kostil Опубликовано 15 сентября, 2009 Здравствуйте! Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)? Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел. Почитав теорию сделал вывод, что служебную сеть запихивать в отдельный vrf проблематично, т.к. к примеру tacacs+ и syslog не поддерживают работу с vrf в большенстве IOS. Высказывались предложения вынести пользовательский трафик в отдельный vrf а служебный оставить в основной таблице. Кто что может добавить по этому вопросу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 15 сентября, 2009 примеру tacacs+ и syslog не поддерживают работу с vrfвраки, на 12.2(33)SXI1 точно работает.вынести пользовательский трафик в отдельный vrfправильная мысль ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 16 сентября, 2009 примеру tacacs+ и syslog не поддерживают работу с vrfвраки, на 12.2(33)SXI1 точно работает.для CAT6000-SUP2/MSFC2 не вижу такого иоса в фичнавигаторе вынести пользовательский трафик в отдельный vrfправильная мысль ;) тобишь вытащить всю сеть провайдера в отдельный vrf? (не конкретно сетки каких то пользователей) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 16 сентября, 2009 Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел. А зачем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 16 сентября, 2009 (изменено) Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел. А зачем? - по максимому обезопасить управляющую сеть. - сделать ее доступной даже если имеют место проблемы в основной сети (косяк с маршрутизацией, атака и т.п.) если есть другие варианты как это можно сделать с радостью выслушаю :) Изменено 16 сентября, 2009 пользователем kostil Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 16 сентября, 2009 - по максимому обезопасить управляющую сеть. От чего? - сделать ее доступной даже если имеют место проблемы в основной сети (косяк с маршрутизацией, атака и т.п.) От этого вас vrf не спасет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 16 сентября, 2009 - по максимому обезопасить управляющую сеть.От чего? от хацкеров - сделать ее доступной даже если имеют место проблемы в основной сети (косяк с маршрутизацией, атака и т.п.) От этого вас vrf не спасет. высказывание справедливо не для всех случаев ИМХО. считаете идеологически не правильно отделять служебный трафик от клиентского? а как по вашему это реализовать не используя VRF? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 16 сентября, 2009 Может быть кто-то просто поделиться опытом организации служебной сети? Или подкинет ссылочку по теме:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 16 сентября, 2009 (изменено) Здравствуйте! Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)? Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел. Почитав теорию сделал вывод, что служебную сеть запихивать в отдельный vrf проблематично, т.к. к примеру tacacs+ и syslog не поддерживают работу с vrf в большенстве IOS. Высказывались предложения вынести пользовательский трафик в отдельный vrf а служебный оставить в основной таблице. Кто что может добавить по этому вопросу? у ASR по умолчанию (дефолт) у меня было: vrf definition Mgmt-intf ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family ! .... interface GigabitEthernet0 vrf forwarding Mgmt-intf ... ! syslog, доступ (telnet,ssh), snmp работают flow'ы, tacacs+ы со товарищами не проверял. Изменено 16 сентября, 2009 пользователем Konstantin Klimchev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 16 сентября, 2009 от хацкеров От них вам поможет простой acl. Ну и плюс copp. высказывание справедливо не для всех случаев ИМХО. Пример когда спасет - в студию. считаете идеологически не правильно отделять служебный трафик от клиентского? а как по вашему это реализовать не используя VRF? Считаю что в vrf стоит убрать менеджмент свитчей, упсов, станций и прочего говна, куда обычно идут адреса из rfc1918. Магистральные коробки накрыть acl'ями и copp'ом. Любая железка, имеющая 2 и более пути должна управляться через loopback. А первое средство до него достучаться - IGP. Все vrf и прочие vpn логически находятся выше, тем самым от этого IGP очень сильно зависят. В случаях, когда маршрутизация сломалась, всегда можно сделать telnet/ssh с соседа на адрес интерфеса. Вот тут важно грамотное планирование, которое сильно уменьшает размер management acl. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilgizk Опубликовано 17 сентября, 2009 syslog, доступ (telnet,ssh), snmp работаютflow'ы, tacacs+ы со товарищами не проверял. Netflow через этот интерфейс не экспортируется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Telesis Опубликовано 17 сентября, 2009 syslog, доступ (telnet,ssh), snmp работаютflow'ы, tacacs+ы со товарищами не проверял. Netflow через этот интерфейс не экспортируется. ip flow-export destination 1.1.1.1 9994 vrf bla-bla-bla Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 1 декабря, 2010 syslog, доступ (telnet,ssh), snmp работаютflow'ы, tacacs+ы со товарищами не проверял. Netflow через этот интерфейс не экспортируется. ip flow-export destination 1.1.1.1 9994 vrf bla-bla-bla Настройка есть, но ASR1002 не позволяет экспорт NetFlow через управляющий интерфейс - ограничение платформы... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 1 декабря, 2010 на 65х/76 (SXI, SRD ветки) работает нормально: syslog, snmp, telnet, ssh, tacacs, ntp. NetFlow - не проверял. на GSR c иос - tacacs в vrf не умеет. А по поводу дизайна - менеджмент в врф это просто удобно , особенно если есть кроме опорной сети и другое оборудование - УПСы и тп., в GRT им делать нечего, и если NMS тоже в врф, притом в другом. Но и через GRT доступ надо оставлять, просто для того, чтобы с железки на железку можно было попасть без проблем. Абонентский трафик тоже весьма желательно в врф запихать. У нас вот например в GRT кроме igp, распостаняющего адреса loopback железок и нет ничего. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 1 декабря, 2010 Я может быть не совсем понял требуемые задачи, но я в своей сети просто служебный VLAN держу между железками... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 1 декабря, 2010 <br />Я может быть не совсем понял требуемые задачи, но я в своей сети просто служебный VLAN держу между железками...<br /><br /><br /><br />Да это для тех извращенцев , кому уже плоской L2 сетью не ограничится... Для возжелавших странного вроде мплс и прочего :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AN111 Опубликовано 2 декабря, 2010 примеру tacacs+ и syslog не поддерживают работу с vrfвраки, на 12.2(33)SXI1 точно работает.для CAT6000-SUP2/MSFC2 не вижу такого иоса в фичнавигаторе вынести пользовательский трафик в отдельный vrfправильная мысль ;) тобишь вытащить всю сеть провайдера в отдельный vrf? (не конкретно сетки каких то пользователей) на Sup2 vrf работает только на OSM, IOS - max 12.2.18SXF Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hades Опубликовано 19 декабря, 2010 вынести пользовательский трафик в отдельный vrfправильная мысль ;) А как быть с внешними каналами?? интересно каким образом GRT можно импортировать в VRF(Интересует не статика), например интересно ИМХО если есть VRF в котором есть FULL VIEW - это бред или есть свои плюсы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 19 декабря, 2010 А как быть с внешними каналами?? интересно каким образом GRT можно импортировать в VRF(Интересует не статика), например интересно ИМХО если есть VRF в котором есть FULL VIEW - это бред или есть свои плюсы? ну к примеру держать в vrf full view на 7600(3bxl) - самоубийство, ткамы жрет не подецки а так мы лично весь траф клиентов держим в vrf в grt только служебный трафик igp и как тут писали прочее служебное гавно типа snmp netflow и проч. удобно не глючно стабильно а внешние каналы лучше таки приземлять на бордеры Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hades Опубликовано 19 декабря, 2010 в grt только служебный трафик igp и как тут писали прочее служебное гавно типа snmp netflow и проч.удобно не глючно стабильно а внешние каналы лучше таки приземлять на бордеры Насчет GRT действительно удобно (например copy run tftp ), получается между бордерами есть PE на который статикой направляются сети, а из VRF банально ip route vrf INET 0.0.0.0 0.0.0.0 [border IP] правильно я понимаю? p.s. / Интересно как сделано у операторов таких как RETN и других, у них все в GRT, а MPLS для бизнес клиентов???? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 19 декабря, 2010 Насчет GRT действительно удобно (например copy run tftp ), получается между бордерами есть PE на который статикой направляются сети, а из VRF банально ip route vrf INET 0.0.0.0 0.0.0.0 [border IP] правильно я понимаю? именно так и не надо заморачиваться что со сменой ios что не заработает и т.д. и т.п p.s. / Интересно как сделано у операторов таких как RETN и других, у них все в GRT, а MPLS для бизнес клиентов???? самому интересно - может коллеги поделятся опытом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hades Опубликовано 20 декабря, 2010 (изменено) p.s. / Интересно как сделано у операторов таких как RETN и других, у них все в GRT, а MPLS для бизнес клиентов???? самому интересно - может коллеги поделятся опытом? Вот есть похожее решение Интересно, каким образом совмещаются PE с BORDER. Интересно посмотреть конфигурацию R84, R85 Изменено 20 декабря, 2010 пользователем hades Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 20 декабря, 2010 Как мне помнится в сраном IOS включение SNMP приводит к появлению его на всех интерфейсах во всех vrf'ах. Плюс постоянно какие-то косяки вылазят, если пользоваться vrf'ом. Например софт загружается по tftp, но не грузится по http. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...