Перейти к содержимому
Калькуляторы

Ситуация следующая:

есть 2 vrf

VRF1 и VRF2

ip vrf vrf1

rd 1:30

route-target export 1:30

route-target import 1:30

!

ip vrf vrf2

rd 1:40

route-target export 1:40

route-target import 1:40

#sh running-config | include ip route

ip route vrf vrf1 0.0.0.0 0.0.0.0 10.0.64.3

ip route vrf vrf1 10.0.2.10 255.255.255.255 GigabitEthernet0/0/0.39 10.0.2.10

ip route vrf vrf1 10.91.0.0 255.255.255.0 10.0.2.65

ip route vrf vrf2 10.0.2.65 255.255.255.255 GigabitEthernet0/0/0.283 10.0.2.65

ISG#sh running-config int GigabitEthernet0/0/0.39

Building configuration...

 

Current configuration : 127 bytes

!

interface GigabitEthernet0/0/0.39

encapsulation dot1Q 39

ip vrf forwarding vrf2

ip address 10.0.2.18 255.255.255.224

end

 

ISG#sh running-config int GigabitEthernet0/0/0.283

Building configuration...

 

Current configuration : 266 bytes

!

interface GigabitEthernet0/0/0.283

description pogran-2-oka-1-vlan283

encapsulation dot1Q 283

ip vrf forwarding vrf1

ip address 10.0.2.66 255.255.255.224

cdp enable

service-policy type control S1

ip subscriber routed

initiator unclassified ip-address

end

 

ну так вот:

траффик маршрутизация из vrf1 в vrf2 идет, а наоборот нет(((

 

 

ping vrf vrf1 10.0.2.10

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.2.10, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/20 ms

 

 

ISG#ping vrf vrf2 10.0.2.65

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.2.65, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

В какую сторону копать????

Изменено пользователем tsolodov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделай пинг на 10.0.2.66 адрес. Если будет работать, то беда на 65 адресе, в его таблице маршрутов.

Смотри на нем дефолт или маршрут на 10.0.2.18

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ситуация следующая:

есть 2 vrf

VRF1 и VRF2

ip vrf vrf1

rd 1:30

route-target export 1:30

route-target import 1:30

!

ip vrf vrf2

rd 1:40

route-target export 1:40

route-target import 1:40

#sh running-config | include ip route

ip route vrf vrf1 0.0.0.0 0.0.0.0 10.0.64.3

ip route vrf vrf1 10.0.2.10 255.255.255.255 GigabitEthernet0/0/0.39 10.0.2.10

ip route vrf vrf1 10.91.0.0 255.255.255.0 10.0.2.65

ip route vrf vrf2 10.0.2.65 255.255.255.255 GigabitEthernet0/0/0.283 10.0.2.65

ISG#sh running-config int GigabitEthernet0/0/0.39

Building configuration...

 

Current configuration : 127 bytes

!

interface GigabitEthernet0/0/0.39

encapsulation dot1Q 39

ip vrf forwarding vrf2

ip address 10.0.2.18 255.255.255.224

end

 

ISG#sh running-config int GigabitEthernet0/0/0.283

Building configuration...

 

Current configuration : 266 bytes

!

interface GigabitEthernet0/0/0.283

description pogran-2-oka-1-vlan283

encapsulation dot1Q 283

ip vrf forwarding vrf1

ip address 10.0.2.66 255.255.255.224

cdp enable

service-policy type control S1

ip subscriber routed

initiator unclassified ip-address

end

 

ну так вот:

траффик маршрутизация из vrf1 в vrf2 идет, а наоборот нет(((

 

 

ping vrf vrf1 10.0.2.10

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.2.10, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/20 ms

 

 

ISG#ping vrf vrf2 10.0.2.65

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.2.65, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

В какую сторону копать????

 

с каким соурсом пингуешь? попробуй вручную соурс задать 10.0.2.10

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделай пинг на 10.0.2.66 адрес. Если будет работать, то беда на 65 адресе, в его таблице маршрутов.

Смотри на нем дефолт или маршрут на 10.0.2.18

На 65 адресе default 66, так что 65 адрес нипричем

S* 0.0.0.0/0 [1/0] via 10.0.2.66

 

ISG#ping vrf vrf1 10.0.2.66

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.2.66, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

 

ISG#sh ip route vrf vrf1

 

Routing Table: vrf1

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route, H - NHRP

+ - replicated route, % - next hop override

 

Gateway of last resort is 10.0.64.3 to network 0.0.0.0

 

S* 0.0.0.0/0 [1/0] via 10.0.64.3

10.0.0.0/8 is variably subnetted, 6 subnets, 4 masks

S 10.0.2.10/32 [1/0] via 10.0.2.10, GigabitEthernet0/0/0.39

C 10.0.2.64/27 is directly connected, GigabitEthernet0/0/0.283

L 10.0.2.66/32 is directly connected, GigabitEthernet0/0/0.283

C 10.0.64.0/29 is directly connected, GigabitEthernet0/0/0.937

L 10.0.64.4/32 is directly connected, GigabitEthernet0/0/0.937

S 10.91.0.0/24 [1/0] via 10.0.2.65

 

 

ISG#ping vrf vrf2 10.0.2.66

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.2.66, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

 

ISG#sh ip route vrf vrf2

 

Routing Table: vrf2

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route, H - NHRP

+ - replicated route, % - next hop override

 

Gateway of last resort is not set

 

10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks

C 10.0.2.0/27 is directly connected, GigabitEthernet0/0/0.39

L 10.0.2.18/32 is directly connected, GigabitEthernet0/0/0.39

S 10.0.2.65/32 [1/0] via 10.0.2.65, GigabitEthernet0/0/0.283

 

 

 

 

 

 

Ситуация следующая:

есть 2 vrf

VRF1 и VRF2

ip vrf vrf1

rd 1:30

route-target export 1:30

route-target import 1:30

!

ip vrf vrf2

rd 1:40

route-target export 1:40

route-target import 1:40

#sh running-config | include ip route

ip route vrf vrf1 0.0.0.0 0.0.0.0 10.0.64.3

ip route vrf vrf1 10.0.2.10 255.255.255.255 GigabitEthernet0/0/0.39 10.0.2.10

ip route vrf vrf1 10.91.0.0 255.255.255.0 10.0.2.65

ip route vrf vrf2 10.0.2.65 255.255.255.255 GigabitEthernet0/0/0.283 10.0.2.65

ISG#sh running-config int GigabitEthernet0/0/0.39

Building configuration...

 

Current configuration : 127 bytes

!

interface GigabitEthernet0/0/0.39

encapsulation dot1Q 39

ip vrf forwarding vrf2

ip address 10.0.2.18 255.255.255.224

end

 

ISG#sh running-config int GigabitEthernet0/0/0.283

Building configuration...

 

Current configuration : 266 bytes

!

interface GigabitEthernet0/0/0.283

description pogran-2-oka-1-vlan283

encapsulation dot1Q 283

ip vrf forwarding vrf1

ip address 10.0.2.66 255.255.255.224

cdp enable

service-policy type control S1

ip subscriber routed

initiator unclassified ip-address

end

 

ну так вот:

траффик маршрутизация из vrf1 в vrf2 идет, а наоборот нет(((

 

 

ping vrf vrf1 10.0.2.10

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.2.10, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/20 ms

 

 

ISG#ping vrf vrf2 10.0.2.65

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.2.65, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

В какую сторону копать????

 

с каким соурсом пингуешь? попробуй вручную соурс задать 10.0.2.10

Думаю что т.к. всего один интерфейс в vrf2 то сорс будет и так им, но все же:

ISG#ping vrf vrf2 10.0.2.66 source Gi0/0/0.39

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.2.66, timeout is 2 seconds:

Packet sent with a source address of 10.0.2.18

.....

Success rate is 0 percent (0/5)

Изменено пользователем tsolodov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а сделать route-target import 1:40 для vrf1

и route-target import 1:30 для vrf2 не надо?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а сделать route-target import 1:40 для vrf1

и route-target import 1:30 для vrf2 не надо?

это с утечками не связано помоему. импорты сами по себе перекинут маршруты, но не на одной железке.

 

Попробуй убрать весь ISG функционал с портов и протестить на "чистых" сабинтрфесах. Вдруг сабака там зарыта...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Делал такое. Всё работало.

http://ciscovod.blogspot.com/2009/09/stati...eaking-vrf.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А где в vrf1 роутинг на 10.0.2.18?

ip route vrf vrf1 10.0.2.18 255.255.255.255 GigabitEthernet0/0/0.39 10.0.2.18

Странная задача при таком исполнении конечно. Другой вариант - помещать интерфесы в нужные vrf c помощью PBR. Также, как выше предлагали - RT + import-map, и это более правильный путь, если не требуется route leaking для нескольких префиксов, или требуется не на одном роутере, а в сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а сделать route-target import 1:40 для vrf1

и route-target import 1:30 для vrf2 не надо?

это с утечками не связано помоему. импорты сами по себе перекинут маршруты, но не на одной железке.

 

Попробуй убрать весь ISG функционал с портов и протестить на "чистых" сабинтрфесах. Вдруг сабака там зарыта...

Все получилось(сегодня уивидел что забыл прописть роутинг)

 

Кто знает как положить сессию в определнный VRF на ISG?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть петля между портами, но пинги не хотят ходить в обе стороны

ip vrf test_1
rd 10.4.0.246:0
route-target export 10.4.0.246:0
route-target import 10.4.0.246:0
!
ip vrf test_2
rd 10.4.0.245:0
route-target export 10.4.0.245:0
route-target import 10.4.0.245:0
!
vlan 93
name test_1
!
vlan 94
name test_2
!
interface GigabitEthernet2/15
description to_ge2/17
switchport
switchport access vlan 93
switchport mode access
load-interval 30
speed nonegotiate
flowcontrol send off
no cdp enable
spanning-tree bpdufilter enable
!
interface GigabitEthernet2/17
description to_ge2/15
switchport
switchport access vlan 94
switchport mode access
load-interval 30
speed nonegotiate
flowcontrol send off
no cdp enable
spanning-tree bpdufilter enable
!
interface Vlan93
ip vrf forwarding test_1
ip address 10.4.0.245 255.255.255.252
!
interface Vlan94
ip vrf forwarding test_2
ip address 10.4.0.246 255.255.255.252
!

 

#sh ip route vrf test_1
Routing Table: test_1
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP
+ - replicated route, % - next hop override
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.4.0.244/30 is directly connected, Vlan93
L 10.4.0.245/32 is directly connected, Vlan93

#sh ip route vrf test_2
Routing Table: test_2
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP
+ - replicated route, % - next hop override
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.4.0.244/30 is directly connected, Vlan94
L 10.4.0.246/32 is directly connected, Vlan94

#ping vrf test_2 10.4.0.246 source 10.4.0.245
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.4.0.246, timeout is 2 seconds:
Packet sent with a source address of 10.4.0.245
.....
Success rate is 0 percent (0/5)

 

Подскажите, в чём может быть дело

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Включаюсь буком вместо петли - с любого из портов противоположный конец пингуется. Если ставлю пач и пытаюсь пинговать 1 интерфейс с другого то пинга нет. Уже всю голову себе сломал - SFP менял, порты менял, ничего не помогает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть петля между портами, но пинги не хотят ходить в обе стороны

ip vrf test_1
interface Vlan93
ip vrf forwarding test_1
ip address 10.4.0.245 255.255.255.252
!
interface Vlan94
ip vrf forwarding test_2
ip address 10.4.0.246 255.255.255.252
!
...
#ping vrf test_2 10.4.0.246 source 10.4.0.245
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.4.0.246, timeout is 2 seconds:
Packet sent with a source address of 10.4.0.245
.....
Success rate is 0 percent (0/5)

[/code]

Подскажите, в чём может быть дело

Тут логика не нарушена? Локал в test_2 - ...246, а пингуете в VRF test_2 с source ...245.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну сейчас gi 15 и 17 соединены пачкордом

Всё это делается что поставить в разрез SCE, но до SCE что-то дело всё никак не может дойти :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну сейчас gi 15 и 17 соединены пачкордом

Всё это делается что поставить в разрез SCE, но до SCE что-то дело всё никак не может дойти :(

Я понимаю, что они соединены :). Зачем делается - тоже для данной задачи не важно.

 

Я про то, что у вас в VRF test_2 адрес интерфейса ...246. А вы делаете пинг в VRF test_2 с source .245, который в VRF test_1.

Надо поменять местами адреса или в пинге, или на интерфейсах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну сейчас gi 15 и 17 соединены пачкордом

Всё это делается что поставить в разрез SCE, но до SCE что-то дело всё никак не может дойти :(

Я понимаю, что они соединены :). Зачем делается - тоже для данной задачи не важно.

 

Я про то, что у вас в VRF test_2 адрес интерфейса ...246. А вы делаете пинг в VRF test_2 с source .245, который в VRF test_1.

Надо поменять местами адреса или в пинге, или на интерфейсах.

Извиняюсь, это я похоже вчера на ночь глядя не так написал:

делаю вот так: ping vrf test_1 10.4.0.246 source 10.4.0.245

 

Но результат 1 и тотже - пинга всё равно нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, так логично :).

Что в arp-ах? Есть что-то? Счетчики на интерфейсах что-то кажут?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На счетчиках на интерфейсах растут только броадкасты, порт миррор говорит о том, что идут ARP запросы. Больше нету ничего.

sh mac ad gig2/15 говорит что маков на порту нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

расширить маску до /29, воткнуть в разрыв коммутатор, на нем повесить адрес с той же маски и с него посмотреть какие адреса отвечают какие нет, мож порт помер или еще какие косяки всплывут

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не понял, где вы видите arp-ы?

Вы пингуете с 15 (test_1) порта на 17 (vrf test_2), правильно?

Вы видите arp запросы на 15 порту или на 17? Видете ли вы ответы? Есть ли MAC-и на 17-м порту, куда должны придти пакеты с 15?

Какой вообще статус интерфейсов. В общем, творчески подходите к вопросу, возможно проблема в чем-то очень простом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

расширить маску до /29, воткнуть в разрыв коммутатор, на нем повесить адрес с той же маски и с него посмотреть какие адреса отвечают какие нет, мож порт помер или еще какие косяки всплывут

Поставил свич в разрыв, с него пингуются оба интерфейса. С 7606 IP свича также пингуется из обоих vrf'ов. А вот друг друга они наотрез не хотят пинговать

 

Не понял, где вы видите arp-ы?

Вы пингуете с 15 (test_1) порта на 17 (vrf test_2), правильно?

Вы видите arp запросы на 15 порту или на 17? Видете ли вы ответы? Есть ли MAC-и на 17-м порту, куда должны придти пакеты с 15?

Какой вообще статус интерфейсов. В общем, творчески подходите к вопросу, возможно проблема в чем-то очень простом.

при посылке пингов я вижу запросы с того интефейса, с которого идут запросы, ответов нет

интерфейсы в апе, пробовал включать и выключать speed noneg.

Маков нету ни на одном из 2х портов

 

Я согласен, что проблема в чём-то простом. Но я "туплю" уже что-то второй день и никак не могу понять почему 1 интерфейс не хочет пинговать другой. Пробовал переделать схему и прописать IP на порты кошки - эффект тотже - если к ним включить какое-нибудь устройство - они пингуются. Если их замкнуть - не работает. Как будто что-то блокирует порт.

Изменено пользователем Butch3r

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хоть и bpdu фильтр стоит, но все равно посмотрите, что показывает

sh span vl 93
sh span vl 94

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

sh span vl 93

 

VLAN0093

Spanning tree enabled protocol ieee

Root ID Priority 32861

Address 001d.7198.8380

This bridge is the root

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

 

Bridge ID Priority 32861 (priority 32768 sys-id-ext 93)

Address 001d.7198.8380

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Aging Time 300

 

Interface Role Sts Cost Prio.Nbr Type

------------------- ---- --- --------- -------- --------------------------------

Gi2/15 Desg FWD 4 128.268 Edge P2p

 

 

sh span vl 94

 

VLAN0094

Spanning tree enabled protocol ieee

Root ID Priority 32862

Address 001d.7198.8380

This bridge is the root

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

 

Bridge ID Priority 32862 (priority 32768 sys-id-ext 94)

Address 001d.7198.8380

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Aging Time 300

 

Interface Role Sts Cost Prio.Nbr Type

------------------- ---- --- --------- -------- --------------------------------

Gi2/17 Desg FWD 4 128.280 Edge P2p

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Похоже я понял. На 7606 оба SVI интерфейса имеют один и тот же mac адрес, в вашем случае - 001d.7198.8380. Соответственно на arp запросы от своего собственного mac адреса циска не отвечает, т.к. этот mac жестко прошит в ней.

Попробуйте прописать ip адреса прямо на физических интерфейсах(предварительно надо убрать с них switchport), они все равно у вас в режиме access, уверен все заработает.

Изменено пользователем agr

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Похоже я понял. На 7606 оба SVI интерфейса имеют один и тот же mac адрес, в вашем случае - 001d.7198.8380. Соответственно на arp запросы от своего собственного mac адреса циска не отвечает, т.к. этот mac жестко прошит в ней.

Попробуйте прописать ip адреса прямо на физических интерфейсах(предварительно надо убрать с них switchport), они все равно у вас в режиме access, уверен все заработает.

да, судя по всему вы правы

 

Если я пингую свич, подключенный к 7606 с 1ого интерфейса, после этого сразу же пытаюсь пингануть его с другого - пинг не проходит. Очищаю мак адрес таблицу и он начинает пинговаться со второго.

 

А есть ли варианты, как поменять мак адрес у порта циски?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделайте как я сказал: пропишите ip на физические интерфейсы gi2/15 и gi2/17. У физических портов разные маки, а на SVI mac не поменять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.