Jump to content

Практика использования vrf для менеджмента

kostil
 Share

Recommended Posts

kostil

kostil

Posted
Posted

Здравствуйте!

 

Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?

Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел.

 

Почитав теорию сделал вывод, что служебную сеть запихивать в отдельный vrf проблематично, т.к. к примеру tacacs+ и syslog не поддерживают работу с vrf в большенстве IOS.

Высказывались предложения вынести пользовательский трафик в отдельный vrf а служебный оставить в основной таблице.

 

Кто что может добавить по этому вопросу?

Stak

Stak

Posted
Posted
примеру tacacs+ и syslog не поддерживают работу с vrf
враки, на 12.2(33)SXI1 точно работает.
вынести пользовательский трафик в отдельный vrf
правильная мысль ;)
kostil

kostil

Posted
  • Author
Posted
примеру tacacs+ и syslog не поддерживают работу с vrf
враки, на 12.2(33)SXI1 точно работает.
для CAT6000-SUP2/MSFC2 не вижу такого иоса в фичнавигаторе

 

вынести пользовательский трафик в отдельный vrf
правильная мысль ;)

тобишь вытащить всю сеть провайдера в отдельный vrf? (не конкретно сетки каких то пользователей)
tgz

tgz

Posted
Posted
Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?

Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел.

А зачем?

 

kostil

kostil

Posted
  • Author
Posted (edited)
Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?

Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел.

А зачем?

- по максимому обезопасить управляющую сеть.

- сделать ее доступной даже если имеют место проблемы в основной сети (косяк с маршрутизацией, атака и т.п.)

 

если есть другие варианты как это можно сделать с радостью выслушаю :)

Edited by kostil
tgz

tgz

Posted
Posted
- по максимому обезопасить управляющую сеть.

От чего?

 

- сделать ее доступной даже если имеют место проблемы в основной сети (косяк с маршрутизацией, атака и т.п.)

От этого вас vrf не спасет.

 

 

kostil

kostil

Posted
  • Author
Posted

- по максимому обезопасить управляющую сеть.

От чего?

от хацкеров

 

- сделать ее доступной даже если имеют место проблемы в основной сети (косяк с маршрутизацией, атака и т.п.)

От этого вас vrf не спасет.

высказывание справедливо не для всех случаев ИМХО.

 

считаете идеологически не правильно отделять служебный трафик от клиентского? а как по вашему это реализовать не используя VRF?

 

kostil

kostil

Posted
  • Author
Posted

Может быть кто-то просто поделиться опытом организации служебной сети?

Или подкинет ссылочку по теме:)

 

Konstantin Klimchev

Konstantin Klimchev

Posted
Posted (edited)
Здравствуйте!

 

Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?

Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел.

 

Почитав теорию сделал вывод, что служебную сеть запихивать в отдельный vrf проблематично, т.к. к примеру tacacs+ и syslog не поддерживают работу с vrf в большенстве IOS.

Высказывались предложения вынести пользовательский трафик в отдельный vrf а служебный оставить в основной таблице.

 

Кто что может добавить по этому вопросу?

у ASR по умолчанию (дефолт) у меня было:

 

vrf definition Mgmt-intf
!
address-family ipv4
exit-address-family
!
address-family ipv6
exit-address-family
!

....
interface GigabitEthernet0
vrf forwarding Mgmt-intf
...
!

 

syslog, доступ (telnet,ssh), snmp работают

flow'ы, tacacs+ы со товарищами не проверял.

Edited by Konstantin Klimchev
tgz

tgz

Posted
Posted
от хацкеров

От них вам поможет простой acl. Ну и плюс copp.

 

высказывание справедливо не для всех случаев ИМХО.

Пример когда спасет - в студию.

 

считаете идеологически не правильно отделять служебный трафик от клиентского? а как по вашему это реализовать не используя VRF?

Считаю что в vrf стоит убрать менеджмент свитчей, упсов, станций и прочего говна, куда обычно идут адреса из rfc1918. Магистральные коробки накрыть acl'ями и copp'ом.

Любая железка, имеющая 2 и более пути должна управляться через loopback. А первое средство до него достучаться - IGP. Все vrf и прочие vpn логически находятся выше, тем самым от этого IGP очень сильно зависят. В случаях, когда маршрутизация сломалась, всегда можно сделать telnet/ssh с соседа на адрес интерфеса. Вот тут важно грамотное планирование, которое сильно уменьшает размер management acl.

 

 

Telesis

Telesis

Posted
Posted
syslog, доступ (telnet,ssh), snmp работают

flow'ы, tacacs+ы со товарищами не проверял.

Netflow через этот интерфейс не экспортируется.

ip flow-export destination 1.1.1.1 9994 vrf bla-bla-bla

  • 1 year later...
UglyAdmin

UglyAdmin

Posted
Posted
syslog, доступ (telnet,ssh), snmp работают

flow'ы, tacacs+ы со товарищами не проверял.

Netflow через этот интерфейс не экспортируется.

ip flow-export destination 1.1.1.1 9994 vrf bla-bla-bla

Настройка есть, но ASR1002 не позволяет экспорт NetFlow через управляющий интерфейс - ограничение платформы...

Stak

Stak

Posted
Posted

на 65х/76 (SXI, SRD ветки) работает нормально: syslog, snmp, telnet, ssh, tacacs, ntp.

NetFlow - не проверял.

на GSR c иос - tacacs в vrf не умеет.

 

А по поводу дизайна - менеджмент в врф это просто удобно , особенно если есть кроме опорной сети и другое оборудование - УПСы и тп., в GRT им делать нечего, и если NMS тоже в врф, притом в другом. Но и через GRT доступ надо оставлять, просто для того, чтобы с железки на железку можно было попасть без проблем.

Абонентский трафик тоже весьма желательно в врф запихать.

У нас вот например в GRT кроме igp, распостаняющего адреса loopback железок и нет ничего.

dignity

dignity

Posted
Posted

Я может быть не совсем понял требуемые задачи, но я в своей сети просто служебный VLAN держу между железками...

Stak

Stak

Posted
Posted
<br />Я может быть не совсем понял требуемые задачи, но я в своей сети просто служебный VLAN держу между железками...<br />
<br /><br /><br />

Да это для тех извращенцев , кому уже плоской L2 сетью не ограничится... Для возжелавших странного вроде мплс и прочего :)

AN111

AN111

Posted
Posted
примеру tacacs+ и syslog не поддерживают работу с vrf
враки, на 12.2(33)SXI1 точно работает.
для CAT6000-SUP2/MSFC2 не вижу такого иоса в фичнавигаторе

 

вынести пользовательский трафик в отдельный vrf
правильная мысль ;)

тобишь вытащить всю сеть провайдера в отдельный vrf? (не конкретно сетки каких то пользователей)

на Sup2 vrf работает только на OSM, IOS - max 12.2.18SXF

  • 3 weeks later...
hades

hades

Posted
Posted
вынести пользовательский трафик в отдельный vrf
правильная мысль ;)

А как быть с внешними каналами?? интересно каким образом GRT можно импортировать в VRF(Интересует не статика), например интересно ИМХО если есть VRF в котором есть FULL VIEW - это бред или есть свои плюсы?

alks

alks

Posted
Posted
А как быть с внешними каналами?? интересно каким образом GRT можно импортировать в VRF(Интересует не статика), например интересно ИМХО если есть VRF в котором есть FULL VIEW - это бред или есть свои плюсы?

ну к примеру держать в vrf full view на 7600(3bxl) - самоубийство, ткамы жрет не подецки

а так мы лично весь траф клиентов держим в vrf

в grt только служебный трафик igp и как тут писали прочее служебное гавно типа snmp netflow и проч.

удобно не глючно стабильно

а внешние каналы лучше таки приземлять на бордеры

 

 

hades

hades

Posted
Posted
в grt только служебный трафик igp и как тут писали прочее служебное гавно типа snmp netflow и проч.

удобно не глючно стабильно

а внешние каналы лучше таки приземлять на бордеры

Насчет GRT действительно удобно (например copy run tftp ), получается между бордерами есть PE на который статикой направляются сети, а из VRF банально ip route vrf INET 0.0.0.0 0.0.0.0 [border IP] правильно я понимаю?

 

p.s. / Интересно как сделано у операторов таких как RETN и других, у них все в GRT, а MPLS для бизнес клиентов????

alks

alks

Posted
Posted
Насчет GRT действительно удобно (например copy run tftp ), получается между бордерами есть PE на который статикой направляются сети, а из VRF банально ip route vrf INET 0.0.0.0 0.0.0.0 [border IP] правильно я понимаю?

именно так и не надо заморачиваться что со сменой ios что не заработает и т.д. и т.п

 

p.s. / Интересно как сделано у операторов таких как RETN и других, у них все в GRT, а MPLS для бизнес клиентов????

самому интересно - может коллеги поделятся опытом?

hades

hades

Posted
Posted (edited)
p.s. / Интересно как сделано у операторов таких как RETN и других, у них все в GRT, а MPLS для бизнес клиентов????

самому интересно - может коллеги поделятся опытом?

Вот есть похожее решение

Интересно, каким образом совмещаются PE с BORDER. Интересно посмотреть конфигурацию R84, R85

xl-fig2.png

 

 

Edited by hades
tgz

tgz

Posted
Posted

Как мне помнится в сраном IOS включение SNMP приводит к появлению его на всех интерфейсах во всех vrf'ах. Плюс постоянно какие-то косяки вылазят, если пользоваться vrf'ом. Например софт загружается по tftp, но не грузится по http.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.