mmvds Posted March 27, 2012 Posted March 27, 2012 (edited) Всем привет! помогите разобраться с задачкой по VRF Есть маршрутизатор R1 (cisco 76XX), на нем vrf123 ! ip vrf vrf123 rd 12345:10 ! vlan 123 name vlan123 ! interface Loopback1 description loopback for vrf123 ip vrf forwarding vrf123 ip address xa.xb.xc.13 255.255.255.255 ! interface Vlan123 ip vrf forwarding vrf123 ip address xa.xb.xc.66 255.255.255.252 no ip redirects ip ospf network point-to-point ! router ospf 10 vrf vrf123 router-id xa.xb.xc.13 redistribute static subnets redistribute connected subnets passive-interface default no passive-interface Vlan123 network xa.xb.xc.0 0.0.0.255 area 1 ! Влан 123 проброшен на порт interface Gi1/1 switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 123 switchport mode trunk ! К порту подключен китайский цископодобный маршрутизатор R2, доступа к которому нет c ip address xa.xb.xc.65 255.255.255.252 Через который видно сеть xa.xb.xc.32 255.255.255.224 Чтобы увидеть эту сеть на R1 добавил маршрут ip route vrf vrf123 xa.xb.xc.32 255.255.255.224 xa.xb.xc.65 Также к R1 подключен свитч SW1 (ciscio c3960), на котором сидит пользователь, которому нужно получить доступ к ip xa.xb.xc.36 т.е. можно пропинговать xa.xb.xc.36 c R1 через ping vrf vrf123 xa.xb.xc.36, пинг проходит При этом изменить конфиг на R1, SW1 можно, на R2 - нельзя. Собственно вопрос, что нужно донастроить на R1 и SW1? Vlan123 с сетью /30, 1 ip прописан на R1, Другой на R2, а т.к. на R2 доступа для смены конфига нет, то во vlan123 больше никого не запихнуть -----------------------------------(Добавлено) Пробовал добавить другой vlan в VRF Например vlan124, его тоже в vrf123 т.е. делаю например conf t vlan 124 name vlan124 interface Vlan124 ip vrf forwarding vrf123 ip address xa.xb.xc.129 255.255.255.224 router ospf 10 vrf vrf123 no passive-interface Vlan124 И прокидываю 124 vlan на порт до пользователя У пользователя прописываю например ip: xa.xb.xc.130 mask: 255.255.255.224 gateway: xa.xb.xc.129 Пробовал, не помогло, шлюз доступен от пользователя, xa.xb.xc.66 (R1 во vlan123) доступен, xa.xb.xc.65 (адрес R2 во vlan123) тоже доступен, а вот xa.xb.xc.36 не доступен :( Может все-таки можно как-то второй влан (124) разрулить? Или как-то настроить маршрутизацию чтобы по виртульному интерфейсу глобальной таблицы маршрутизации были доступны ip из vrf? Т.е. чтобы с R1 можно было пингануть xa.xb.xc.36 без vrf? Edited March 27, 2012 by mmvds Вставить ник Quote
nnm Posted March 27, 2012 Posted March 27, 2012 ip route vrf vrf123 xa.xb.xc.32 255.255.255.224 xa.xb.xc.65 А это зачем? Что по OSPF не приходит маршрут на xa.xb.xc.32/27 ? А что думает xa.xb.xc.36 по поводу маршрута на xa.xb.xc.128/27 ? Вставить ник Quote
mmvds Posted March 28, 2012 Author Posted March 28, 2012 OSPF А это зачем? Что по OSPF не приходит маршрут на xa.xb.xc.32/27 ? А что думает xa.xb.xc.36 по поводу маршрута на xa.xb.xc.128/27 ? OSPF на R1 видит только xa.xb.xc.65/30 xa.xb.xc.36 тоже видит xa.xb.xc.65/30, узел xa.xb.xc.36 находится за R2, соответсвенно доступа к нему пока нет Вставить ник Quote
nnm Posted March 28, 2012 Posted March 28, 2012 А это зачем? Что по OSPF не приходит маршрут на xa.xb.xc.32/27 ? OSPF на R1 видит только xa.xb.xc.65/30 Понятно, тогда я-бы очень осторожно относился к редистрибуции этот статика в OSPF. А что думает xa.xb.xc.36 по поводу маршрута на xa.xb.xc.128/27 ? xa.xb.xc.36 тоже видит xa.xb.xc.65/30, узел xa.xb.xc.36 находится за R2, соответсвенно доступа к нему пока нет Исходя из того, что R2 отвечает на ping от xa.xb.xc.130, а xa.xb.xc.36 не отвечает, можно предположить, что на xa.xb.xc.36 нет маршрута на xa.xb.xc.128/27. Ну или на R2 есть злобный firewall :) Вставить ник Quote
mmvds Posted March 28, 2012 Author Posted March 28, 2012 Исходя из того, что R2 отвечает на ping от xa.xb.xc.130, а xa.xb.xc.36 не отвечает, можно предположить, что на xa.xb.xc.36 нет маршрута на xa.xb.xc.128/27. Ну или на R2 есть злобный firewall :) Так а почему можно пропинговать xa.xb.xc.36 c R1 через "ping vrf vrf123 xa.xb.xc.36" ? Вставить ник Quote
mmvds Posted March 28, 2012 Author Posted March 28, 2012 Удалось раздобыть конфиг с R2 vlan 10 description vlan10 vlan 123 description vlan123 interface Vlanif10 ip address xa.xb.xc.34 255.255.255.224 vrrp vrid 1 virtual-ip xa.xb.xc.33 vrrp vrid 1 priority 120 vrrp vrid 1 track interface Ethernet0/0/20 reduced 30 dhcp select global interface Vlanif123 ip address xa.xb.xc.65 255.255.255.252 ospf network-type p2p interface Ethernet0/0/5 description server_xa.xb.xc.36 port hybrid pvid vlan 10 undo port hybrid vlan 1 port hybrid untagged vlan 10 ntdp enable ndp enable bpdu enable interface Ethernet0/0/20 description uplink_to_Cisco port link-type trunk port trunk allow-pass vlan 123 ntdp enable ndp enable bpdu enable ospf 1 silent-interface all undo silent-interface Vlanif123 area 0.0.0.1 network xa.xb.xc.0 0.0.0.255 Соответственно xa.xb.xc.36 воткнут в 5-ый порт, находится в 10-ом влане, шлюз xa.xb.xc.33, маска 255.255.255.224 И через 20-ый порт проброшен 123 влан от R1 Вставить ник Quote
g3fox Posted March 28, 2012 Posted March 28, 2012 Подозреваю, что на R2 по какой-то причине нет маршрута на xa.xb.xc.128/27. Попробуйте ping vrf vrf123 xa.xb.xc.65 source xa.xb.xc.129. Покажите show ip ospf 10 self-orig Вставить ник Quote
mmvds Posted March 28, 2012 Author Posted March 28, 2012 Есть маршрут ping vrf vrf123 xa.xb.xc.65 source xa.xb.xc.129 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to xa.xb.xc.65, timeout is 2 seconds: Packet sent with a source address of xa.xb.xc.129 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms show ip ospf 10 database router self-originate OSPF Router with ID (xa.xb.xc.13) (Process ID 10) Router Link States (Area 0) ........................................................... Router Link States (Area 1) LS age: 1142 Options: (No TOS-capability, DC) LS Type: Router Links Link State ID: xa.xb.xc.13 Advertising Router: r1.loop.vrf123.domain12345.ru LS Seq Number: 80000038 Checksum: 0x839 Length: 84 Area Border Router AS Boundary Router Number of Links: 2 Link connected to: a Stub Network (Link ID) Network/subnet number: xa.xb.xc.128 (Link Data) Network Mask: 255.255.255.224 Number of MTID metrics: 0 TOS 0 Metrics: 1 Link connected to: a Stub Network (Link ID) Network/subnet number: xa.xb.xc.64 (Link Data) Network Mask: 255.255.255.252 Number of MTID metrics: 0 TOS 0 Metrics: 1 Вставить ник Quote
g3fox Posted March 28, 2012 Posted March 28, 2012 ping vrf vrf123 xa.xb.xc.33 source xa.xb.xc.129 ping vrf vrf123 xa.xb.xc.36 source xa.xb.xc.129 кто знает что это за магические "стринги" ? ntdp enable ndp enable bpdu enable Вставить ник Quote
nnm Posted March 28, 2012 Posted March 28, 2012 Исходя из того, что R2 отвечает на ping от xa.xb.xc.130, а xa.xb.xc.36 не отвечает, можно предположить, что на xa.xb.xc.36 нет маршрута на xa.xb.xc.128/27. Ну или на R2 есть злобный firewall :) Так а почему можно пропинговать xa.xb.xc.36 c R1 через "ping vrf vrf123 xa.xb.xc.36" ? Когда Вы пишете "ping vrf vrf123 xa.xb.xc.36" на R1, то пакетики летят в сторону xa.xb.xc.36 с source-address=xa.xb.xc.66, а когда Вы делаете это с xa.xb.xc.130, то и source-address=xa.xb.xc.130. Возможно, что проблема именно в доставке обратных пакетов (от xa.xb.xc.36 на xa.xb.xc.130). А точно R2 является VRRP master на Vlanif10? Можно-ли сделать traceroute с xa.xb.xc.36 на xa.xb.xc.130 и в обратном направлении? Вставить ник Quote
mmvds Posted March 28, 2012 Author Posted March 28, 2012 Странно, ping xa.xb.xc.33 source xa.xb.xc.129 % Invalid source address- IP address not on any of our up interfaces ping xa.xb.xc.36 source xa.xb.xc.129 % Invalid source address- IP address not on any of our up interfaces Странно, конфиги у обоих вланов одинаковые interface Vlan123 ip vrf forwarding vrf123 ip address xa.xb.xc.66 255.255.255.252 ip ospf network point-to-point interface Vlan124 ip vrf forwarding vrf123 ip address xa.xb.xc.129 255.255.255.224 ip ospf network point-to-point ! router ospf 10 vrf vrf123 router-id xa.xb.xc.13 capability vrf-lite redistribute static subnets redistribute connected subnets passive-interface default no passive-interface Vlan123 no passive-interface Vlan124 network xa.xb.xc.0 0.0.0.255 area 1 ! Вставить ник Quote
g3fox Posted March 28, 2012 Posted March 28, 2012 ping xa.xb.xc.33 source xa.xb.xc.129 % Invalid source address- IP address not on any of our up interfaces ping xa.xb.xc.36 source xa.xb.xc.129 % Invalid source address- IP address not on any of our up interfaces Вы не указали vrf vrf123 Вставить ник Quote
mmvds Posted March 28, 2012 Author Posted March 28, 2012 Вы не указали vrf vrf123 Верно, ping vrf vrf123 xa.xb.xc.33 source xa.xb.xc.129 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to xa.xb.xc.33, timeout is 2 seconds: Packet sent with a source address of xa.xb.xc.129 ..... Success rate is 0 percent (0/5) ping vrf vrf123 xa.xb.xc.36 source xa.xb.xc.129 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to xa.xb.xc.36, timeout is 2 seconds: Packet sent with a source address of xa.xb.xc.129 ..... Success rate is 0 percent (0/5) Не проходит Вставить ник Quote
mmvds Posted March 28, 2012 Author Posted March 28, 2012 (edited) Сдается мне что на R2 надо в ospf 1 silent-interface all undo silent-interface Vlanif123 area 0.0.0.1 network xa.xb.xc.0 0.0.0.255 Добавить undo silent-interface Vlanif124 Попробую завтра получить доступ к R2 Edited March 28, 2012 by mmvds Вставить ник Quote
mmvds Posted March 29, 2012 Author Posted March 29, 2012 Получил доступ до R2, Расширил на нем сеть для vlan123 до /27 vlan пробросил vlan123 на оператора, все работает Вставить ник Quote
mmvds Posted October 26, 2012 Author Posted October 26, 2012 Возвращаясь к старой проблеме - выяснилось, что проблема была в китайской железке, подвисал ospf Проблемой страдает Huawei S3328 прошивка V100R005C01SPC100 "In OSPF multi-instance scenarios, when intra-area and external OSPF routes flap simultaneously, some OSPF routes are lost", решается официальным патчем. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.