M-a-x-Z Опубликовано 22 сентября, 2011 (изменено) · Жалоба Доброго времени суток! У меня появилась задача передать между двумя маршрутизаторами в корпоративной сети сторонний трафик с произвольной адресацией, таким образом что бы абоненты внешней сети с этими адресами не могли взаимодействовать. Для решения проблемы воспользовался связко GRE + VRF. Вот что получилось (причём всё работает как надо): Настройка 3750 на стыке с клиентом (Vlan 966) ip vrf AAA … interface Vlan966 ip vrf forwarding AAA ip address 1.1.1.254 255.255.255.0 … interface Tunnel901 ip vrf forwarding AAA ip address 1.1.2.1 255.255.255.248 tunnel source 10.0.0.28 tunnel destination 10.0.0.34 … ip route vrf AAA 1.1.3.0 255.255.255.248 1.1.2.2 ip route vrf AAA 0.0.0.0 0.0.0.0 1.1.1.1 … Настройка 3750 на стыке с терминалом клиента (Vlan966) … ip vrf AAA … interface Vlan966 ip vrf forwarding AAA ip address 1.1.3.1 255.255.255.248 ip helper-address 4.4.4.4 … interface Tunnel901 ip vrf forwarding AAA ip address 1.1.2.2 255.255.255.248 tunnel source 10.0.0.34 tunnel destination 10.0.0.28 … ip route vrf AAA 0.0.0.0 0.0.0.0 1.1.2.1 Так вот, как я уже говорил - всё работает без замечаний, но непонятно следующее: В настройках интерфейса можно указать его IP-адрес из любой VRF, а вот для tunnel source и tunnel destination указать VRF нельзя. Каким образом кошка определяет адреса источника и назначения тунеля брать из глобал или из какой-то VRF? Корректна ли такая настройка без явного указания на использование конечных точек туннеля из глобал? Ведь внутри VRF могут появиться такие же адреса. Изменено 22 сентября, 2011 пользователем M-a-x-Z Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 22 сентября, 2011 · Жалоба tunnel vrf такой-то но работать будет не везде. То что бегает в туннеле внутри врф как раз и описывается: ip vrf forwarding AAA ip address 1.1.2.2 255.255.255.248 А сорсы и дестинейшены для самого туннеля берутся из глобала. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 22 сентября, 2011 · Жалоба tunnel vrf такой-то но работать будет не везде. То что бегает в туннеле внутри врф как раз и описывается: ip vrf forwarding AAA ip address 1.1.2.2 255.255.255.248 Это я понял) Я ведь так и настроил - готового примера у меня не было А сорсы и дестинейшены для самого туннеля берутся из глобала. вот это я и хотел уточнить. Т.е. получается тунель через VRF построить нельзя - он всегда будет идти через глобал? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 22 сентября, 2011 · Жалоба Можно построить через врф, только не на всякой железке заработает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 22 сентября, 2011 (изменено) · Жалоба Можно построить через врф, только не на всякой железке заработает. при настройке source и destination возможности указать VRF нет - это значит что текущая версия ПО не поддерживает строение тонеля через VRF? Изменено 22 сентября, 2011 пользователем M-a-x-Z Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 22 сентября, 2011 · Жалоба Ну да, я ж выше написал как должно быть: "tunnel vrf ....." Но проблема бывает еще и в том, что возможность настройки есть, а фактически туннель не работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 22 сентября, 2011 · Жалоба Понятно, спасибо. Ещё нашёл в логах следующую запись: Sep 22 04:53:54: %L3TCAM-3-SIZE_CONFLICT: VRF requires enabling extended routing не смог найти - что она обозначает. Причём наличие этой записи в логах не влияет на работоспособность тунеля. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 22 сентября, 2011 · Жалоба http://packetlife.net/blog/2010/mar/29/inter-vrf-routing-vrf-lite/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...