[sirmax]

Доброго времени суток!

 

Есть вопрос по поводу VRF =)

 

Задача.

Есть 1-я группа клиентов, которая принимается на отдельном интерфейсе (для примера, скажем, vlan100 ),и для которой я хотел бы использовать отдельную таблицу маршрутизации (другой дефолт). (ну, скажем, фейковые IP которые перед выходом в мир надо заворачивать на NAT, что б было понятнее)

 

Есть вторая группа клиенотв (Vlan 200, ... vlanХ для которых используется основная таблица маршрутизации.

 

Насколько я понимаю, 2 vrf (точнее, один vrf и global) можно рассматривать как 2 независимых устройства, каждое со своими интерфейсами, протоколами маршрутизации, и прочее..

 

Вопрос, как правильно организанизовать обмен траффика между VRF. (в моем примере - что бы траффик между "реальными" и "серыми" сетями, подключенными к одному устройсту, не выходил за пределы этого устройства. "Тупое" решение постставиь перемычку между 2 портами - думаю, будет работать, но во-первых, чертовки жалко 2 порта, а во-вотрых, гига может быть мало. Интересует идеалогически верное решение. Кстати, на просторах интерента есть вариант с постройкой тунеля VRF-Global но я не уверен что коммутатору не поплохеет от такого.

 

Если есть ссылки на примеры - буду весьма благодарен.

 

 

 

 

[nag-f]

(ну, скажем, фейковые IP которые перед выходом в мир надо заворачивать на NAT, что б было понятнее)

 

Есть вторая группа клиенотв (Vlan 200, ... vlanХ для которых используется основная таблица маршрутизации.

 

.... Интересует идеалогически верное решение.

Идеологически-верное решение отказаться от бессмысленной нагрузки от использование NAT и задействовать реальные адреса.

 

Но раз уж так сложилось, что в городе X сами администраторы - "идеалогически-неверные", то могу дать вам подсказку - "route-leaking"

Изменено 29 ноября, 2009 пользователем nag-f

[Дегтярев Илья]

(ну, скажем, фейковые IP которые перед выходом в мир надо заворачивать на NAT, что б было понятнее)

Без всяких vrf. На vlan 100 вешаем prb. В нем match виртуальный_ip set ip default next-hop ип_нат_сервера.

[sirmax]

nag-f

Обращаю Ваше внимание, что route-leaking нужен между vrf и global.

Между 2-мя VRF все работает.

 

Может, примерчик покажите? =)

А то, как бы, пока то, что вы пишете на уровне "вах, какой я умный, но вам ничего не скажу".

 

 

 

 

(ну, скажем, фейковые IP которые перед выходом в мир надо заворачивать на NAT, что б было понятнее)

Без всяких vrf. На vlan 100 вешаем prb. В нем match виртуальный_ip set ip default next-hop ип_нат_сервера.

Это понятно, так сейчас и сделано. Мне такая схема не нравится. Хотел написать PBR не предлагать, но постеснялся =)

А вообще на свитчах с PBR есть тонкость - в ACL который используется в route-map нельзя писать deny. Процессор грузиться.

Соответсвенно "PBR для всех кроме локальных + пиры + ..." - ACL выходит довольно сложный.

[sirmax]

Вдумчивое чтение cisco.com подводит к мыслЕ, что я желаю странного, и верное решение - это 2 (или сколько нужно) vrf и соответвенно роут-ликинг между ними.

 

Дополнение.

Вобщем. с 2 VRF работает так, как и ожидалось (так,как хотелось), как только отказался от использования global все пошло как по маслу.

 

[nag-f]

Вдумчивое чтение cisco.com подводит к мыслЕ, что я желаю странного, и верное решение - это 2 (или сколько нужно) vrf и соответвенно роут-ликинг между ними.

Фух, слава Богу :)