Cisco 3750 роутинг между vrf

[apb]

Приветствую.

Вопрос касается маршрутизации между vrf или заблуждаюсь с концепцией 🙂

Развёл сеть на vlan в зависимости от принадлежности (фз/функционал/тип)

Получил энное количеств vlan. Авторизация на интернет шлюзе привела к необходимости сообщать шлюзу про мак (путались пользователи, слипались по ip)

В итоге, так как "терялись" маки на этапе передачи между svi, реализовал vrf для каждого vlan - на шлюзе получил ip=член vlan - получил полностью изолированные сегменты, но роутинг получился на внешнем роутере (внешнем в отношении cisco). Работать то работает, но идея получилась "не красиво" так как там льётся и "внутренний трафик".

В варианте дефолтных роутов (без vrf) там интерфейс принадлежащий 3750 может передавать другому интерфейсу устройства. Ограничить роуты в этом случае - ACL.

Что касается vrf - они друг друга не видят. Правила "роута" с ними не работают, таким образом "пользователь" к "серверному" vlan должен идти через интернет-роутер (а не внутри 3750, в чём была идея).
Варианты типа 
ip route vrf TYPE-1 X.X.X.X Y.Y.Y.Y Z.Z.Z.Z

не работают между vrf, в том числе и с указанием global и vlanZZZ, или требуют дополнительных указаний, о которых я не в курсе.

 

Просьба, если решали - подсказать алгоритм работы с vrf в части роутов "без выхода" за пределы 3750

[TheUser]

show ip route vrf смотрели? 

 

[jffulcrum]

Гуглите Яндексите про  VRF Leaking

[apb]

6 часов назад, TheUser сказал:

show ip route vrf смотрели? 

 

Приветствую.
Как и описал выше - не получается ip route vrf VFR-NAME 192.168.1.0 255.255.255.0 192.168.1.1 ...
и указание "global" в конце и указание vlanXXX в качестве целевой точки
и указание ARPA вне vrf 

[apb]

6 часов назад, jffulcrum сказал:

Гуглите Яндексите про  VRF Leaking

Спасибо
Надеялся на что-то менее замороченное 🙂 но по ходу вариантов нет ...

Ещё раз спасибо

[vurd]

Т.е. всё работало 

Потом руки зачесались

Теперь у нас на сети врф с раут ликингом, в котором разобраться не может даже автор 

Отлична, так держать

 

Я у себя эту проблему решил путем добавления слова врф в стоп лист, поближе к словам пбр, стп и подобным 

[TheUser]

19 минут назад, vurd сказал:

Я у себя эту проблему решил путем добавления слова врф в стоп лист, поближе к словам пбр, стп и подобным 

Совершенно напрасно, скажу я Вам. Для сегментирования сети - самое то.

Что может быть бюджетней 3750 + сети на управляемых коммутаторах при сопоставимом уровне удобства?

[apb]

 

В 09.03.2026 в 09:57, vurd сказал:

Т.е. всё работало 

Потом руки зачесались

Теперь у нас на сети врф с раут ликингом, в котором разобраться не может даже автор 

Отлична, так держать

 

Я у себя эту проблему решил путем добавления слова врф в стоп лист, поближе к словам пбр, стп и подобным 

 

Нет ... не сломал ...
в сети vlan выстроил ... получил результат ... проанализировал, почитал обновы к ФЗ, начал искать пути реализации, нашёл .... взял за основу vlan незагруженные ... по документации должно было хватить ip route vrf, но оказалось оборудование необходимо "от новее 6500" (контекст cisco). 

А вот как без STP - тут вопрос ... в сети более 500 пользаков ... всегда обезъянка с гранатой найдётся.
 

 

В 09.03.2026 в 10:20, TheUser сказал:

Совершенно напрасно, скажу я Вам. Для сегментирования сети - самое то.

Что может быть бюджетней 3750 + сети на управляемых коммутаторах при сопоставимом уровне удобства?

Ну .... допустим SNR типа S2995G ... 🙂
На одной из площадок "свежих" как ядро ... 

Но Вы правы ... "есть что-то" ... но это "что-то" находится "где то" ... а задача тут.
Буду прививать дополнительный функционал 🙂

 

Спасибо за комментарии!

[sol]

Один я не понял какую задачу решал автор ?

[vurd]

4 часа назад, sol сказал:

Один я не понял какую задачу решал автор ?

У него было всё в одной подсети. Он сегментировал. Свёл всё на роутер стоящий за 3750. Роутер лёг. А как дальше на 3750 появились VRF я не понял.

[nixx]

2 часа назад, vurd сказал:

У него было всё в одной подсети. Он сегментировал. Свёл всё на роутер стоящий за 3750. Роутер лёг. А как дальше на 3750 появились VRF я не понял.

а дальше у него начали пользователи слипаться по ip.

я - честно - не понял смысла написанного, не насоздавал же он одинаковых подсетей на разных интерфейсах? да и не будет такое работать в принципе... а вот с vrf'ами - вполне ))

[VolanD666]

А то что на 3750 врф-ов не бесконечное число? И ваще схема костыльная и ее возможно кому-то потом переделать на правильную?

[TheUser]

50 минут назад, VolanD666 сказал:

схема костыльная и ее возможно кому-то потом переделать на правильную

А какая правильная? На микротиках?

[sol]

3 часа назад, TheUser сказал:

На микротиках?

Тише, тише! Накличете!

[sirmax]

В 09.03.2026 в 08:57, vurd сказал:

Т.е. всё работало 

Потом руки зачесались

Теперь у нас на сети врф с раут ликингом, в котором разобраться не может даже автор 

Отлична, так держать

 

Я у себя эту проблему решил путем добавления слова врф в стоп лист, поближе к словам пбр, стп и подобным 

Это же проблема документирования?

(с тезисом что врф как и любого оверижениринга нужно избегать я более чем согласен, если можно делать проще, то нужно делать проще)

[apb]

В 10.03.2026 в 20:34, vurd сказал:

У него было всё в одной подсети. Он сегментировал. Свёл всё на роутер стоящий за 3750. Роутер лёг. А как дальше на 3750 появились VRF я не понял.

Была сеть вроде с vlan, но роуты были через дефолт (vlan1) через него же были широковещательные запросы ... каждый комут в сети роутил сам через vlan1

Сейчас роуты внутри vlan не допускают "коротких маршрутов" между vlan (бух сеть, инженерная сеть, сеть оборудования и прочие специфические сети изолированы и только через ядро) .... остался последний маршрут - в роутер внешнего сегмента - там приходят удалённые сети и vpn-пользователи. У всех различные доступа. Роут через один ip или один vlan на всю сеть - как потеря данных об источниках (работа пограничных интерфейсов), так и потенциальная уязвимость. >> создание итернет-шлюзе виртуальных интерфейсов для всех сетей, что должны иметь право на использование данного уровня соединений.  3750 не даёт в роутах использовать "from source" .... как минимум. Начал искать то, что позволит сделать default route для адресных пулов по отдельности - нашёл вариант option 121, но это дало недопустимый дополнительный эффект, да и интерпретировался linux системами правильно, но windows-системы его не воспринимали. Тогда нашёл vrf - выглядело всё не так чтобы очень сложно. Введённый vrf дал необходимый эффект с маршрутами, но роутинг между vrf оказался не реализован в используемом в ЛВС оборудовании. Замена ядра на текущем этапе не представляется возможным, но вывод маршрутов является необходимым.
 

[apb]

В 10.03.2026 в 20:34, vurd сказал:

У него было всё в одной подсети. Он сегментировал. Свёл всё на роутер стоящий за 3750. Роутер лёг. А как дальше на 3750 появились VRF я не понял.

И да, роутер не лёг
Нагрузка корректная.
Инциденты связанные с паразитными действием пользователей уменьшена до 0 (оборудование блокирует задействованные порты/коммуты и сообщает).
Выделены лабораторные сети, тогда когда разрабы (прогеры и прогеры-эмбиды) гасят сеть специфическим трафиком (настройки на маршрутах в пределах вланов).
Сложно пройти в сети с производственным оборудованием и системами мониторинга не принадлежа к ним ... 

Вопрос с тем что пришёл сюда:
 

Может я не нашёл каких вариантов для простого использования 3750 для реализации поставленных целей, минуя добавление или замену оборудования - просил подсказать, если кто решал подобное, так как железка "не новая" и я не первый и действительно необходимо использовать "простое" тогда когда возможно, но сейчас найти такого я не смог.

 

 

В 12.03.2026 в 19:57, VolanD666 сказал:

А то что на 3750 врф-ов не бесконечное число? И ваще схема костыльная и ее возможно кому-то потом переделать на правильную?

Буду благодарен, если подскажите правильную!
Чтобы вопрос не был "пространным" и не снисходить до перечня различных ФЗ - это жёсткое деление на vlan, сопоставление ip+mac на любом этапе трансляции пакета - в пределах того вопроса, что сейчас пытаюсь реализовать.
Оборудование в сети это оборудование hp enterprice/ aruba/dlink/snr/cisco - это про возможность использования специфических технологий внутри вендора.

[apb]

В целом рассчитывал на то что смогу использовать :
ip route vrf ADM 0.0.0.0 0.0.0.0 192.168.22.22 #во внешний шлюз в пределах vlan (это работает)
ip route vrf ADM 192.168.0.0 255.255.0.0 192.168.22.21 #внутри 3750 шлюз в пределах ЛВС для vlan22 (тут на 22.21 пакеты есть, а вот  до другой vlan в другом vrf пакеты не доходят, также не нашёл где/как увидеть по какой причине оно терминирует пакеты)
ip route vrf ADM 192.168.33.0 255.255.0.0 192.168.33.21 #внутри 3750 шлюз в пределах ЛВС для для конкретной vlan33 из vlan22
Ничего похожего не сработало

Использовать глобальный маршрут типа 
ip route vrf ADM 192.168.33.0 255.255.0.0 192.168.33.21 vlan33
или
ip route vrf ADM 192.168.33.0 255.255.0.0 vlan33
Также не применился, то есть устройство маршрут приняло, но использовать его не стало.

[apb]

В 10.03.2026 в 22:51, nixx сказал:

а дальше у него начали пользователи слипаться по ip.

я - честно - не понял смысла написанного, не насоздавал же он одинаковых подсетей на разных интерфейсах? да и не будет такое работать в принципе... а вот с vrf'ами - вполне ))

На внешнем роутере подсети тестовые через vrf (это сейчас только малонагруженные сети) при передаче с 3750 - отдельные пакеты приходят на регистрацию с мак-адресом 3750 и пока не разобрался почему так происходит. Все тестовые устройства что использовал - приходят с со своими мак-адресами. Другие устройства - пакеты иногда приходят с мак-адресом 3750, а не со своим персональным. Шлюз их собирает на одном мак-адресе с разными ip.

 

1 минуту назад, apb сказал:

На внешнем роутере подсети тестовые через vrf (это сейчас только малонагруженные сети) при передаче с 3750 - отдельные пакеты приходят на регистрацию с мак-адресом 3750 и пока не разобрался почему так происходит. Все тестовые устройства что использовал - приходят с со своими мак-адресами. Другие устройства - пакеты иногда приходят с мак-адресом 3750, а не со своим персональным. Шлюз их собирает на одном мак-адресе с разными ip.

Теоретически, такой пакет может появиться при миграции пакета между SVI, но такого быть не должно по условиям работы vrf

[sol]

[sirmax]

В 08.03.2026 в 15:13, apb сказал:

Приветствую.

Вопрос касается маршрутизации между vrf или заблуждаюсь с концепцией 🙂

Развёл сеть на vlan в зависимости от принадлежности (фз/функционал/тип)

Получил энное количеств vlan. Авторизация на интернет шлюзе привела к необходимости сообщать шлюзу про мак (путались пользователи, слипались по ip)

В итоге, так как "терялись" маки на этапе передачи между svi, реализовал vrf для каждого vlan - на шлюзе получил ip=член vlan - получил полностью изолированные сегменты, но роутинг получился на внешнем роутере (внешнем в отношении cisco). Работать то работает, но идея получилась "не красиво" так как там льётся и "внутренний трафик".

В варианте дефолтных роутов (без vrf) там интерфейс принадлежащий 3750 может передавать другому интерфейсу устройства. Ограничить роуты в этом случае - ACL.

Что касается vrf - они друг друга не видят. Правила "роута" с ними не работают, таким образом "пользователь" к "серверному" vlan должен идти через интернет-роутер (а не внутри 3750, в чём была идея).
Варианты типа 
ip route vrf TYPE-1 X.X.X.X Y.Y.Y.Y Z.Z.Z.Z

не работают между vrf, в том числе и с указанием global и vlanZZZ, или требуют дополнительных указаний, о которых я не в курсе.

 

Просьба, если решали - подсказать алгоритм работы с vrf в части роутов "без выхода" за пределы 3750

Вы можете нарисовать минимальную схему?

ну там два отдела (если их 10) впн-клиенты, сервер (вместо серверов)

я пока не очень понимаю сути вашей проблемы 

 

Вообще то что вы называете VRF циска называет VRF-lite (без mpls) это может помочь в гуглении.

 

но все еще не понятно что именно вы хотите получить на выходе.

 

для простоты, думайте про разные vrf как про разные роутеры, физически разные. Термин «роутер» или «l3 свитч» в контексте темы означает одно и тоже, 3750 вполне себе роутер если вы используете SVI 

 

я использовал vrf в случае когда мне для двух групп клиентов нужно было отдавать разный шлюз, что бы те, у кого реальник шли мимо железки которая делает NAT, но в контексте сети предприятия я не вижу куда можно приткнуть vrf , а поддержка конфигурации с route leaking , если вы не задокументировали сразу, будет адом. 

[nixx]

Цитата

На внешнем роутере подсети тестовые через vrf (это сейчас только малонагруженные сети) при передаче с 3750 - отдельные пакеты приходят на регистрацию с мак-адресом 3750 и пока не разобрался почему так происходит.

а вы в курсе, что при роутинге мак-адрес пакета меняется? )) а если вы их свитчуете на вышестоящий роутер, то зачем вам вообще vrf и роутинг? ))

 

мне так видится, что человеку дали задание "соответствовать требованиям по защите информации"

Цитата

не снисходить до перечня различных ФЗ - это жёсткое деление на vlan, сопоставление ip+mac на любом этапе трансляции пакета

ну и он пошел соответствовать в силу своих знаний и убеждений.

[vurd]

Мне кажется ТС не понимает, почему мы тут его в третьем лице обсуждаем. Надо пояснить причину.

1.  Нихера непонятна схема и задача

2. Нет понимания азов коммутации и маршрутизации

 

Начать надо с прочтения СДСМ до раздела "Статическая маршуртизация", включительно. После нужно нарисовать схему и описать желаемый результат, без всяких слипаний по айпи и прочих собраний шлюза на одном мак адресе.

 

А так как этого всего нет, то самым глупым и самым проблемным, для дальнейшей эксплуатации, будет решение начать использовать такие вещи как VRF, да еще и с раут-ликингом.

[Ivan_83]

7 hours ago, sirmax said:

в контексте сети предприятия я не вижу куда можно приткнуть vrf

Я по работе столкнулся с тем что некто накупил чужих бизнесов и у него встала задача как сотрудникам из головного офиса ходить во все эти купленные и филиальные сети из главного офиса, притом что сети дочерние имеют пересекающуюся адресацию.

В общем нам пришлось допиливать продукт чтобы в логине можно было указать имя присвоенное врф, а дальше там на каждый врф по влан+таблица маршрутизации и setfib() на сокет исходящего соединения.

[apb]

16 часов назад, vurd сказал:

Мне кажется ТС не понимает, почему мы тут его в третьем лице обсуждаем. Надо пояснить причину.

1.  Нихера непонятна схема и задача

2. Нет понимания азов коммутации и маршрутизации

 

Начать надо с прочтения СДСМ до раздела "Статическая маршуртизация", включительно. После нужно нарисовать схему и описать желаемый результат, без всяких слипаний по айпи и прочих собраний шлюза на одном мак адресе.

 

А так как этого всего нет, то самым глупым и самым проблемным, для дальнейшей эксплуатации, будет решение начать использовать такие вещи как VRF, да еще и с раут-ликингом.

Прошу прощения, если изложил вопрос несколько сумбурно .... 

Как выглядит (в общих чертах) схема в приложении.

Вопрос в части "link to gate vlan3" - на этом этапе пакеты уходят в vlan 3 и приходят на интерфейс интернет-роутера как пакеты 3 vlan с некого ip.

При роутинге из vlan на интерфейс интернет-шлюза, пакет сохраняет все свои реквизиты, но без включения vrf мне не удалось направить пакет из vlan на свой ip адрес роутера. ПО умолчанию
ip route 0.0.0.0 0.0.0.0 192.168.3.11 # при vlan 3 доступна всем

Но без vrf реализацию параллельного правила для vlan 4 я просто не представляю как реализовать маршрут
ip route 0.0.0.0 0.0.0.0 192.168.4.11 # при vlan 4, при существовании ещё десятка маршрутов в этот роутер.

Но при использовании vrf я получаю роутинг внутри vlan на свой "default GW", но вместе с тем, все пакеты между vlan, если таковые появляются, проходят через интерфейсы роутера интернет-сегмента, чего я хотел избежать.

 

Вопрос мой был связан с тем, есть ли альтернативный вариант роутинга пакетов при сохранении структуры их движения?

Прошу пояснить, как в данном варианте помогут основы из СДСМ?