[tsolodov]

Ситуация следующая:

есть 2 vrf

VRF1 и VRF2

ip vrf vrf1

rd 1:30

route-target export 1:30

route-target import 1:30

!

ip vrf vrf2

rd 1:40

route-target export 1:40

route-target import 1:40

#sh running-config | include ip route

ip route vrf vrf1 0.0.0.0 0.0.0.0 10.0.64.3

ip route vrf vrf1 10.0.2.10 255.255.255.255 GigabitEthernet0/0/0.39 10.0.2.10

ip route vrf vrf1 10.91.0.0 255.255.255.0 10.0.2.65

ip route vrf vrf2 10.0.2.65 255.255.255.255 GigabitEthernet0/0/0.283 10.0.2.65

ISG#sh running-config int GigabitEthernet0/0/0.39

Building configuration...

 

Current configuration : 127 bytes

!

interface GigabitEthernet0/0/0.39

encapsulation dot1Q 39

ip vrf forwarding vrf2

ip address 10.0.2.18 255.255.255.224

end

 

ISG#sh running-config int GigabitEthernet0/0/0.283

Building configuration...

 

Current configuration : 266 bytes

!

interface GigabitEthernet0/0/0.283

description pogran-2-oka-1-vlan283

encapsulation dot1Q 283

ip vrf forwarding vrf1

ip address 10.0.2.66 255.255.255.224

cdp enable

service-policy type control S1

ip subscriber routed

initiator unclassified ip-address

end

 

ну так вот:

траффик маршрутизация из vrf1 в vrf2 идет, а наоборот нет(((

 

 

ping vrf vrf1 10.0.2.10

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.2.10, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/20 ms

 

 

ISG#ping vrf vrf2 10.0.2.65

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.2.65, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

В какую сторону копать????

Изменено 17 февраля, 2011 пользователем tsolodov

[SergeiK]

Сделай пинг на 10.0.2.66 адрес. Если будет работать, то беда на 65 адресе, в его таблице маршрутов.

Смотри на нем дефолт или маршрут на 10.0.2.18

[bokl]

Ситуация следующая:

есть 2 vrf

VRF1 и VRF2

ip vrf vrf1

rd 1:30

route-target export 1:30

route-target import 1:30

!

ip vrf vrf2

rd 1:40

route-target export 1:40

route-target import 1:40

#sh running-config | include ip route

ip route vrf vrf1 0.0.0.0 0.0.0.0 10.0.64.3

ip route vrf vrf1 10.0.2.10 255.255.255.255 GigabitEthernet0/0/0.39 10.0.2.10

ip route vrf vrf1 10.91.0.0 255.255.255.0 10.0.2.65

ip route vrf vrf2 10.0.2.65 255.255.255.255 GigabitEthernet0/0/0.283 10.0.2.65

ISG#sh running-config int GigabitEthernet0/0/0.39

Building configuration...

 

Current configuration : 127 bytes

!

interface GigabitEthernet0/0/0.39

encapsulation dot1Q 39

ip vrf forwarding vrf2

ip address 10.0.2.18 255.255.255.224

end

 

ISG#sh running-config int GigabitEthernet0/0/0.283

Building configuration...

 

Current configuration : 266 bytes

!

interface GigabitEthernet0/0/0.283

description pogran-2-oka-1-vlan283

encapsulation dot1Q 283

ip vrf forwarding vrf1

ip address 10.0.2.66 255.255.255.224

cdp enable

service-policy type control S1

ip subscriber routed

initiator unclassified ip-address

end

 

ну так вот:

траффик маршрутизация из vrf1 в vrf2 идет, а наоборот нет(((

 

 

ping vrf vrf1 10.0.2.10

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.2.10, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/20 ms

 

 

ISG#ping vrf vrf2 10.0.2.65

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.2.65, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

В какую сторону копать????

 

с каким соурсом пингуешь? попробуй вручную соурс задать 10.0.2.10

[tsolodov]

Сделай пинг на 10.0.2.66 адрес. Если будет работать, то беда на 65 адресе, в его таблице маршрутов.

Смотри на нем дефолт или маршрут на 10.0.2.18

На 65 адресе default 66, так что 65 адрес нипричем

S* 0.0.0.0/0 [1/0] via 10.0.2.66

 

ISG#ping vrf vrf1 10.0.2.66

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.2.66, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

 

ISG#sh ip route vrf vrf1

 

Routing Table: vrf1

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route, H - NHRP

+ - replicated route, % - next hop override

 

Gateway of last resort is 10.0.64.3 to network 0.0.0.0

 

S* 0.0.0.0/0 [1/0] via 10.0.64.3

10.0.0.0/8 is variably subnetted, 6 subnets, 4 masks

S 10.0.2.10/32 [1/0] via 10.0.2.10, GigabitEthernet0/0/0.39

C 10.0.2.64/27 is directly connected, GigabitEthernet0/0/0.283

L 10.0.2.66/32 is directly connected, GigabitEthernet0/0/0.283

C 10.0.64.0/29 is directly connected, GigabitEthernet0/0/0.937

L 10.0.64.4/32 is directly connected, GigabitEthernet0/0/0.937

S 10.91.0.0/24 [1/0] via 10.0.2.65

 

 

ISG#ping vrf vrf2 10.0.2.66

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.2.66, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

 

ISG#sh ip route vrf vrf2

 

Routing Table: vrf2

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route, H - NHRP

+ - replicated route, % - next hop override

 

Gateway of last resort is not set

 

10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks

C 10.0.2.0/27 is directly connected, GigabitEthernet0/0/0.39

L 10.0.2.18/32 is directly connected, GigabitEthernet0/0/0.39

S 10.0.2.65/32 [1/0] via 10.0.2.65, GigabitEthernet0/0/0.283

 

 

 

 

 

 

Ситуация следующая:

есть 2 vrf

VRF1 и VRF2

ip vrf vrf1

rd 1:30

route-target export 1:30

route-target import 1:30

!

ip vrf vrf2

rd 1:40

route-target export 1:40

route-target import 1:40

#sh running-config | include ip route

ip route vrf vrf1 0.0.0.0 0.0.0.0 10.0.64.3

ip route vrf vrf1 10.0.2.10 255.255.255.255 GigabitEthernet0/0/0.39 10.0.2.10

ip route vrf vrf1 10.91.0.0 255.255.255.0 10.0.2.65

ip route vrf vrf2 10.0.2.65 255.255.255.255 GigabitEthernet0/0/0.283 10.0.2.65

ISG#sh running-config int GigabitEthernet0/0/0.39

Building configuration...

 

Current configuration : 127 bytes

!

interface GigabitEthernet0/0/0.39

encapsulation dot1Q 39

ip vrf forwarding vrf2

ip address 10.0.2.18 255.255.255.224

end

 

ISG#sh running-config int GigabitEthernet0/0/0.283

Building configuration...

 

Current configuration : 266 bytes

!

interface GigabitEthernet0/0/0.283

description pogran-2-oka-1-vlan283

encapsulation dot1Q 283

ip vrf forwarding vrf1

ip address 10.0.2.66 255.255.255.224

cdp enable

service-policy type control S1

ip subscriber routed

initiator unclassified ip-address

end

 

ну так вот:

траффик маршрутизация из vrf1 в vrf2 идет, а наоборот нет(((

 

 

ping vrf vrf1 10.0.2.10

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.2.10, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/20 ms

 

 

ISG#ping vrf vrf2 10.0.2.65

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.2.65, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

В какую сторону копать????

 

с каким соурсом пингуешь? попробуй вручную соурс задать 10.0.2.10

Думаю что т.к. всего один интерфейс в vrf2 то сорс будет и так им, но все же:

ISG#ping vrf vrf2 10.0.2.66 source Gi0/0/0.39

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.2.66, timeout is 2 seconds:

Packet sent with a source address of 10.0.2.18

.....

Success rate is 0 percent (0/5)

Изменено 17 февраля, 2011 пользователем tsolodov

[MagMike]

а сделать route-target import 1:40 для vrf1

и route-target import 1:30 для vrf2 не надо?

 

[bokl]

а сделать route-target import 1:40 для vrf1

и route-target import 1:30 для vrf2 не надо?

это с утечками не связано помоему. импорты сами по себе перекинут маршруты, но не на одной железке.

 

Попробуй убрать весь ISG функционал с портов и протестить на "чистых" сабинтрфесах. Вдруг сабака там зарыта...

[Stak]

Делал такое. Всё работало.

http://ciscovod.blogspot.com/2009/09/stati...eaking-vrf.html

[p2d]

А где в vrf1 роутинг на 10.0.2.18?

ip route vrf vrf1 10.0.2.18 255.255.255.255 GigabitEthernet0/0/0.39 10.0.2.18

Странная задача при таком исполнении конечно. Другой вариант - помещать интерфесы в нужные vrf c помощью PBR. Также, как выше предлагали - RT + import-map, и это более правильный путь, если не требуется route leaking для нескольких префиксов, или требуется не на одном роутере, а в сети.

[tsolodov]

а сделать route-target import 1:40 для vrf1

и route-target import 1:30 для vrf2 не надо?

это с утечками не связано помоему. импорты сами по себе перекинут маршруты, но не на одной железке.

 

Попробуй убрать весь ISG функционал с портов и протестить на "чистых" сабинтрфесах. Вдруг сабака там зарыта...

Все получилось(сегодня уивидел что забыл прописть роутинг)

 

Кто знает как положить сессию в определнный VRF на ISG?

[Butch3r]

Есть петля между портами, но пинги не хотят ходить в обе стороны

ip vrf test_1
rd 10.4.0.246:0
route-target export 10.4.0.246:0
route-target import 10.4.0.246:0
!
ip vrf test_2
rd 10.4.0.245:0
route-target export 10.4.0.245:0
route-target import 10.4.0.245:0
!
vlan 93
name test_1
!
vlan 94
name test_2
!
interface GigabitEthernet2/15
description to_ge2/17
switchport
switchport access vlan 93
switchport mode access
load-interval 30
speed nonegotiate
flowcontrol send off
no cdp enable
spanning-tree bpdufilter enable
!
interface GigabitEthernet2/17
description to_ge2/15
switchport
switchport access vlan 94
switchport mode access
load-interval 30
speed nonegotiate
flowcontrol send off
no cdp enable
spanning-tree bpdufilter enable
!
interface Vlan93
ip vrf forwarding test_1
ip address 10.4.0.245 255.255.255.252
!
interface Vlan94
ip vrf forwarding test_2
ip address 10.4.0.246 255.255.255.252
!

 

#sh ip route vrf test_1
Routing Table: test_1
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP
+ - replicated route, % - next hop override
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.4.0.244/30 is directly connected, Vlan93
L 10.4.0.245/32 is directly connected, Vlan93

#sh ip route vrf test_2
Routing Table: test_2
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP
+ - replicated route, % - next hop override
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.4.0.244/30 is directly connected, Vlan94
L 10.4.0.246/32 is directly connected, Vlan94

#ping vrf test_2 10.4.0.246 source 10.4.0.245
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.4.0.246, timeout is 2 seconds:
Packet sent with a source address of 10.4.0.245
.....
Success rate is 0 percent (0/5)

 

Подскажите, в чём может быть дело

[Butch3r]

Включаюсь буком вместо петли - с любого из портов противоположный конец пингуется. Если ставлю пач и пытаюсь пинговать 1 интерфейс с другого то пинга нет. Уже всю голову себе сломал - SFP менял, порты менял, ничего не помогает

[SergeiK]

Есть петля между портами, но пинги не хотят ходить в обе стороны

ip vrf test_1
interface Vlan93
ip vrf forwarding test_1
ip address 10.4.0.245 255.255.255.252
!
interface Vlan94
ip vrf forwarding test_2
ip address 10.4.0.246 255.255.255.252
!
...
#ping vrf test_2 10.4.0.246 source 10.4.0.245
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.4.0.246, timeout is 2 seconds:
Packet sent with a source address of 10.4.0.245
.....
Success rate is 0 percent (0/5)

[/code]

Подскажите, в чём может быть дело

Тут логика не нарушена? Локал в test_2 - ...246, а пингуете в VRF test_2 с source ...245.

[Butch3r]

Ну сейчас gi 15 и 17 соединены пачкордом

Всё это делается что поставить в разрез SCE, но до SCE что-то дело всё никак не может дойти :(

[SergeiK]

Ну сейчас gi 15 и 17 соединены пачкордом

Всё это делается что поставить в разрез SCE, но до SCE что-то дело всё никак не может дойти :(

Я понимаю, что они соединены :). Зачем делается - тоже для данной задачи не важно.

 

Я про то, что у вас в VRF test_2 адрес интерфейса ...246. А вы делаете пинг в VRF test_2 с source .245, который в VRF test_1.

Надо поменять местами адреса или в пинге, или на интерфейсах.

[Butch3r]

Ну сейчас gi 15 и 17 соединены пачкордом

Всё это делается что поставить в разрез SCE, но до SCE что-то дело всё никак не может дойти :(

Я понимаю, что они соединены :). Зачем делается - тоже для данной задачи не важно.

 

Я про то, что у вас в VRF test_2 адрес интерфейса ...246. А вы делаете пинг в VRF test_2 с source .245, который в VRF test_1.

Надо поменять местами адреса или в пинге, или на интерфейсах.

Извиняюсь, это я похоже вчера на ночь глядя не так написал:

делаю вот так: ping vrf test_1 10.4.0.246 source 10.4.0.245

 

Но результат 1 и тотже - пинга всё равно нет

[SergeiK]

Да, так логично :).

Что в arp-ах? Есть что-то? Счетчики на интерфейсах что-то кажут?

[Butch3r]

На счетчиках на интерфейсах растут только броадкасты, порт миррор говорит о том, что идут ARP запросы. Больше нету ничего.

sh mac ad gig2/15 говорит что маков на порту нет

[darkagent]

расширить маску до /29, воткнуть в разрыв коммутатор, на нем повесить адрес с той же маски и с него посмотреть какие адреса отвечают какие нет, мож порт помер или еще какие косяки всплывут

[SergeiK]

Не понял, где вы видите arp-ы?

Вы пингуете с 15 (test_1) порта на 17 (vrf test_2), правильно?

Вы видите arp запросы на 15 порту или на 17? Видете ли вы ответы? Есть ли MAC-и на 17-м порту, куда должны придти пакеты с 15?

Какой вообще статус интерфейсов. В общем, творчески подходите к вопросу, возможно проблема в чем-то очень простом.

[Butch3r]

расширить маску до /29, воткнуть в разрыв коммутатор, на нем повесить адрес с той же маски и с него посмотреть какие адреса отвечают какие нет, мож порт помер или еще какие косяки всплывут

Поставил свич в разрыв, с него пингуются оба интерфейса. С 7606 IP свича также пингуется из обоих vrf'ов. А вот друг друга они наотрез не хотят пинговать

 

Не понял, где вы видите arp-ы?

Вы пингуете с 15 (test_1) порта на 17 (vrf test_2), правильно?

Вы видите arp запросы на 15 порту или на 17? Видете ли вы ответы? Есть ли MAC-и на 17-м порту, куда должны придти пакеты с 15?

Какой вообще статус интерфейсов. В общем, творчески подходите к вопросу, возможно проблема в чем-то очень простом.

при посылке пингов я вижу запросы с того интефейса, с которого идут запросы, ответов нет

интерфейсы в апе, пробовал включать и выключать speed noneg.

Маков нету ни на одном из 2х портов

 

Я согласен, что проблема в чём-то простом. Но я "туплю" уже что-то второй день и никак не могу понять почему 1 интерфейс не хочет пинговать другой. Пробовал переделать схему и прописать IP на порты кошки - эффект тотже - если к ним включить какое-нибудь устройство - они пингуются. Если их замкнуть - не работает. Как будто что-то блокирует порт.

Изменено 24 января, 2013 пользователем Butch3r

[agr]

хоть и bpdu фильтр стоит, но все равно посмотрите, что показывает

sh span vl 93
sh span vl 94

[Butch3r]

sh span vl 93

 

VLAN0093

Spanning tree enabled protocol ieee

Root ID Priority 32861

Address 001d.7198.8380

This bridge is the root

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

 

Bridge ID Priority 32861 (priority 32768 sys-id-ext 93)

Address 001d.7198.8380

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Aging Time 300

 

Interface Role Sts Cost Prio.Nbr Type

------------------- ---- --- --------- -------- --------------------------------

Gi2/15 Desg FWD 4 128.268 Edge P2p

 

 

sh span vl 94

 

VLAN0094

Spanning tree enabled protocol ieee

Root ID Priority 32862

Address 001d.7198.8380

This bridge is the root

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

 

Bridge ID Priority 32862 (priority 32768 sys-id-ext 94)

Address 001d.7198.8380

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Aging Time 300

 

Interface Role Sts Cost Prio.Nbr Type

------------------- ---- --- --------- -------- --------------------------------

Gi2/17 Desg FWD 4 128.280 Edge P2p

[agr]

Похоже я понял. На 7606 оба SVI интерфейса имеют один и тот же mac адрес, в вашем случае - 001d.7198.8380. Соответственно на arp запросы от своего собственного mac адреса циска не отвечает, т.к. этот mac жестко прошит в ней.

Попробуйте прописать ip адреса прямо на физических интерфейсах(предварительно надо убрать с них switchport), они все равно у вас в режиме access, уверен все заработает.

Изменено 24 января, 2013 пользователем agr

[Butch3r]

Похоже я понял. На 7606 оба SVI интерфейса имеют один и тот же mac адрес, в вашем случае - 001d.7198.8380. Соответственно на arp запросы от своего собственного mac адреса циска не отвечает, т.к. этот mac жестко прошит в ней.

Попробуйте прописать ip адреса прямо на физических интерфейсах(предварительно надо убрать с них switchport), они все равно у вас в режиме access, уверен все заработает.

да, судя по всему вы правы

 

Если я пингую свич, подключенный к 7606 с 1ого интерфейса, после этого сразу же пытаюсь пингануть его с другого - пинг не проходит. Очищаю мак адрес таблицу и он начинает пинговаться со второго.

 

А есть ли варианты, как поменять мак адрес у порта циски?

[agr]

Сделайте как я сказал: пропишите ip на физические интерфейсы gi2/15 и gi2/17. У физических портов разные маки, а на SVI mac не поменять.