Jump to content
Калькуляторы

Практика использования vrf для менеджмента

Здравствуйте!

 

Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?

Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел.

 

Почитав теорию сделал вывод, что служебную сеть запихивать в отдельный vrf проблематично, т.к. к примеру tacacs+ и syslog не поддерживают работу с vrf в большенстве IOS.

Высказывались предложения вынести пользовательский трафик в отдельный vrf а служебный оставить в основной таблице.

 

Кто что может добавить по этому вопросу?

Share this post


Link to post
Share on other sites
примеру tacacs+ и syslog не поддерживают работу с vrf
враки, на 12.2(33)SXI1 точно работает.
вынести пользовательский трафик в отдельный vrf
правильная мысль ;)

Share this post


Link to post
Share on other sites
примеру tacacs+ и syslog не поддерживают работу с vrf
враки, на 12.2(33)SXI1 точно работает.
для CAT6000-SUP2/MSFC2 не вижу такого иоса в фичнавигаторе

 

вынести пользовательский трафик в отдельный vrf
правильная мысль ;)

тобишь вытащить всю сеть провайдера в отдельный vrf? (не конкретно сетки каких то пользователей)

Share this post


Link to post
Share on other sites
Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?

Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел.

А зачем?

 

Share this post


Link to post
Share on other sites
Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?

Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел.

А зачем?

- по максимому обезопасить управляющую сеть.

- сделать ее доступной даже если имеют место проблемы в основной сети (косяк с маршрутизацией, атака и т.п.)

 

если есть другие варианты как это можно сделать с радостью выслушаю :)

Edited by kostil

Share this post


Link to post
Share on other sites
- по максимому обезопасить управляющую сеть.

От чего?

 

- сделать ее доступной даже если имеют место проблемы в основной сети (косяк с маршрутизацией, атака и т.п.)

От этого вас vrf не спасет.

 

 

Share this post


Link to post
Share on other sites

- по максимому обезопасить управляющую сеть.

От чего?

от хацкеров

 

- сделать ее доступной даже если имеют место проблемы в основной сети (косяк с маршрутизацией, атака и т.п.)

От этого вас vrf не спасет.

высказывание справедливо не для всех случаев ИМХО.

 

считаете идеологически не правильно отделять служебный трафик от клиентского? а как по вашему это реализовать не используя VRF?

 

Share this post


Link to post
Share on other sites

Может быть кто-то просто поделиться опытом организации служебной сети?

Или подкинет ссылочку по теме:)

 

Share this post


Link to post
Share on other sites
Здравствуйте!

 

Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?

Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел.

 

Почитав теорию сделал вывод, что служебную сеть запихивать в отдельный vrf проблематично, т.к. к примеру tacacs+ и syslog не поддерживают работу с vrf в большенстве IOS.

Высказывались предложения вынести пользовательский трафик в отдельный vrf а служебный оставить в основной таблице.

 

Кто что может добавить по этому вопросу?

у ASR по умолчанию (дефолт) у меня было:

 

vrf definition Mgmt-intf
!
address-family ipv4
exit-address-family
!
address-family ipv6
exit-address-family
!

....
interface GigabitEthernet0
vrf forwarding Mgmt-intf
...
!

 

syslog, доступ (telnet,ssh), snmp работают

flow'ы, tacacs+ы со товарищами не проверял.

Edited by Konstantin Klimchev

Share this post


Link to post
Share on other sites
от хацкеров

От них вам поможет простой acl. Ну и плюс copp.

 

высказывание справедливо не для всех случаев ИМХО.

Пример когда спасет - в студию.

 

считаете идеологически не правильно отделять служебный трафик от клиентского? а как по вашему это реализовать не используя VRF?

Считаю что в vrf стоит убрать менеджмент свитчей, упсов, станций и прочего говна, куда обычно идут адреса из rfc1918. Магистральные коробки накрыть acl'ями и copp'ом.

Любая железка, имеющая 2 и более пути должна управляться через loopback. А первое средство до него достучаться - IGP. Все vrf и прочие vpn логически находятся выше, тем самым от этого IGP очень сильно зависят. В случаях, когда маршрутизация сломалась, всегда можно сделать telnet/ssh с соседа на адрес интерфеса. Вот тут важно грамотное планирование, которое сильно уменьшает размер management acl.

 

 

Share this post


Link to post
Share on other sites
syslog, доступ (telnet,ssh), snmp работают

flow'ы, tacacs+ы со товарищами не проверял.

Netflow через этот интерфейс не экспортируется.

 

Share this post


Link to post
Share on other sites
syslog, доступ (telnet,ssh), snmp работают

flow'ы, tacacs+ы со товарищами не проверял.

Netflow через этот интерфейс не экспортируется.

ip flow-export destination 1.1.1.1 9994 vrf bla-bla-bla

Share this post


Link to post
Share on other sites
syslog, доступ (telnet,ssh), snmp работают

flow'ы, tacacs+ы со товарищами не проверял.

Netflow через этот интерфейс не экспортируется.

ip flow-export destination 1.1.1.1 9994 vrf bla-bla-bla

Настройка есть, но ASR1002 не позволяет экспорт NetFlow через управляющий интерфейс - ограничение платформы...

Share this post


Link to post
Share on other sites

на 65х/76 (SXI, SRD ветки) работает нормально: syslog, snmp, telnet, ssh, tacacs, ntp.

NetFlow - не проверял.

на GSR c иос - tacacs в vrf не умеет.

 

А по поводу дизайна - менеджмент в врф это просто удобно , особенно если есть кроме опорной сети и другое оборудование - УПСы и тп., в GRT им делать нечего, и если NMS тоже в врф, притом в другом. Но и через GRT доступ надо оставлять, просто для того, чтобы с железки на железку можно было попасть без проблем.

Абонентский трафик тоже весьма желательно в врф запихать.

У нас вот например в GRT кроме igp, распостаняющего адреса loopback железок и нет ничего.

Share this post


Link to post
Share on other sites

Я может быть не совсем понял требуемые задачи, но я в своей сети просто служебный VLAN держу между железками...

Share this post


Link to post
Share on other sites
<br />Я может быть не совсем понял требуемые задачи, но я в своей сети просто служебный VLAN держу между железками...<br />
<br /><br /><br />

Да это для тех извращенцев , кому уже плоской L2 сетью не ограничится... Для возжелавших странного вроде мплс и прочего :)

Share this post


Link to post
Share on other sites
примеру tacacs+ и syslog не поддерживают работу с vrf
враки, на 12.2(33)SXI1 точно работает.
для CAT6000-SUP2/MSFC2 не вижу такого иоса в фичнавигаторе

 

вынести пользовательский трафик в отдельный vrf
правильная мысль ;)

тобишь вытащить всю сеть провайдера в отдельный vrf? (не конкретно сетки каких то пользователей)

на Sup2 vrf работает только на OSM, IOS - max 12.2.18SXF

Share this post


Link to post
Share on other sites
вынести пользовательский трафик в отдельный vrf
правильная мысль ;)

А как быть с внешними каналами?? интересно каким образом GRT можно импортировать в VRF(Интересует не статика), например интересно ИМХО если есть VRF в котором есть FULL VIEW - это бред или есть свои плюсы?

Share this post


Link to post
Share on other sites
А как быть с внешними каналами?? интересно каким образом GRT можно импортировать в VRF(Интересует не статика), например интересно ИМХО если есть VRF в котором есть FULL VIEW - это бред или есть свои плюсы?

ну к примеру держать в vrf full view на 7600(3bxl) - самоубийство, ткамы жрет не подецки

а так мы лично весь траф клиентов держим в vrf

в grt только служебный трафик igp и как тут писали прочее служебное гавно типа snmp netflow и проч.

удобно не глючно стабильно

а внешние каналы лучше таки приземлять на бордеры

 

 

Share this post


Link to post
Share on other sites
в grt только служебный трафик igp и как тут писали прочее служебное гавно типа snmp netflow и проч.

удобно не глючно стабильно

а внешние каналы лучше таки приземлять на бордеры

Насчет GRT действительно удобно (например copy run tftp ), получается между бордерами есть PE на который статикой направляются сети, а из VRF банально ip route vrf INET 0.0.0.0 0.0.0.0 [border IP] правильно я понимаю?

 

p.s. / Интересно как сделано у операторов таких как RETN и других, у них все в GRT, а MPLS для бизнес клиентов????

Share this post


Link to post
Share on other sites
Насчет GRT действительно удобно (например copy run tftp ), получается между бордерами есть PE на который статикой направляются сети, а из VRF банально ip route vrf INET 0.0.0.0 0.0.0.0 [border IP] правильно я понимаю?

именно так и не надо заморачиваться что со сменой ios что не заработает и т.д. и т.п

 

p.s. / Интересно как сделано у операторов таких как RETN и других, у них все в GRT, а MPLS для бизнес клиентов????

самому интересно - может коллеги поделятся опытом?

Share this post


Link to post
Share on other sites
p.s. / Интересно как сделано у операторов таких как RETN и других, у них все в GRT, а MPLS для бизнес клиентов????

самому интересно - может коллеги поделятся опытом?

Вот есть похожее решение

Интересно, каким образом совмещаются PE с BORDER. Интересно посмотреть конфигурацию R84, R85

xl-fig2.png

 

 

Edited by hades

Share this post


Link to post
Share on other sites

Как мне помнится в сраном IOS включение SNMP приводит к появлению его на всех интерфейсах во всех vrf'ах. Плюс постоянно какие-то косяки вылазят, если пользоваться vrf'ом. Например софт загружается по tftp, но не грузится по http.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this