Перейти к содержимому
Калькуляторы

Доступ к ip в VRF

Всем привет! помогите разобраться с задачкой по VRF

Есть маршрутизатор R1 (cisco 76XX), на нем vrf123

!
ip vrf vrf123
rd 12345:10
!

vlan 123
name vlan123
!

interface Loopback1
description loopback for vrf123
ip vrf forwarding vrf123
ip address xa.xb.xc.13 255.255.255.255
!

interface Vlan123
ip vrf forwarding vrf123
ip address xa.xb.xc.66 255.255.255.252
no ip redirects
ip ospf network point-to-point
!

router ospf 10 vrf vrf123
router-id xa.xb.xc.13
redistribute static subnets
redistribute connected subnets
passive-interface default
no passive-interface Vlan123
network xa.xb.xc.0 0.0.0.255 area 1
!

Влан 123 проброшен на порт
interface Gi1/1
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 123
switchport mode trunk
!

 

К порту подключен китайский цископодобный маршрутизатор R2, доступа к которому нет

c ip address xa.xb.xc.65 255.255.255.252

Через который видно сеть xa.xb.xc.32 255.255.255.224

 

 

Чтобы увидеть эту сеть на R1 добавил маршрут

ip route vrf vrf123 xa.xb.xc.32 255.255.255.224 xa.xb.xc.65

 

 

Также к R1 подключен свитч SW1 (ciscio c3960), на котором сидит пользователь, которому нужно получить доступ

к ip xa.xb.xc.36

т.е. можно пропинговать xa.xb.xc.36 c R1 через ping vrf vrf123 xa.xb.xc.36, пинг проходит

 

При этом изменить конфиг на R1, SW1 можно,

на R2 - нельзя.

Собственно вопрос, что нужно донастроить на R1 и SW1?

 

Vlan123 с сетью /30, 1 ip прописан на R1, Другой на R2, а т.к. на R2 доступа для смены конфига нет, то во vlan123 больше никого не запихнуть

 

-----------------------------------(Добавлено)

Пробовал добавить другой vlan в VRF

Например vlan124, его тоже в vrf123

т.е. делаю например

conf t
vlan 124
name vlan124

interface Vlan124
ip vrf forwarding vrf123
ip address xa.xb.xc.129 255.255.255.224

router ospf 10 vrf vrf123
no passive-interface Vlan124

 

И прокидываю 124 vlan на порт до пользователя

У пользователя прописываю например

ip: xa.xb.xc.130

mask: 255.255.255.224

gateway: xa.xb.xc.129

 

Пробовал, не помогло, шлюз доступен от пользователя, xa.xb.xc.66 (R1 во vlan123) доступен, xa.xb.xc.65 (адрес R2 во vlan123) тоже доступен, а вот xa.xb.xc.36 не доступен :(

 

Может все-таки можно как-то второй влан (124) разрулить?

Или как-то настроить маршрутизацию чтобы по виртульному интерфейсу глобальной таблицы маршрутизации были доступны ip из vrf? Т.е. чтобы с R1 можно было пингануть xa.xb.xc.36 без vrf?

Изменено пользователем mmvds

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ip route vrf vrf123 xa.xb.xc.32 255.255.255.224 xa.xb.xc.65

 

А это зачем? Что по OSPF не приходит маршрут на xa.xb.xc.32/27 ?

 

А что думает xa.xb.xc.36 по поводу маршрута на xa.xb.xc.128/27 ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

OSPF

А это зачем? Что по OSPF не приходит маршрут на xa.xb.xc.32/27 ?

 

А что думает xa.xb.xc.36 по поводу маршрута на xa.xb.xc.128/27 ?

OSPF на R1 видит только xa.xb.xc.65/30

xa.xb.xc.36 тоже видит xa.xb.xc.65/30, узел xa.xb.xc.36 находится за R2, соответсвенно доступа к нему пока нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А это зачем? Что по OSPF не приходит маршрут на xa.xb.xc.32/27 ?

OSPF на R1 видит только xa.xb.xc.65/30

 

Понятно, тогда я-бы очень осторожно относился к редистрибуции этот статика в OSPF.

 

А что думает xa.xb.xc.36 по поводу маршрута на xa.xb.xc.128/27 ?

xa.xb.xc.36 тоже видит xa.xb.xc.65/30, узел xa.xb.xc.36 находится за R2, соответсвенно доступа к нему пока нет

 

Исходя из того, что R2 отвечает на ping от xa.xb.xc.130, а xa.xb.xc.36 не отвечает, можно предположить, что на xa.xb.xc.36 нет маршрута на xa.xb.xc.128/27. Ну или на R2 есть злобный firewall :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Исходя из того, что R2 отвечает на ping от xa.xb.xc.130, а xa.xb.xc.36 не отвечает, можно предположить, что на xa.xb.xc.36 нет маршрута на xa.xb.xc.128/27. Ну или на R2 есть злобный firewall :)

Так а почему можно пропинговать xa.xb.xc.36 c R1 через "ping vrf vrf123 xa.xb.xc.36" ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Удалось раздобыть конфиг с R2

vlan 10
description vlan10

vlan 123
description vlan123


interface Vlanif10
ip address xa.xb.xc.34 255.255.255.224
vrrp vrid 1 virtual-ip xa.xb.xc.33
vrrp vrid 1 priority 120
vrrp vrid 1 track interface Ethernet0/0/20 reduced 30
dhcp select global

interface Vlanif123
ip address xa.xb.xc.65 255.255.255.252
ospf network-type p2p

interface Ethernet0/0/5
description server_xa.xb.xc.36
port hybrid pvid vlan 10
undo port hybrid vlan 1
port hybrid untagged vlan 10
ntdp enable
ndp enable
bpdu enable

interface Ethernet0/0/20
description uplink_to_Cisco
port link-type trunk
port trunk allow-pass vlan 123
ntdp enable
ndp enable
bpdu enable

ospf 1
silent-interface all
undo silent-interface Vlanif123
area 0.0.0.1
 network xa.xb.xc.0 0.0.0.255

Соответственно xa.xb.xc.36 воткнут в 5-ый порт, находится в 10-ом влане, шлюз xa.xb.xc.33, маска 255.255.255.224

И через 20-ый порт проброшен 123 влан от R1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подозреваю, что на R2 по какой-то причине нет маршрута на xa.xb.xc.128/27.

Попробуйте ping vrf vrf123 xa.xb.xc.65 source xa.xb.xc.129.

 

Покажите show ip ospf 10 self-orig

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть маршрут

ping vrf vrf123 xa.xb.xc.65 source xa.xb.xc.129  

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to xa.xb.xc.65, timeout is 2 seconds:
Packet sent with a source address of xa.xb.xc.129 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

 

 

show ip ospf 10 database router self-originate

 

            OSPF Router with ID (xa.xb.xc.13) (Process ID 10)

               Router Link States (Area 0)

...........................................................

               Router Link States (Area 1)

 LS age: 1142
 Options: (No TOS-capability, DC)
 LS Type: Router Links
 Link State ID: xa.xb.xc.13
 Advertising Router: r1.loop.vrf123.domain12345.ru
 LS Seq Number: 80000038
 Checksum: 0x839
 Length: 84
 Area Border Router
 AS Boundary Router
 Number of Links: 2

   Link connected to: a Stub Network
    (Link ID) Network/subnet number: xa.xb.xc.128
    (Link Data) Network Mask: 255.255.255.224
     Number of MTID metrics: 0
      TOS 0 Metrics: 1


   Link connected to: a Stub Network
    (Link ID) Network/subnet number: xa.xb.xc.64
    (Link Data) Network Mask: 255.255.255.252
     Number of MTID metrics: 0
      TOS 0 Metrics: 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ping vrf vrf123 xa.xb.xc.33 source xa.xb.xc.129

ping vrf vrf123 xa.xb.xc.36 source xa.xb.xc.129

 

кто знает что это за магические "стринги" ?

ntdp enable

ndp enable

bpdu enable

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Исходя из того, что R2 отвечает на ping от xa.xb.xc.130, а xa.xb.xc.36 не отвечает, можно предположить, что на xa.xb.xc.36 нет маршрута на xa.xb.xc.128/27. Ну или на R2 есть злобный firewall :)

Так а почему можно пропинговать xa.xb.xc.36 c R1 через "ping vrf vrf123 xa.xb.xc.36" ?

 

Когда Вы пишете "ping vrf vrf123 xa.xb.xc.36" на R1, то пакетики летят в сторону xa.xb.xc.36 с source-address=xa.xb.xc.66, а когда Вы делаете это с xa.xb.xc.130, то и source-address=xa.xb.xc.130. Возможно, что проблема именно в доставке обратных пакетов (от xa.xb.xc.36 на xa.xb.xc.130).

 

А точно R2 является VRRP master на Vlanif10?

Можно-ли сделать traceroute с xa.xb.xc.36 на xa.xb.xc.130 и в обратном направлении?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Странно,

 

ping xa.xb.xc.33 source xa.xb.xc.129

% Invalid source address- IP address not on any of our up interfaces

ping xa.xb.xc.36 source xa.xb.xc.129

% Invalid source address- IP address not on any of our up interfaces

 

Странно, конфиги у обоих вланов одинаковые

interface Vlan123
ip vrf forwarding vrf123
ip address xa.xb.xc.66 255.255.255.252
ip ospf network point-to-point

interface Vlan124
ip vrf forwarding vrf123
ip address xa.xb.xc.129 255.255.255.224
ip ospf network point-to-point
!

router ospf 10 vrf vrf123
router-id xa.xb.xc.13
capability vrf-lite
redistribute static subnets
redistribute connected subnets
passive-interface default
no passive-interface Vlan123
no passive-interface Vlan124
network xa.xb.xc.0 0.0.0.255 area 1
!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ping xa.xb.xc.33 source xa.xb.xc.129

 

% Invalid source address- IP address not on any of our up interfaces

 

ping xa.xb.xc.36 source xa.xb.xc.129

 

% Invalid source address- IP address not on any of our up interfaces

 

Вы не указали vrf vrf123

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы не указали vrf vrf123

Верно,

 

ping vrf vrf123 xa.xb.xc.33 source xa.xb.xc.129 

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to xa.xb.xc.33, timeout is 2 seconds:
Packet sent with a source address of xa.xb.xc.129 
.....
Success rate is 0 percent (0/5)

ping vrf vrf123 xa.xb.xc.36 source xa.xb.xc.129

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to xa.xb.xc.36, timeout is 2 seconds:
Packet sent with a source address of xa.xb.xc.129 
.....
Success rate is 0 percent (0/5)

 

Не проходит

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сдается мне что на R2 надо в

ospf 1
silent-interface all
undo silent-interface Vlanif123
area 0.0.0.1
 network xa.xb.xc.0 0.0.0.255

Добавить undo silent-interface Vlanif124

Попробую завтра получить доступ к R2

Изменено пользователем mmvds

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Получил доступ до R2, Расширил на нем сеть для vlan123 до /27 vlan пробросил vlan123 на оператора, все работает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возвращаясь к старой проблеме - выяснилось, что проблема была в китайской железке, подвисал ospf Проблемой страдает Huawei S3328 прошивка V100R005C01SPC100

"In OSPF multi-instance scenarios, when intra-area and external OSPF routes flap simultaneously, some OSPF routes are lost", решается официальным патчем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.