200/0] via 10.10.0.5, 2w1d
B        149.126.96.20/30 [200/0] via 10.10.0.6, 2w1d
B        149.126.96.24/30 [200/0] via 10.10.0.5, 2w1d
B        149.126.96.28/30 [200/0] via 10.10.0.9, 09:38:19
B        149.126.96.40/30 [200/0] via 10.10.0.5, 2w1d
B        149.126.96.44/30 [200/0] via 10.10.0.9, 2w1d
B        149.126.96.48/30 [200/0] via 10.10.0.5, 2w1d
B        149.126.96.52/30 [200/0] via 10.10.0.9, 2w1d
B        149.126.96.60/30 [200/0] via 10.10.0.6, 2w1d
B        149.126.96.72/30 [200/0] via 10.10.0.9, 2w1d
B        149.126.96.84/30 [200/0] via 10.10.0.6, 2w1d
B        149.126.96.100/30 [200/0] via 10.10.0.5, 2w1d
B        149.126.96.104/29 [200/0] via 10.10.0.9, 2w1d
B        149.126.96.116/30 [200/0] via 10.10.0.9, 2w1d
B        149.126.96.136/30 [200/0] via 10.10.0.9, 2w1d
B        149.126.96.140/30 [200/0] via 10.10.0.5, 2w1d
B        149.126.96.144/30 [200/0] via 10.10.0.9, 2w1d
 --More-- 

 

 

@SUrov_IBM просьба, гляньте конфиг на первой странице, первый пост. Использую связку: OSPF+MPLS+BGP

 

В 26.11.2021 в 18:29, SUrov_IBM сказал:

Если да, то снимите "ip nat outside" с FastEthernet0/0.333 и назначьте его на интерфейс FastEthernet0/0.1017.

Не прокатит приколотить к какому-то конкретному интерфейсу т.к. у меня их три.

Т.е. три независимых физических трассы выхода в мир, выбор осуществляется на основе метрики + доступности интерфейса/трассы. 

Share this post


Link to post
Share on other sites

В 26.11.2021 в 18:45, RN3DCX сказал:

Не прокатит приколотить к какому-то конкретному интерфейсу т.к. у меня их три.

Если честно, вот Вы задали не простую задачку, не готов сейчас ответить, как разбросать NAT на несколько исходящих интерфейсов, нужно попробовать сымитировать ваш случай. Просто у Вас вся прелесть схемы раскрылась так сказать в процессе. ;)

Share this post


Link to post
Share on other sites

В 17.11.2021 в 04:43, SUrov_IBM сказал:

RN3DCX, здравствуйте.

 

Альтернатива есть, на первый взгляд, может выглядеть как "костыль" – с помощью Loopback интерфейсов расположенных в GRT и VRF , можно построить GRE или IP-IP тоннель между изолированными сегментами внутри CISCO и со стороны VRF имеющий доступ в WAN, настроить NAT для GRT используя сеть тоннеля.

 

P.S. В уж извините за столь костыльную придумку, но она работает. ;)

 

interface Loopback10
 description Loopback-source-GLOBAL
 ip address 10.255.255.1 255.255.255.255
!
interface Loopback20
 description Loopback-source-VRF-GW-ASXXXXX
 ip address 10.255.255.3 255.255.255.255
!
interface Tunnel30
 description GLOBAL-to-VRF-GW-ASXXXXX
 ip address 10.255.254.9 255.255.255.252
 ip mtu 1500
 tunnel source Loopback10
 tunnel destination 10.255.255.3
!
interface Tunnel35
 description VRF-GW-ASXXXXX-to-GLOBAL
 ip vrf forwarding VRF-GW-ASXXXXX
 ip address 10.255.254.10 255.255.255.252
 ip mtu 1500
 tunnel source Loopback20
 tunnel destination 10.255.255.1
 

А прчему костыльная то? Это вполне нормальная практика. Там можно хоть OSPF + PL запустить.

Share this post


Link to post
Share on other sites

RN3DCX,

 

Хотел спросить, у Вас есть свободные "белые" IP адреса в сети? Если да, то можно значительно упросить задачку, назначив туннелю между GRT и VRF  "белые" IP адреса /30 и организовать NAT со стороны GRT опираясь на "белые" IP адрес туннеля.

Share this post


Link to post
Share on other sites

В 27.11.2021 в 23:11, RN3DCX сказал:

С этим пока проблем нет!

RN3DCX,

 

Это намного упрощает задачу. Выделите подсеть под тоннель, условно - 149.126.96.208/30, маршрутизировав с вышестоящего оборудования в сторону VRF на CISCO.

 

Уберите существующую конфигурацию для NAT:

 

interface Tunnel202
no ip nat inside
!
interface FastEthernet0/0.333
no ip nat outside
!
no ip nat inside source list NAT interface FastEthernet0/0.333 vrf Inet overload
!
no ip access-list extended NAT
!
no ip route 0.0.0.0 0.0.0.0 100.255.254.2

 


Назначьте подсеть на адреса тоннеля между GRT и VRF и пропишите статический маршрут 0.0.0.0/0:

 

interface Tunnel101
 description GLOBAL-to-VRF-GW-ASXXXXX
 ip address 149.126.96.209 255.255.255.252
 ip mtu 1500
 tunnel source Loopback101
 tunnel destination 100.255.255.2
!
interface Tunnel202
 description VRF-GW-ASXXXXX-to-GLOBAL
 ip vrf forwarding Inet
 ip address 149.126.96.210 255.255.255.252
 ip mtu 1500
 tunnel source Loopback202
 tunnel destination 100.255.255.1

!

ip route 0.0.0.0 0.0.0.0 149.126.96.210

 

B проверьте доступность Интернет из GRT:
#ping 8.8.8.8 source 149.126.96.209

 

Если всё нормально, то назначаем NAT для сети 192.168.10.0/24 стандартным образом:

 

interface Tunnel101
 description GLOBAL-to-VRF-GW-ASXXXXX
 ip address 149.126.96.209 255.255.255.252
 ip mtu 1500
 ip nat outside
 tunnel source Loopback101
 tunnel destination 100.255.255.2
!
interface FastEthernet0/0.101
description --Local_Office--
encapsulation dot1Q 101
ip address 192.168.10.1 255.255.255.0
ip nat inside
no cdp enable
!
ip access-list extended NAT
 permit ip 192.168.10.0 0.0.0.255 any
!
ip nat inside source list NAT interface Tunnel101 overload

Edited by SUrov_IBM

Share this post


Link to post
Share on other sites

SUrov_IBMНе взлетело....
 

Скрытый текст

interface Loopback101
description Loopback-source-GLOBAL
ip address 100.255.255.1 255.255.255.255
!          
interface Loopback202
description Loopback-source-VRF-GW-ASXXXXX
ip address 100.255.255.2 255.255.255.255
!
interface Tunnel101
description GLOBAL-to-VRF-GW-ASXXXXX
ip address
149.126.96.1 255.255.255.252
ip mtu 1500
tunnel source Loopback101
tunnel destination 100.255.255.2
!
interface Tunnel202
description VRF-GW-ASXXXXX-to-GLOBAL
ip vrf forwarding Inet
ip address
149.126.96.2 255.255.255.252
ip mtu 1500
tunnel source Loopback202
tunnel destination 100.255.255.1


ip route 0.0.0.0 0.0.0.0 149.126.96.2

 

 

 

 

R1_Primary#traceroute 8.8.8.8 source 149.126.96.1
Type escape sequence to abort.
Tracing the route to 8.8.8.8
VRF info: (vrf in name/id, vrf out name/id)
 1 149.126.96.2 4 msec 4 msec 0 msec
 2  *  *  *  
 3  *  *  *

Share this post


Link to post
Share on other sites

В 06.12.2021 в 12:54, RN3DCX сказал:

#traceroute 8.8.8.8 source 149.126.96.1
Type escape sequence to abort.
Tracing the route to 8.8.8.8
VRF info: (vrf in name/id, vrf out name/id)
 1 149.126.96.2 4 msec 4 msec 0 msec
 2  *  *  *  
 3  *  *  *

RN3DCX,

 

Странно, что не взлетело на прямых IP адресах. Скорей всего, где-то на вышестоящем сегменте, в маршрутизации закралась ошибка. Поэтому, чтобы заранее не нагромождать конфигурацию, на всякий пожарный и просил Вас проверить из GRT доступность Интернет, до настройки конфигурации NAT. К сожалению, не знаю устройства Вашего вышестоящего сегмента за VRF, но нужно добиться, чтобы сеть 149.126.96.0/30 с него была доступна.

Share this post


Link to post
Share on other sites

В 06.12.2021 в 16:28, SUrov_IBM сказал:

RN3DCX,

 

Странно, что не взлетело на прямых IP адресах. Скорей всего, где-то на вышестоящем сегменте, в маршрутизации закралась ошибка.

Подсеть используемую  в качестве туннелирования снял с рабочего интерфейса искомой циски и перекинул её на  Tunnel101 и  Tunnel102.

Share this post


Link to post
Share on other sites

В 06.12.2021 в 17:46, RN3DCX сказал:

Подсеть используемую  в качестве туннелирования снял с рабочего интерфейса искомой циски и перекинул её на  Tunnel101 и  Tunnel102.

OK, хорошо. Тогда, давайте поступим следующим образом:


Для теста, погасим тоннельные интересы Tunnel101 и Tunnel202 (interface shutdown).
Уберём с тоннельных интересов Tunnel101 и Tunnel202 выданные IP адреса (ip address).

Уберём из GRT 0.0.0.0/0 to 149.126.96.2 (no ip route 0.0.0.0 0.0.0.0 149.126.96.2).

Убедимся, что сеть 149.126.96.0/30 не пересекается с чем-то другим, в пределах VRF и GRT данной CISCO.

 

В пределах VRF:
#sh ip ro vrf Inet 149.126.96.0 255.255.255.252
% Network not in table

В пределах GRT:
#sh ip ro 149.126.96.0 255.255.255.252
% Network not in table

 

Если сеть 149.126.96.0/30 не пересекается с чем-то другим (% Network not in table), вернём конфигурацию на тоннельные интересы и GRT 0.0.0.0/0 to 149.126.96.2.

 

В 06.12.2021 в 12:54, RN3DCX сказал:

interface Loopback101
description Loopback-source-GLOBAL
ip address 100.255.255.1 255.255.255.255
!          
interface Loopback202
description Loopback-source-VRF-GW-ASXXXXX
ip address 100.255.255.2 255.255.255.255
!
interface Tunnel101
description GLOBAL-to-VRF-GW-ASXXXXX
ip address
149.126.96.1 255.255.255.252
ip mtu 1500
tunnel source Loopback101
tunnel destination 100.255.255.2
!
interface Tunnel202
description VRF-GW-ASXXXXX-to-GLOBAL
ip vrf forwarding Inet
ip address
149.126.96.2 255.255.255.252
ip mtu 1500
tunnel source Loopback202
tunnel destination 100.255.255.1


ip route 0.0.0.0 0.0.0.0 149.126.96.2

 

После этого, проверим доступность Интернет из VRF от IP адреса 149.126.96.2 (Tunnel202):
#ping vrf Inet 8.8.8.8 source 149.126.96.2

 

Если тест – OK, то поменяем IP адреса на Tunnel101 и Tunnel202 местами. Tunnel101 - IP 149.126.96.2, Tunnel202 - IP 149.126.96.1.

 

После чего, повторим тест из VRF от IP адреса 149.126.96.1 (Tunnel202):
#ping vrf Inet 8.8.8.8 source 149.126.96.1

Share this post


Link to post
Share on other sites

В 07.12.2021 в 00:36, SUrov_IBM сказал:

После этого, проверим доступность Интернет из VRF от IP адреса 149.126.96.2 (Tunnel202):
#ping vrf Inet 8.8.8.8 source 149.126.96.2

Желательно, так же снять трассировки:
#traceroute vrf Inet 8.8.8.8 source 149.126.96.2
 

И соответственно:

В 07.12.2021 в 00:36, SUrov_IBM сказал:

После чего, повторим тест из VRF от IP адреса 149.126.96.1 (Tunnel202):
#ping vrf Inet 8.8.8.8 source 149.126.96.1

#traceroute vrf Inet 8.8.8.8 source 149.126.96.1

Share this post


Link to post
Share on other sites

В 07.12.2021 в 09:15, VolanD666 сказал:

почему на 149.126.96.2:https отвечает железка хуавей?

Предположу, что ip адрес в примере взят от фонаря =) в целях конспирации...

Share this post


Link to post
Share on other sites

В 07.12.2021 в 15:28, RN3DCX сказал:

Предположу, что ip адрес в примере взят от фонаря =) в целях конспирации...

В следующий раз, пожалуйста, используйте крестики. Сбивает с толку.

 

Настоящий ИПшник доступен извне?

Share this post


Link to post
Share on other sites

В 07.12.2021 в 00:47, SUrov_IBM сказал:

Желательно, так же снять трассировки:
#traceroute vrf Inet 8.8.8.8 source 149.126.96.2

 

R1_Primary#traceroute vrf Inet 8.8.8.8 source 149.126.96.2    (Туннель находится в vrf forwarding Inet)

Скрытый текст

Type escape sequence to abort.
Tracing the route to 8.8.8.8
VRF info: (vrf in name/id, vrf out name/id)
  1 10.10.1.53 [MPLS: Labels 1187/1027 Exp 0] 8 msec
    10.10.1.61 [MPLS: Labels 1187/1027 Exp 0] 0 msec
    10.10.1.53 [MPLS: Labels 1187/1027 Exp 0] 4 msec
  2 1XX.6X.2X.18 8 msec 4 msec 8 msec
  3 1XX.6X.2X.17 0 msec 4 msec 0 msec
  4 1XX.3X.2X.232 20 msec 4 msec 4 msec
  5 108.170.250.34 0 msec
    108.170.250.130 4 msec
    108.170.250.83 4 msec
  6 172.253.66.116 [MPLS: Label 25224 Exp 4] 16 msec
    216.239.51.32 [MPLS: Label 212061 Exp 4] 16 msec 20 msec
  7 216.239.43.20 16 msec
    74.125.253.94 16 msec
    108.170.232.251 16 msec
  8 72.14.237.199 20 msec
    209.85.254.179 20 msec

 

 

R1_Primary#traceroute 8.8.8.8 source 149.126.96.1          (Туннель находится в глобале)

Скрытый текст

Type escape sequence to abort.
Tracing the route to 8.8.8.8
VRF info: (vrf in name/id, vrf out name/id)
 1 185.222.154.2 0 msec 0 msec 4 msec
 2 10.10.1.61 [MPLS: Labels 1187/1027 Exp 0] 4 msec
   10.10.1.53 [MPLS: Labels 1187/1027 Exp 0] 8 msec
   10.10.1.61 [MPLS: Labels 1187/1027 Exp 0] 4 msec
 3
1XX.6X.2X.18 8 msec 4 msec 8 msec
 4
1XX.6X.2X.17 4 msec 4 msec 0 msec
 5
1XX.3X.2X.232 4 msec 4 msec 4 msec
 6 108.170.250.34 4 msec
   108.170.250.99 8 msec *  
 7  *  
   172.253.66.116 [MPLS: Label 25430 Exp 4] 20 msec
   216.239.51.32 [MPLS: Label 226068 Exp 4] 20 msec
 8 172.253.66.110 20 msec
   216.239.57.222 20 msec
   74.125.253.94 20 msec
 9 172.253.79.113 20 msec
   216.239.58.65 20 msec
   216.239.54.201 24 msec

 

 

В 07.12.2021 в 00:36, SUrov_IBM сказал:

то поменяем IP адреса на Tunnel101 и Tunnel202 местами. Tunnel101 - IP 149.126.96.2, Tunnel202 - IP 149.126.96.1.

IP address conflicts with gateway ip address in static routing table

 

P.S.

Доступ в мир доступен через глобал. Мож тогда и NAT заработал!? - ушел проверять....
 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.