[kostil]

Здравствуйте!

 

Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?

Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел.

 

Почитав теорию сделал вывод, что служебную сеть запихивать в отдельный vrf проблематично, т.к. к примеру tacacs+ и syslog не поддерживают работу с vrf в большенстве IOS.

Высказывались предложения вынести пользовательский трафик в отдельный vrf а служебный оставить в основной таблице.

 

Кто что может добавить по этому вопросу?

[Stak]

примеру tacacs+ и syslog не поддерживают работу с vrf

враки, на 12.2(33)SXI1 точно работает.

вынести пользовательский трафик в отдельный vrf

правильная мысль ;)

[kostil]

примеру tacacs+ и syslog не поддерживают работу с vrf

враки, на 12.2(33)SXI1 точно работает.

для CAT6000-SUP2/MSFC2 не вижу такого иоса в фичнавигаторе

 

вынести пользовательский трафик в отдельный vrf

правильная мысль ;)

тобишь вытащить всю сеть провайдера в отдельный vrf? (не конкретно сетки каких то пользователей)

[tgz]

Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?

Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел.

А зачем?

 

[kostil]

Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?

Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел.

А зачем?

- по максимому обезопасить управляющую сеть.

- сделать ее доступной даже если имеют место проблемы в основной сети (косяк с маршрутизацией, атака и т.п.)

 

если есть другие варианты как это можно сделать с радостью выслушаю :)

Изменено 16 сентября, 2009 пользователем kostil

[tgz]

- по максимому обезопасить управляющую сеть.

От чего?

 

- сделать ее доступной даже если имеют место проблемы в основной сети (косяк с маршрутизацией, атака и т.п.)

От этого вас vrf не спасет.

 

 

[kostil]

- по максимому обезопасить управляющую сеть.

От чего?

от хацкеров

 

- сделать ее доступной даже если имеют место проблемы в основной сети (косяк с маршрутизацией, атака и т.п.)

От этого вас vrf не спасет.

высказывание справедливо не для всех случаев ИМХО.

 

считаете идеологически не правильно отделять служебный трафик от клиентского? а как по вашему это реализовать не используя VRF?

 

[kostil]

Может быть кто-то просто поделиться опытом организации служебной сети?

Или подкинет ссылочку по теме:)

 

[Konstantin Klimchev]

Здравствуйте!

 

Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?

Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел.

 

Почитав теорию сделал вывод, что служебную сеть запихивать в отдельный vrf проблематично, т.к. к примеру tacacs+ и syslog не поддерживают работу с vrf в большенстве IOS.

Высказывались предложения вынести пользовательский трафик в отдельный vrf а служебный оставить в основной таблице.

 

Кто что может добавить по этому вопросу?

у ASR по умолчанию (дефолт) у меня было:

 

vrf definition Mgmt-intf
!
address-family ipv4
exit-address-family
!
address-family ipv6
exit-address-family
!

....
interface GigabitEthernet0
vrf forwarding Mgmt-intf
...
!

 

syslog, доступ (telnet,ssh), snmp работают

flow'ы, tacacs+ы со товарищами не проверял.

Изменено 16 сентября, 2009 пользователем Konstantin Klimchev

[tgz]

от хацкеров

От них вам поможет простой acl. Ну и плюс copp.

 

высказывание справедливо не для всех случаев ИМХО.

Пример когда спасет - в студию.

 

считаете идеологически не правильно отделять служебный трафик от клиентского? а как по вашему это реализовать не используя VRF?

Считаю что в vrf стоит убрать менеджмент свитчей, упсов, станций и прочего говна, куда обычно идут адреса из rfc1918. Магистральные коробки накрыть acl'ями и copp'ом.

Любая железка, имеющая 2 и более пути должна управляться через loopback. А первое средство до него достучаться - IGP. Все vrf и прочие vpn логически находятся выше, тем самым от этого IGP очень сильно зависят. В случаях, когда маршрутизация сломалась, всегда можно сделать telnet/ssh с соседа на адрес интерфеса. Вот тут важно грамотное планирование, которое сильно уменьшает размер management acl.

 

 

[ilgizk]

syslog, доступ (telnet,ssh), snmp работают

flow'ы, tacacs+ы со товарищами не проверял.

Netflow через этот интерфейс не экспортируется.

 

[Telesis]

syslog, доступ (telnet,ssh), snmp работают

flow'ы, tacacs+ы со товарищами не проверял.

Netflow через этот интерфейс не экспортируется.

ip flow-export destination 1.1.1.1 9994 vrf bla-bla-bla

[UglyAdmin]

syslog, доступ (telnet,ssh), snmp работают

flow'ы, tacacs+ы со товарищами не проверял.

Netflow через этот интерфейс не экспортируется.

ip flow-export destination 1.1.1.1 9994 vrf bla-bla-bla

Настройка есть, но ASR1002 не позволяет экспорт NetFlow через управляющий интерфейс - ограничение платформы...

[Stak]

на 65х/76 (SXI, SRD ветки) работает нормально: syslog, snmp, telnet, ssh, tacacs, ntp.

NetFlow - не проверял.

на GSR c иос - tacacs в vrf не умеет.

 

А по поводу дизайна - менеджмент в врф это просто удобно , особенно если есть кроме опорной сети и другое оборудование - УПСы и тп., в GRT им делать нечего, и если NMS тоже в врф, притом в другом. Но и через GRT доступ надо оставлять, просто для того, чтобы с железки на железку можно было попасть без проблем.

Абонентский трафик тоже весьма желательно в врф запихать.

У нас вот например в GRT кроме igp, распостаняющего адреса loopback железок и нет ничего.

[dignity]

Я может быть не совсем понял требуемые задачи, но я в своей сети просто служебный VLAN держу между железками...

[Stak]

<br />Я может быть не совсем понял требуемые задачи, но я в своей сети просто служебный VLAN держу между железками...<br />

<br /><br /><br />

Да это для тех извращенцев , кому уже плоской L2 сетью не ограничится... Для возжелавших странного вроде мплс и прочего :)

[AN111]

примеру tacacs+ и syslog не поддерживают работу с vrf

враки, на 12.2(33)SXI1 точно работает.

для CAT6000-SUP2/MSFC2 не вижу такого иоса в фичнавигаторе

 

вынести пользовательский трафик в отдельный vrf

правильная мысль ;)

тобишь вытащить всю сеть провайдера в отдельный vrf? (не конкретно сетки каких то пользователей)

на Sup2 vrf работает только на OSM, IOS - max 12.2.18SXF

[hades]

вынести пользовательский трафик в отдельный vrf

правильная мысль ;)

А как быть с внешними каналами?? интересно каким образом GRT можно импортировать в VRF(Интересует не статика), например интересно ИМХО если есть VRF в котором есть FULL VIEW - это бред или есть свои плюсы?

[alks]

А как быть с внешними каналами?? интересно каким образом GRT можно импортировать в VRF(Интересует не статика), например интересно ИМХО если есть VRF в котором есть FULL VIEW - это бред или есть свои плюсы?

ну к примеру держать в vrf full view на 7600(3bxl) - самоубийство, ткамы жрет не подецки

а так мы лично весь траф клиентов держим в vrf

в grt только служебный трафик igp и как тут писали прочее служебное гавно типа snmp netflow и проч.

удобно не глючно стабильно

а внешние каналы лучше таки приземлять на бордеры

 

 

[hades]

в grt только служебный трафик igp и как тут писали прочее служебное гавно типа snmp netflow и проч.

удобно не глючно стабильно

а внешние каналы лучше таки приземлять на бордеры

Насчет GRT действительно удобно (например copy run tftp ), получается между бордерами есть PE на который статикой направляются сети, а из VRF банально ip route vrf INET 0.0.0.0 0.0.0.0 [border IP] правильно я понимаю?

 

p.s. / Интересно как сделано у операторов таких как RETN и других, у них все в GRT, а MPLS для бизнес клиентов????

[alks]

Насчет GRT действительно удобно (например copy run tftp ), получается между бордерами есть PE на который статикой направляются сети, а из VRF банально ip route vrf INET 0.0.0.0 0.0.0.0 [border IP] правильно я понимаю?

именно так и не надо заморачиваться что со сменой ios что не заработает и т.д. и т.п

 

p.s. / Интересно как сделано у операторов таких как RETN и других, у них все в GRT, а MPLS для бизнес клиентов????

самому интересно - может коллеги поделятся опытом?

[hades]

p.s. / Интересно как сделано у операторов таких как RETN и других, у них все в GRT, а MPLS для бизнес клиентов????

самому интересно - может коллеги поделятся опытом?

Вот есть похожее решение

Интересно, каким образом совмещаются PE с BORDER. Интересно посмотреть конфигурацию R84, R85

 

 

Изменено 20 декабря, 2010 пользователем hades

[tgz]

Как мне помнится в сраном IOS включение SNMP приводит к появлению его на всех интерфейсах во всех vrf'ах. Плюс постоянно какие-то косяки вылазят, если пользоваться vrf'ом. Например софт загружается по tftp, но не грузится по http.