kostil Опубликовано 15 сентября, 2009 · Жалоба Здравствуйте! Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)? Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел. Почитав теорию сделал вывод, что служебную сеть запихивать в отдельный vrf проблематично, т.к. к примеру tacacs+ и syslog не поддерживают работу с vrf в большенстве IOS. Высказывались предложения вынести пользовательский трафик в отдельный vrf а служебный оставить в основной таблице. Кто что может добавить по этому вопросу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 15 сентября, 2009 · Жалоба примеру tacacs+ и syslog не поддерживают работу с vrfвраки, на 12.2(33)SXI1 точно работает.вынести пользовательский трафик в отдельный vrfправильная мысль ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 16 сентября, 2009 · Жалоба примеру tacacs+ и syslog не поддерживают работу с vrfвраки, на 12.2(33)SXI1 точно работает.для CAT6000-SUP2/MSFC2 не вижу такого иоса в фичнавигаторе вынести пользовательский трафик в отдельный vrfправильная мысль ;) тобишь вытащить всю сеть провайдера в отдельный vrf? (не конкретно сетки каких то пользователей) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 16 сентября, 2009 · Жалоба Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел. А зачем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 16 сентября, 2009 (изменено) · Жалоба Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)?Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел. А зачем? - по максимому обезопасить управляющую сеть. - сделать ее доступной даже если имеют место проблемы в основной сети (косяк с маршрутизацией, атака и т.п.) если есть другие варианты как это можно сделать с радостью выслушаю :) Изменено 16 сентября, 2009 пользователем kostil Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 16 сентября, 2009 · Жалоба - по максимому обезопасить управляющую сеть. От чего? - сделать ее доступной даже если имеют место проблемы в основной сети (косяк с маршрутизацией, атака и т.п.) От этого вас vrf не спасет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 16 сентября, 2009 · Жалоба - по максимому обезопасить управляющую сеть.От чего? от хацкеров - сделать ее доступной даже если имеют место проблемы в основной сети (косяк с маршрутизацией, атака и т.п.) От этого вас vrf не спасет. высказывание справедливо не для всех случаев ИМХО. считаете идеологически не правильно отделять служебный трафик от клиентского? а как по вашему это реализовать не используя VRF? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 16 сентября, 2009 · Жалоба Может быть кто-то просто поделиться опытом организации служебной сети? Или подкинет ссылочку по теме:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 16 сентября, 2009 (изменено) · Жалоба Здравствуйте! Есть ли у кого нибудь опыт использования vrf на cisco для разделения пользовательского трафика и служебного (SNMP,syslog,tacacs+,telnet,ssh)? Интересуют конкретные примеры настройки, т.к. сам кроме теории ничего дельного не нашел. Почитав теорию сделал вывод, что служебную сеть запихивать в отдельный vrf проблематично, т.к. к примеру tacacs+ и syslog не поддерживают работу с vrf в большенстве IOS. Высказывались предложения вынести пользовательский трафик в отдельный vrf а служебный оставить в основной таблице. Кто что может добавить по этому вопросу? у ASR по умолчанию (дефолт) у меня было: vrf definition Mgmt-intf ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family ! .... interface GigabitEthernet0 vrf forwarding Mgmt-intf ... ! syslog, доступ (telnet,ssh), snmp работают flow'ы, tacacs+ы со товарищами не проверял. Изменено 16 сентября, 2009 пользователем Konstantin Klimchev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 16 сентября, 2009 · Жалоба от хацкеров От них вам поможет простой acl. Ну и плюс copp. высказывание справедливо не для всех случаев ИМХО. Пример когда спасет - в студию. считаете идеологически не правильно отделять служебный трафик от клиентского? а как по вашему это реализовать не используя VRF? Считаю что в vrf стоит убрать менеджмент свитчей, упсов, станций и прочего говна, куда обычно идут адреса из rfc1918. Магистральные коробки накрыть acl'ями и copp'ом. Любая железка, имеющая 2 и более пути должна управляться через loopback. А первое средство до него достучаться - IGP. Все vrf и прочие vpn логически находятся выше, тем самым от этого IGP очень сильно зависят. В случаях, когда маршрутизация сломалась, всегда можно сделать telnet/ssh с соседа на адрес интерфеса. Вот тут важно грамотное планирование, которое сильно уменьшает размер management acl. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilgizk Опубликовано 17 сентября, 2009 · Жалоба syslog, доступ (telnet,ssh), snmp работаютflow'ы, tacacs+ы со товарищами не проверял. Netflow через этот интерфейс не экспортируется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Telesis Опубликовано 17 сентября, 2009 · Жалоба syslog, доступ (telnet,ssh), snmp работаютflow'ы, tacacs+ы со товарищами не проверял. Netflow через этот интерфейс не экспортируется. ip flow-export destination 1.1.1.1 9994 vrf bla-bla-bla Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 1 декабря, 2010 · Жалоба syslog, доступ (telnet,ssh), snmp работаютflow'ы, tacacs+ы со товарищами не проверял. Netflow через этот интерфейс не экспортируется. ip flow-export destination 1.1.1.1 9994 vrf bla-bla-bla Настройка есть, но ASR1002 не позволяет экспорт NetFlow через управляющий интерфейс - ограничение платформы... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 1 декабря, 2010 · Жалоба на 65х/76 (SXI, SRD ветки) работает нормально: syslog, snmp, telnet, ssh, tacacs, ntp. NetFlow - не проверял. на GSR c иос - tacacs в vrf не умеет. А по поводу дизайна - менеджмент в врф это просто удобно , особенно если есть кроме опорной сети и другое оборудование - УПСы и тп., в GRT им делать нечего, и если NMS тоже в врф, притом в другом. Но и через GRT доступ надо оставлять, просто для того, чтобы с железки на железку можно было попасть без проблем. Абонентский трафик тоже весьма желательно в врф запихать. У нас вот например в GRT кроме igp, распостаняющего адреса loopback железок и нет ничего. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 1 декабря, 2010 · Жалоба Я может быть не совсем понял требуемые задачи, но я в своей сети просто служебный VLAN держу между железками... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 1 декабря, 2010 · Жалоба <br />Я может быть не совсем понял требуемые задачи, но я в своей сети просто служебный VLAN держу между железками...<br /><br /><br /><br />Да это для тех извращенцев , кому уже плоской L2 сетью не ограничится... Для возжелавших странного вроде мплс и прочего :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AN111 Опубликовано 2 декабря, 2010 · Жалоба примеру tacacs+ и syslog не поддерживают работу с vrfвраки, на 12.2(33)SXI1 точно работает.для CAT6000-SUP2/MSFC2 не вижу такого иоса в фичнавигаторе вынести пользовательский трафик в отдельный vrfправильная мысль ;) тобишь вытащить всю сеть провайдера в отдельный vrf? (не конкретно сетки каких то пользователей) на Sup2 vrf работает только на OSM, IOS - max 12.2.18SXF Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hades Опубликовано 19 декабря, 2010 · Жалоба вынести пользовательский трафик в отдельный vrfправильная мысль ;) А как быть с внешними каналами?? интересно каким образом GRT можно импортировать в VRF(Интересует не статика), например интересно ИМХО если есть VRF в котором есть FULL VIEW - это бред или есть свои плюсы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 19 декабря, 2010 · Жалоба А как быть с внешними каналами?? интересно каким образом GRT можно импортировать в VRF(Интересует не статика), например интересно ИМХО если есть VRF в котором есть FULL VIEW - это бред или есть свои плюсы? ну к примеру держать в vrf full view на 7600(3bxl) - самоубийство, ткамы жрет не подецки а так мы лично весь траф клиентов держим в vrf в grt только служебный трафик igp и как тут писали прочее служебное гавно типа snmp netflow и проч. удобно не глючно стабильно а внешние каналы лучше таки приземлять на бордеры Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hades Опубликовано 19 декабря, 2010 · Жалоба в grt только служебный трафик igp и как тут писали прочее служебное гавно типа snmp netflow и проч.удобно не глючно стабильно а внешние каналы лучше таки приземлять на бордеры Насчет GRT действительно удобно (например copy run tftp ), получается между бордерами есть PE на который статикой направляются сети, а из VRF банально ip route vrf INET 0.0.0.0 0.0.0.0 [border IP] правильно я понимаю? p.s. / Интересно как сделано у операторов таких как RETN и других, у них все в GRT, а MPLS для бизнес клиентов???? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 19 декабря, 2010 · Жалоба Насчет GRT действительно удобно (например copy run tftp ), получается между бордерами есть PE на который статикой направляются сети, а из VRF банально ip route vrf INET 0.0.0.0 0.0.0.0 [border IP] правильно я понимаю? именно так и не надо заморачиваться что со сменой ios что не заработает и т.д. и т.п p.s. / Интересно как сделано у операторов таких как RETN и других, у них все в GRT, а MPLS для бизнес клиентов???? самому интересно - может коллеги поделятся опытом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hades Опубликовано 20 декабря, 2010 (изменено) · Жалоба p.s. / Интересно как сделано у операторов таких как RETN и других, у них все в GRT, а MPLS для бизнес клиентов???? самому интересно - может коллеги поделятся опытом? Вот есть похожее решение Интересно, каким образом совмещаются PE с BORDER. Интересно посмотреть конфигурацию R84, R85 Изменено 20 декабря, 2010 пользователем hades Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 20 декабря, 2010 · Жалоба Как мне помнится в сраном IOS включение SNMP приводит к появлению его на всех интерфейсах во всех vrf'ах. Плюс постоянно какие-то косяки вылазят, если пользоваться vrf'ом. Например софт загружается по tftp, но не грузится по http. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...