tsolodov Posted February 17, 2011 (edited) · Report post Ситуация следующая: есть 2 vrf VRF1 и VRF2 ip vrf vrf1 rd 1:30 route-target export 1:30 route-target import 1:30 ! ip vrf vrf2 rd 1:40 route-target export 1:40 route-target import 1:40 #sh running-config | include ip routeip route vrf vrf1 0.0.0.0 0.0.0.0 10.0.64.3 ip route vrf vrf1 10.0.2.10 255.255.255.255 GigabitEthernet0/0/0.39 10.0.2.10 ip route vrf vrf1 10.91.0.0 255.255.255.0 10.0.2.65 ip route vrf vrf2 10.0.2.65 255.255.255.255 GigabitEthernet0/0/0.283 10.0.2.65 ISG#sh running-config int GigabitEthernet0/0/0.39Building configuration... Current configuration : 127 bytes ! interface GigabitEthernet0/0/0.39 encapsulation dot1Q 39 ip vrf forwarding vrf2 ip address 10.0.2.18 255.255.255.224 end ISG#sh running-config int GigabitEthernet0/0/0.283 Building configuration... Current configuration : 266 bytes ! interface GigabitEthernet0/0/0.283 description pogran-2-oka-1-vlan283 encapsulation dot1Q 283 ip vrf forwarding vrf1 ip address 10.0.2.66 255.255.255.224 cdp enable service-policy type control S1 ip subscriber routed initiator unclassified ip-address end ну так вот: траффик маршрутизация из vrf1 в vrf2 идет, а наоборот нет((( ping vrf vrf1 10.0.2.10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.2.10, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/20 ms ISG#ping vrf vrf2 10.0.2.65 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.2.65, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) В какую сторону копать???? Edited February 17, 2011 by tsolodov Share this post Link to post Share on other sites
SergeiK Posted February 17, 2011 · Report post Сделай пинг на 10.0.2.66 адрес. Если будет работать, то беда на 65 адресе, в его таблице маршрутов. Смотри на нем дефолт или маршрут на 10.0.2.18 Share this post Link to post Share on other sites
bokl Posted February 17, 2011 · Report post Ситуация следующая:есть 2 vrf VRF1 и VRF2 ip vrf vrf1 rd 1:30 route-target export 1:30 route-target import 1:30 ! ip vrf vrf2 rd 1:40 route-target export 1:40 route-target import 1:40 #sh running-config | include ip routeip route vrf vrf1 0.0.0.0 0.0.0.0 10.0.64.3 ip route vrf vrf1 10.0.2.10 255.255.255.255 GigabitEthernet0/0/0.39 10.0.2.10 ip route vrf vrf1 10.91.0.0 255.255.255.0 10.0.2.65 ip route vrf vrf2 10.0.2.65 255.255.255.255 GigabitEthernet0/0/0.283 10.0.2.65 ISG#sh running-config int GigabitEthernet0/0/0.39Building configuration... Current configuration : 127 bytes ! interface GigabitEthernet0/0/0.39 encapsulation dot1Q 39 ip vrf forwarding vrf2 ip address 10.0.2.18 255.255.255.224 end ISG#sh running-config int GigabitEthernet0/0/0.283 Building configuration... Current configuration : 266 bytes ! interface GigabitEthernet0/0/0.283 description pogran-2-oka-1-vlan283 encapsulation dot1Q 283 ip vrf forwarding vrf1 ip address 10.0.2.66 255.255.255.224 cdp enable service-policy type control S1 ip subscriber routed initiator unclassified ip-address end ну так вот: траффик маршрутизация из vrf1 в vrf2 идет, а наоборот нет((( ping vrf vrf1 10.0.2.10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.2.10, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/20 ms ISG#ping vrf vrf2 10.0.2.65 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.2.65, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) В какую сторону копать???? с каким соурсом пингуешь? попробуй вручную соурс задать 10.0.2.10 Share this post Link to post Share on other sites
tsolodov Posted February 17, 2011 (edited) · Report post Сделай пинг на 10.0.2.66 адрес. Если будет работать, то беда на 65 адресе, в его таблице маршрутов.Смотри на нем дефолт или маршрут на 10.0.2.18 На 65 адресе default 66, так что 65 адрес нипричем S* 0.0.0.0/0 [1/0] via 10.0.2.66 ISG#ping vrf vrf1 10.0.2.66 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.2.66, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms ISG#sh ip route vrf vrf1 Routing Table: vrf1 Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP + - replicated route, % - next hop override Gateway of last resort is 10.0.64.3 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 10.0.64.3 10.0.0.0/8 is variably subnetted, 6 subnets, 4 masks S 10.0.2.10/32 [1/0] via 10.0.2.10, GigabitEthernet0/0/0.39 C 10.0.2.64/27 is directly connected, GigabitEthernet0/0/0.283 L 10.0.2.66/32 is directly connected, GigabitEthernet0/0/0.283 C 10.0.64.0/29 is directly connected, GigabitEthernet0/0/0.937 L 10.0.64.4/32 is directly connected, GigabitEthernet0/0/0.937 S 10.91.0.0/24 [1/0] via 10.0.2.65 ISG#ping vrf vrf2 10.0.2.66 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.2.66, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) ISG#sh ip route vrf vrf2 Routing Table: vrf2 Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP + - replicated route, % - next hop override Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks C 10.0.2.0/27 is directly connected, GigabitEthernet0/0/0.39 L 10.0.2.18/32 is directly connected, GigabitEthernet0/0/0.39 S 10.0.2.65/32 [1/0] via 10.0.2.65, GigabitEthernet0/0/0.283 Ситуация следующая:есть 2 vrf VRF1 и VRF2 ip vrf vrf1 rd 1:30 route-target export 1:30 route-target import 1:30 ! ip vrf vrf2 rd 1:40 route-target export 1:40 route-target import 1:40 #sh running-config | include ip routeip route vrf vrf1 0.0.0.0 0.0.0.0 10.0.64.3 ip route vrf vrf1 10.0.2.10 255.255.255.255 GigabitEthernet0/0/0.39 10.0.2.10 ip route vrf vrf1 10.91.0.0 255.255.255.0 10.0.2.65 ip route vrf vrf2 10.0.2.65 255.255.255.255 GigabitEthernet0/0/0.283 10.0.2.65 ISG#sh running-config int GigabitEthernet0/0/0.39Building configuration... Current configuration : 127 bytes ! interface GigabitEthernet0/0/0.39 encapsulation dot1Q 39 ip vrf forwarding vrf2 ip address 10.0.2.18 255.255.255.224 end ISG#sh running-config int GigabitEthernet0/0/0.283 Building configuration... Current configuration : 266 bytes ! interface GigabitEthernet0/0/0.283 description pogran-2-oka-1-vlan283 encapsulation dot1Q 283 ip vrf forwarding vrf1 ip address 10.0.2.66 255.255.255.224 cdp enable service-policy type control S1 ip subscriber routed initiator unclassified ip-address end ну так вот: траффик маршрутизация из vrf1 в vrf2 идет, а наоборот нет((( ping vrf vrf1 10.0.2.10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.2.10, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/20 ms ISG#ping vrf vrf2 10.0.2.65 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.2.65, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) В какую сторону копать???? с каким соурсом пингуешь? попробуй вручную соурс задать 10.0.2.10 Думаю что т.к. всего один интерфейс в vrf2 то сорс будет и так им, но все же:ISG#ping vrf vrf2 10.0.2.66 source Gi0/0/0.39 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.2.66, timeout is 2 seconds: Packet sent with a source address of 10.0.2.18 ..... Success rate is 0 percent (0/5) Edited February 17, 2011 by tsolodov Share this post Link to post Share on other sites
MagMike Posted February 17, 2011 · Report post а сделать route-target import 1:40 для vrf1 и route-target import 1:30 для vrf2 не надо? Share this post Link to post Share on other sites
bokl Posted February 18, 2011 · Report post а сделать route-target import 1:40 для vrf1и route-target import 1:30 для vrf2 не надо? это с утечками не связано помоему. импорты сами по себе перекинут маршруты, но не на одной железке. Попробуй убрать весь ISG функционал с портов и протестить на "чистых" сабинтрфесах. Вдруг сабака там зарыта... Share this post Link to post Share on other sites
Stak Posted February 18, 2011 · Report post Делал такое. Всё работало. http://ciscovod.blogspot.com/2009/09/stati...eaking-vrf.html Share this post Link to post Share on other sites
p2d Posted February 18, 2011 · Report post А где в vrf1 роутинг на 10.0.2.18? ip route vrf vrf1 10.0.2.18 255.255.255.255 GigabitEthernet0/0/0.39 10.0.2.18 Странная задача при таком исполнении конечно. Другой вариант - помещать интерфесы в нужные vrf c помощью PBR. Также, как выше предлагали - RT + import-map, и это более правильный путь, если не требуется route leaking для нескольких префиксов, или требуется не на одном роутере, а в сети. Share this post Link to post Share on other sites
tsolodov Posted February 18, 2011 · Report post а сделать route-target import 1:40 для vrf1и route-target import 1:30 для vrf2 не надо? это с утечками не связано помоему. импорты сами по себе перекинут маршруты, но не на одной железке. Попробуй убрать весь ISG функционал с портов и протестить на "чистых" сабинтрфесах. Вдруг сабака там зарыта... Все получилось(сегодня уивидел что забыл прописть роутинг) Кто знает как положить сессию в определнный VRF на ISG? Share this post Link to post Share on other sites
Butch3r Posted January 23, 2013 · Report post Есть петля между портами, но пинги не хотят ходить в обе стороны ip vrf test_1 rd 10.4.0.246:0 route-target export 10.4.0.246:0 route-target import 10.4.0.246:0 ! ip vrf test_2 rd 10.4.0.245:0 route-target export 10.4.0.245:0 route-target import 10.4.0.245:0 ! vlan 93 name test_1 ! vlan 94 name test_2 ! interface GigabitEthernet2/15 description to_ge2/17 switchport switchport access vlan 93 switchport mode access load-interval 30 speed nonegotiate flowcontrol send off no cdp enable spanning-tree bpdufilter enable ! interface GigabitEthernet2/17 description to_ge2/15 switchport switchport access vlan 94 switchport mode access load-interval 30 speed nonegotiate flowcontrol send off no cdp enable spanning-tree bpdufilter enable ! interface Vlan93 ip vrf forwarding test_1 ip address 10.4.0.245 255.255.255.252 ! interface Vlan94 ip vrf forwarding test_2 ip address 10.4.0.246 255.255.255.252 ! #sh ip route vrf test_1 Routing Table: test_1 Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP + - replicated route, % - next hop override Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.4.0.244/30 is directly connected, Vlan93 L 10.4.0.245/32 is directly connected, Vlan93 #sh ip route vrf test_2 Routing Table: test_2 Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP + - replicated route, % - next hop override Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.4.0.244/30 is directly connected, Vlan94 L 10.4.0.246/32 is directly connected, Vlan94 #ping vrf test_2 10.4.0.246 source 10.4.0.245 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.4.0.246, timeout is 2 seconds: Packet sent with a source address of 10.4.0.245 ..... Success rate is 0 percent (0/5) Подскажите, в чём может быть дело Share this post Link to post Share on other sites
Butch3r Posted January 24, 2013 · Report post Включаюсь буком вместо петли - с любого из портов противоположный конец пингуется. Если ставлю пач и пытаюсь пинговать 1 интерфейс с другого то пинга нет. Уже всю голову себе сломал - SFP менял, порты менял, ничего не помогает Share this post Link to post Share on other sites
SergeiK Posted January 24, 2013 · Report post Есть петля между портами, но пинги не хотят ходить в обе стороны ip vrf test_1 interface Vlan93 ip vrf forwarding test_1 ip address 10.4.0.245 255.255.255.252 ! interface Vlan94 ip vrf forwarding test_2 ip address 10.4.0.246 255.255.255.252 ! ... #ping vrf test_2 10.4.0.246 source 10.4.0.245 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.4.0.246, timeout is 2 seconds: Packet sent with a source address of 10.4.0.245 ..... Success rate is 0 percent (0/5) [/code] Подскажите, в чём может быть дело Тут логика не нарушена? Локал в test_2 - ...246, а пингуете в VRF test_2 с source ...245. Share this post Link to post Share on other sites
Butch3r Posted January 24, 2013 · Report post Ну сейчас gi 15 и 17 соединены пачкордом Всё это делается что поставить в разрез SCE, но до SCE что-то дело всё никак не может дойти :( Share this post Link to post Share on other sites
SergeiK Posted January 24, 2013 · Report post Ну сейчас gi 15 и 17 соединены пачкордом Всё это делается что поставить в разрез SCE, но до SCE что-то дело всё никак не может дойти :( Я понимаю, что они соединены :). Зачем делается - тоже для данной задачи не важно. Я про то, что у вас в VRF test_2 адрес интерфейса ...246. А вы делаете пинг в VRF test_2 с source .245, который в VRF test_1. Надо поменять местами адреса или в пинге, или на интерфейсах. Share this post Link to post Share on other sites
Butch3r Posted January 24, 2013 · Report post Ну сейчас gi 15 и 17 соединены пачкордом Всё это делается что поставить в разрез SCE, но до SCE что-то дело всё никак не может дойти :( Я понимаю, что они соединены :). Зачем делается - тоже для данной задачи не важно. Я про то, что у вас в VRF test_2 адрес интерфейса ...246. А вы делаете пинг в VRF test_2 с source .245, который в VRF test_1. Надо поменять местами адреса или в пинге, или на интерфейсах. Извиняюсь, это я похоже вчера на ночь глядя не так написал:делаю вот так: ping vrf test_1 10.4.0.246 source 10.4.0.245 Но результат 1 и тотже - пинга всё равно нет Share this post Link to post Share on other sites
SergeiK Posted January 24, 2013 · Report post Да, так логично :). Что в arp-ах? Есть что-то? Счетчики на интерфейсах что-то кажут? Share this post Link to post Share on other sites
Butch3r Posted January 24, 2013 · Report post На счетчиках на интерфейсах растут только броадкасты, порт миррор говорит о том, что идут ARP запросы. Больше нету ничего. sh mac ad gig2/15 говорит что маков на порту нет Share this post Link to post Share on other sites
darkagent Posted January 24, 2013 · Report post расширить маску до /29, воткнуть в разрыв коммутатор, на нем повесить адрес с той же маски и с него посмотреть какие адреса отвечают какие нет, мож порт помер или еще какие косяки всплывут Share this post Link to post Share on other sites
SergeiK Posted January 24, 2013 · Report post Не понял, где вы видите arp-ы? Вы пингуете с 15 (test_1) порта на 17 (vrf test_2), правильно? Вы видите arp запросы на 15 порту или на 17? Видете ли вы ответы? Есть ли MAC-и на 17-м порту, куда должны придти пакеты с 15? Какой вообще статус интерфейсов. В общем, творчески подходите к вопросу, возможно проблема в чем-то очень простом. Share this post Link to post Share on other sites
Butch3r Posted January 24, 2013 (edited) · Report post расширить маску до /29, воткнуть в разрыв коммутатор, на нем повесить адрес с той же маски и с него посмотреть какие адреса отвечают какие нет, мож порт помер или еще какие косяки всплывут Поставил свич в разрыв, с него пингуются оба интерфейса. С 7606 IP свича также пингуется из обоих vrf'ов. А вот друг друга они наотрез не хотят пинговать Не понял, где вы видите arp-ы? Вы пингуете с 15 (test_1) порта на 17 (vrf test_2), правильно? Вы видите arp запросы на 15 порту или на 17? Видете ли вы ответы? Есть ли MAC-и на 17-м порту, куда должны придти пакеты с 15? Какой вообще статус интерфейсов. В общем, творчески подходите к вопросу, возможно проблема в чем-то очень простом. при посылке пингов я вижу запросы с того интефейса, с которого идут запросы, ответов нетинтерфейсы в апе, пробовал включать и выключать speed noneg. Маков нету ни на одном из 2х портов Я согласен, что проблема в чём-то простом. Но я "туплю" уже что-то второй день и никак не могу понять почему 1 интерфейс не хочет пинговать другой. Пробовал переделать схему и прописать IP на порты кошки - эффект тотже - если к ним включить какое-нибудь устройство - они пингуются. Если их замкнуть - не работает. Как будто что-то блокирует порт. Edited January 24, 2013 by Butch3r Share this post Link to post Share on other sites
agr Posted January 24, 2013 · Report post хоть и bpdu фильтр стоит, но все равно посмотрите, что показывает sh span vl 93 sh span vl 94 Share this post Link to post Share on other sites
Butch3r Posted January 24, 2013 · Report post sh span vl 93 VLAN0093 Spanning tree enabled protocol ieee Root ID Priority 32861 Address 001d.7198.8380 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32861 (priority 32768 sys-id-ext 93) Address 001d.7198.8380 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Gi2/15 Desg FWD 4 128.268 Edge P2p sh span vl 94 VLAN0094 Spanning tree enabled protocol ieee Root ID Priority 32862 Address 001d.7198.8380 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32862 (priority 32768 sys-id-ext 94) Address 001d.7198.8380 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Gi2/17 Desg FWD 4 128.280 Edge P2p Share this post Link to post Share on other sites
agr Posted January 24, 2013 (edited) · Report post Похоже я понял. На 7606 оба SVI интерфейса имеют один и тот же mac адрес, в вашем случае - 001d.7198.8380. Соответственно на arp запросы от своего собственного mac адреса циска не отвечает, т.к. этот mac жестко прошит в ней. Попробуйте прописать ip адреса прямо на физических интерфейсах(предварительно надо убрать с них switchport), они все равно у вас в режиме access, уверен все заработает. Edited January 24, 2013 by agr Share this post Link to post Share on other sites
Butch3r Posted January 24, 2013 · Report post Похоже я понял. На 7606 оба SVI интерфейса имеют один и тот же mac адрес, в вашем случае - 001d.7198.8380. Соответственно на arp запросы от своего собственного mac адреса циска не отвечает, т.к. этот mac жестко прошит в ней. Попробуйте прописать ip адреса прямо на физических интерфейсах(предварительно надо убрать с них switchport), они все равно у вас в режиме access, уверен все заработает. да, судя по всему вы правы Если я пингую свич, подключенный к 7606 с 1ого интерфейса, после этого сразу же пытаюсь пингануть его с другого - пинг не проходит. Очищаю мак адрес таблицу и он начинает пинговаться со второго. А есть ли варианты, как поменять мак адрес у порта циски? Share this post Link to post Share on other sites
agr Posted January 24, 2013 · Report post Сделайте как я сказал: пропишите ip на физические интерфейсы gi2/15 и gi2/17. У физических портов разные маки, а на SVI mac не поменять. Share this post Link to post Share on other sites
