mmvds Posted March 27, 2012 (edited) · Report post Всем привет! помогите разобраться с задачкой по VRF Есть маршрутизатор R1 (cisco 76XX), на нем vrf123 ! ip vrf vrf123 rd 12345:10 ! vlan 123 name vlan123 ! interface Loopback1 description loopback for vrf123 ip vrf forwarding vrf123 ip address xa.xb.xc.13 255.255.255.255 ! interface Vlan123 ip vrf forwarding vrf123 ip address xa.xb.xc.66 255.255.255.252 no ip redirects ip ospf network point-to-point ! router ospf 10 vrf vrf123 router-id xa.xb.xc.13 redistribute static subnets redistribute connected subnets passive-interface default no passive-interface Vlan123 network xa.xb.xc.0 0.0.0.255 area 1 ! Влан 123 проброшен на порт interface Gi1/1 switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 123 switchport mode trunk ! К порту подключен китайский цископодобный маршрутизатор R2, доступа к которому нет c ip address xa.xb.xc.65 255.255.255.252 Через который видно сеть xa.xb.xc.32 255.255.255.224 Чтобы увидеть эту сеть на R1 добавил маршрут ip route vrf vrf123 xa.xb.xc.32 255.255.255.224 xa.xb.xc.65 Также к R1 подключен свитч SW1 (ciscio c3960), на котором сидит пользователь, которому нужно получить доступ к ip xa.xb.xc.36 т.е. можно пропинговать xa.xb.xc.36 c R1 через ping vrf vrf123 xa.xb.xc.36, пинг проходит При этом изменить конфиг на R1, SW1 можно, на R2 - нельзя. Собственно вопрос, что нужно донастроить на R1 и SW1? Vlan123 с сетью /30, 1 ip прописан на R1, Другой на R2, а т.к. на R2 доступа для смены конфига нет, то во vlan123 больше никого не запихнуть -----------------------------------(Добавлено) Пробовал добавить другой vlan в VRF Например vlan124, его тоже в vrf123 т.е. делаю например conf t vlan 124 name vlan124 interface Vlan124 ip vrf forwarding vrf123 ip address xa.xb.xc.129 255.255.255.224 router ospf 10 vrf vrf123 no passive-interface Vlan124 И прокидываю 124 vlan на порт до пользователя У пользователя прописываю например ip: xa.xb.xc.130 mask: 255.255.255.224 gateway: xa.xb.xc.129 Пробовал, не помогло, шлюз доступен от пользователя, xa.xb.xc.66 (R1 во vlan123) доступен, xa.xb.xc.65 (адрес R2 во vlan123) тоже доступен, а вот xa.xb.xc.36 не доступен :( Может все-таки можно как-то второй влан (124) разрулить? Или как-то настроить маршрутизацию чтобы по виртульному интерфейсу глобальной таблицы маршрутизации были доступны ip из vrf? Т.е. чтобы с R1 можно было пингануть xa.xb.xc.36 без vrf? Edited March 27, 2012 by mmvds Share this post Link to post Share on other sites
nnm Posted March 27, 2012 · Report post ip route vrf vrf123 xa.xb.xc.32 255.255.255.224 xa.xb.xc.65 А это зачем? Что по OSPF не приходит маршрут на xa.xb.xc.32/27 ? А что думает xa.xb.xc.36 по поводу маршрута на xa.xb.xc.128/27 ? Share this post Link to post Share on other sites
mmvds Posted March 28, 2012 · Report post OSPF А это зачем? Что по OSPF не приходит маршрут на xa.xb.xc.32/27 ? А что думает xa.xb.xc.36 по поводу маршрута на xa.xb.xc.128/27 ? OSPF на R1 видит только xa.xb.xc.65/30 xa.xb.xc.36 тоже видит xa.xb.xc.65/30, узел xa.xb.xc.36 находится за R2, соответсвенно доступа к нему пока нет Share this post Link to post Share on other sites
nnm Posted March 28, 2012 · Report post А это зачем? Что по OSPF не приходит маршрут на xa.xb.xc.32/27 ? OSPF на R1 видит только xa.xb.xc.65/30 Понятно, тогда я-бы очень осторожно относился к редистрибуции этот статика в OSPF. А что думает xa.xb.xc.36 по поводу маршрута на xa.xb.xc.128/27 ? xa.xb.xc.36 тоже видит xa.xb.xc.65/30, узел xa.xb.xc.36 находится за R2, соответсвенно доступа к нему пока нет Исходя из того, что R2 отвечает на ping от xa.xb.xc.130, а xa.xb.xc.36 не отвечает, можно предположить, что на xa.xb.xc.36 нет маршрута на xa.xb.xc.128/27. Ну или на R2 есть злобный firewall :) Share this post Link to post Share on other sites
mmvds Posted March 28, 2012 · Report post Исходя из того, что R2 отвечает на ping от xa.xb.xc.130, а xa.xb.xc.36 не отвечает, можно предположить, что на xa.xb.xc.36 нет маршрута на xa.xb.xc.128/27. Ну или на R2 есть злобный firewall :) Так а почему можно пропинговать xa.xb.xc.36 c R1 через "ping vrf vrf123 xa.xb.xc.36" ? Share this post Link to post Share on other sites
mmvds Posted March 28, 2012 · Report post Удалось раздобыть конфиг с R2 vlan 10 description vlan10 vlan 123 description vlan123 interface Vlanif10 ip address xa.xb.xc.34 255.255.255.224 vrrp vrid 1 virtual-ip xa.xb.xc.33 vrrp vrid 1 priority 120 vrrp vrid 1 track interface Ethernet0/0/20 reduced 30 dhcp select global interface Vlanif123 ip address xa.xb.xc.65 255.255.255.252 ospf network-type p2p interface Ethernet0/0/5 description server_xa.xb.xc.36 port hybrid pvid vlan 10 undo port hybrid vlan 1 port hybrid untagged vlan 10 ntdp enable ndp enable bpdu enable interface Ethernet0/0/20 description uplink_to_Cisco port link-type trunk port trunk allow-pass vlan 123 ntdp enable ndp enable bpdu enable ospf 1 silent-interface all undo silent-interface Vlanif123 area 0.0.0.1 network xa.xb.xc.0 0.0.0.255 Соответственно xa.xb.xc.36 воткнут в 5-ый порт, находится в 10-ом влане, шлюз xa.xb.xc.33, маска 255.255.255.224 И через 20-ый порт проброшен 123 влан от R1 Share this post Link to post Share on other sites
g3fox Posted March 28, 2012 · Report post Подозреваю, что на R2 по какой-то причине нет маршрута на xa.xb.xc.128/27. Попробуйте ping vrf vrf123 xa.xb.xc.65 source xa.xb.xc.129. Покажите show ip ospf 10 self-orig Share this post Link to post Share on other sites
mmvds Posted March 28, 2012 · Report post Есть маршрут ping vrf vrf123 xa.xb.xc.65 source xa.xb.xc.129 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to xa.xb.xc.65, timeout is 2 seconds: Packet sent with a source address of xa.xb.xc.129 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms show ip ospf 10 database router self-originate OSPF Router with ID (xa.xb.xc.13) (Process ID 10) Router Link States (Area 0) ........................................................... Router Link States (Area 1) LS age: 1142 Options: (No TOS-capability, DC) LS Type: Router Links Link State ID: xa.xb.xc.13 Advertising Router: r1.loop.vrf123.domain12345.ru LS Seq Number: 80000038 Checksum: 0x839 Length: 84 Area Border Router AS Boundary Router Number of Links: 2 Link connected to: a Stub Network (Link ID) Network/subnet number: xa.xb.xc.128 (Link Data) Network Mask: 255.255.255.224 Number of MTID metrics: 0 TOS 0 Metrics: 1 Link connected to: a Stub Network (Link ID) Network/subnet number: xa.xb.xc.64 (Link Data) Network Mask: 255.255.255.252 Number of MTID metrics: 0 TOS 0 Metrics: 1 Share this post Link to post Share on other sites
g3fox Posted March 28, 2012 · Report post ping vrf vrf123 xa.xb.xc.33 source xa.xb.xc.129 ping vrf vrf123 xa.xb.xc.36 source xa.xb.xc.129 кто знает что это за магические "стринги" ? ntdp enable ndp enable bpdu enable Share this post Link to post Share on other sites
nnm Posted March 28, 2012 · Report post Исходя из того, что R2 отвечает на ping от xa.xb.xc.130, а xa.xb.xc.36 не отвечает, можно предположить, что на xa.xb.xc.36 нет маршрута на xa.xb.xc.128/27. Ну или на R2 есть злобный firewall :) Так а почему можно пропинговать xa.xb.xc.36 c R1 через "ping vrf vrf123 xa.xb.xc.36" ? Когда Вы пишете "ping vrf vrf123 xa.xb.xc.36" на R1, то пакетики летят в сторону xa.xb.xc.36 с source-address=xa.xb.xc.66, а когда Вы делаете это с xa.xb.xc.130, то и source-address=xa.xb.xc.130. Возможно, что проблема именно в доставке обратных пакетов (от xa.xb.xc.36 на xa.xb.xc.130). А точно R2 является VRRP master на Vlanif10? Можно-ли сделать traceroute с xa.xb.xc.36 на xa.xb.xc.130 и в обратном направлении? Share this post Link to post Share on other sites
mmvds Posted March 28, 2012 · Report post Странно, ping xa.xb.xc.33 source xa.xb.xc.129 % Invalid source address- IP address not on any of our up interfaces ping xa.xb.xc.36 source xa.xb.xc.129 % Invalid source address- IP address not on any of our up interfaces Странно, конфиги у обоих вланов одинаковые interface Vlan123 ip vrf forwarding vrf123 ip address xa.xb.xc.66 255.255.255.252 ip ospf network point-to-point interface Vlan124 ip vrf forwarding vrf123 ip address xa.xb.xc.129 255.255.255.224 ip ospf network point-to-point ! router ospf 10 vrf vrf123 router-id xa.xb.xc.13 capability vrf-lite redistribute static subnets redistribute connected subnets passive-interface default no passive-interface Vlan123 no passive-interface Vlan124 network xa.xb.xc.0 0.0.0.255 area 1 ! Share this post Link to post Share on other sites
g3fox Posted March 28, 2012 · Report post ping xa.xb.xc.33 source xa.xb.xc.129 % Invalid source address- IP address not on any of our up interfaces ping xa.xb.xc.36 source xa.xb.xc.129 % Invalid source address- IP address not on any of our up interfaces Вы не указали vrf vrf123 Share this post Link to post Share on other sites
mmvds Posted March 28, 2012 · Report post Вы не указали vrf vrf123 Верно, ping vrf vrf123 xa.xb.xc.33 source xa.xb.xc.129 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to xa.xb.xc.33, timeout is 2 seconds: Packet sent with a source address of xa.xb.xc.129 ..... Success rate is 0 percent (0/5) ping vrf vrf123 xa.xb.xc.36 source xa.xb.xc.129 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to xa.xb.xc.36, timeout is 2 seconds: Packet sent with a source address of xa.xb.xc.129 ..... Success rate is 0 percent (0/5) Не проходит Share this post Link to post Share on other sites
mmvds Posted March 28, 2012 (edited) · Report post Сдается мне что на R2 надо в ospf 1 silent-interface all undo silent-interface Vlanif123 area 0.0.0.1 network xa.xb.xc.0 0.0.0.255 Добавить undo silent-interface Vlanif124 Попробую завтра получить доступ к R2 Edited March 28, 2012 by mmvds Share this post Link to post Share on other sites
mmvds Posted March 29, 2012 · Report post Получил доступ до R2, Расширил на нем сеть для vlan123 до /27 vlan пробросил vlan123 на оператора, все работает Share this post Link to post Share on other sites
mmvds Posted October 26, 2012 · Report post Возвращаясь к старой проблеме - выяснилось, что проблема была в китайской железке, подвисал ospf Проблемой страдает Huawei S3328 прошивка V100R005C01SPC100 "In OSPF multi-instance scenarios, when intra-area and external OSPF routes flap simultaneously, some OSPF routes are lost", решается официальным патчем. Share this post Link to post Share on other sites
