Перейти к содержимому
Калькуляторы

Практика использования vrf для менеджмента

Здравствуйте!

 

Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?

Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел.

 

Почитав теорию сделал вывод, что служебную сеть запихивать в отдельный vrf проблематично, т.к. к примеру tacacs+ и syslog не поддерживают работу с vrf в большенстве IOS.

Высказывались предложения вынести пользовательский трафик в отдельный vrf а служебный оставить в основной таблице.

 

Кто что может добавить по этому вопросу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

примеру tacacs+ и syslog не поддерживают работу с vrf
враки, на 12.2(33)SXI1 точно работает.
вынести пользовательский трафик в отдельный vrf
правильная мысль ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

примеру tacacs+ и syslog не поддерживают работу с vrf
враки, на 12.2(33)SXI1 точно работает.
для CAT6000-SUP2/MSFC2 не вижу такого иоса в фичнавигаторе

 

вынести пользовательский трафик в отдельный vrf
правильная мысль ;)

тобишь вытащить всю сеть провайдера в отдельный vrf? (не конкретно сетки каких то пользователей)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?

Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел.

А зачем?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?

Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел.

А зачем?

- по максимому обезопасить управляющую сеть.

- сделать ее доступной даже если имеют место проблемы в основной сети (косяк с маршрутизацией, атака и т.п.)

 

если есть другие варианты как это можно сделать с радостью выслушаю :)

Изменено пользователем kostil

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

- по максимому обезопасить управляющую сеть.

От чего?

 

- сделать ее доступной даже если имеют место проблемы в основной сети (косяк с маршрутизацией, атака и т.п.)

От этого вас vrf не спасет.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

- по максимому обезопасить управляющую сеть.

От чего?

от хацкеров

 

- сделать ее доступной даже если имеют место проблемы в основной сети (косяк с маршрутизацией, атака и т.п.)

От этого вас vrf не спасет.

высказывание справедливо не для всех случаев ИМХО.

 

считаете идеологически не правильно отделять служебный трафик от клиентского? а как по вашему это реализовать не используя VRF?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может быть кто-то просто поделиться опытом организации служебной сети?

Или подкинет ссылочку по теме:)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте!

 

Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?

Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел.

 

Почитав теорию сделал вывод, что служебную сеть запихивать в отдельный vrf проблематично, т.к. к примеру tacacs+ и syslog не поддерживают работу с vrf в большенстве IOS.

Высказывались предложения вынести пользовательский трафик в отдельный vrf а служебный оставить в основной таблице.

 

Кто что может добавить по этому вопросу?

у ASR по умолчанию (дефолт) у меня было:

 

vrf definition Mgmt-intf
!
address-family ipv4
exit-address-family
!
address-family ipv6
exit-address-family
!

....
interface GigabitEthernet0
vrf forwarding Mgmt-intf
...
!

 

syslog, доступ (telnet,ssh), snmp работают

flow'ы, tacacs+ы со товарищами не проверял.

Изменено пользователем Konstantin Klimchev

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

от хацкеров

От них вам поможет простой acl. Ну и плюс copp.

 

высказывание справедливо не для всех случаев ИМХО.

Пример когда спасет - в студию.

 

считаете идеологически не правильно отделять служебный трафик от клиентского? а как по вашему это реализовать не используя VRF?

Считаю что в vrf стоит убрать менеджмент свитчей, упсов, станций и прочего говна, куда обычно идут адреса из rfc1918. Магистральные коробки накрыть acl'ями и copp'ом.

Любая железка, имеющая 2 и более пути должна управляться через loopback. А первое средство до него достучаться - IGP. Все vrf и прочие vpn логически находятся выше, тем самым от этого IGP очень сильно зависят. В случаях, когда маршрутизация сломалась, всегда можно сделать telnet/ssh с соседа на адрес интерфеса. Вот тут важно грамотное планирование, которое сильно уменьшает размер management acl.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

syslog, доступ (telnet,ssh), snmp работают

flow'ы, tacacs+ы со товарищами не проверял.

Netflow через этот интерфейс не экспортируется.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

syslog, доступ (telnet,ssh), snmp работают

flow'ы, tacacs+ы со товарищами не проверял.

Netflow через этот интерфейс не экспортируется.

ip flow-export destination 1.1.1.1 9994 vrf bla-bla-bla

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

syslog, доступ (telnet,ssh), snmp работают

flow'ы, tacacs+ы со товарищами не проверял.

Netflow через этот интерфейс не экспортируется.

ip flow-export destination 1.1.1.1 9994 vrf bla-bla-bla

Настройка есть, но ASR1002 не позволяет экспорт NetFlow через управляющий интерфейс - ограничение платформы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на 65х/76 (SXI, SRD ветки) работает нормально: syslog, snmp, telnet, ssh, tacacs, ntp.

NetFlow - не проверял.

на GSR c иос - tacacs в vrf не умеет.

 

А по поводу дизайна - менеджмент в врф это просто удобно , особенно если есть кроме опорной сети и другое оборудование - УПСы и тп., в GRT им делать нечего, и если NMS тоже в врф, притом в другом. Но и через GRT доступ надо оставлять, просто для того, чтобы с железки на железку можно было попасть без проблем.

Абонентский трафик тоже весьма желательно в врф запихать.

У нас вот например в GRT кроме igp, распостаняющего адреса loopback железок и нет ничего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я может быть не совсем понял требуемые задачи, но я в своей сети просто служебный VLAN держу между железками...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

<br />Я может быть не совсем понял требуемые задачи, но я в своей сети просто служебный VLAN держу между железками...<br />
<br /><br /><br />

Да это для тех извращенцев , кому уже плоской L2 сетью не ограничится... Для возжелавших странного вроде мплс и прочего :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

примеру tacacs+ и syslog не поддерживают работу с vrf
враки, на 12.2(33)SXI1 точно работает.
для CAT6000-SUP2/MSFC2 не вижу такого иоса в фичнавигаторе

 

вынести пользовательский трафик в отдельный vrf
правильная мысль ;)

тобишь вытащить всю сеть провайдера в отдельный vrf? (не конкретно сетки каких то пользователей)

на Sup2 vrf работает только на OSM, IOS - max 12.2.18SXF

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вынести пользовательский трафик в отдельный vrf
правильная мысль ;)

А как быть с внешними каналами?? интересно каким образом GRT можно импортировать в VRF(Интересует не статика), например интересно ИМХО если есть VRF в котором есть FULL VIEW - это бред или есть свои плюсы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как быть с внешними каналами?? интересно каким образом GRT можно импортировать в VRF(Интересует не статика), например интересно ИМХО если есть VRF в котором есть FULL VIEW - это бред или есть свои плюсы?

ну к примеру держать в vrf full view на 7600(3bxl) - самоубийство, ткамы жрет не подецки

а так мы лично весь траф клиентов держим в vrf

в grt только служебный трафик igp и как тут писали прочее служебное гавно типа snmp netflow и проч.

удобно не глючно стабильно

а внешние каналы лучше таки приземлять на бордеры

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в grt только служебный трафик igp и как тут писали прочее служебное гавно типа snmp netflow и проч.

удобно не глючно стабильно

а внешние каналы лучше таки приземлять на бордеры

Насчет GRT действительно удобно (например copy run tftp ), получается между бордерами есть PE на который статикой направляются сети, а из VRF банально ip route vrf INET 0.0.0.0 0.0.0.0 [border IP] правильно я понимаю?

 

p.s. / Интересно как сделано у операторов таких как RETN и других, у них все в GRT, а MPLS для бизнес клиентов????

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Насчет GRT действительно удобно (например copy run tftp ), получается между бордерами есть PE на который статикой направляются сети, а из VRF банально ip route vrf INET 0.0.0.0 0.0.0.0 [border IP] правильно я понимаю?

именно так и не надо заморачиваться что со сменой ios что не заработает и т.д. и т.п

 

p.s. / Интересно как сделано у операторов таких как RETN и других, у них все в GRT, а MPLS для бизнес клиентов????

самому интересно - может коллеги поделятся опытом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

p.s. / Интересно как сделано у операторов таких как RETN и других, у них все в GRT, а MPLS для бизнес клиентов????

самому интересно - может коллеги поделятся опытом?

Вот есть похожее решение

Интересно, каким образом совмещаются PE с BORDER. Интересно посмотреть конфигурацию R84, R85

xl-fig2.png

 

 

Изменено пользователем hades

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как мне помнится в сраном IOS включение SNMP приводит к появлению его на всех интерфейсах во всех vrf'ах. Плюс постоянно какие-то косяки вылазят, если пользоваться vrf'ом. Например софт загружается по tftp, но не грузится по http.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.