Jump to content

Помогите, не могу разобраться

Bear_UA
 Share

Recommended Posts

Bear_UA

Bear_UA

Posted
Posted

Есть задача. На циске есть глобальная таблица маршрутизации и один vrf. Необходимо из глобальной таблицы маршрутизации передать маршруты в vrf и из vrf передать маршруты в глобальную таблицу посредством bgp.

вот кусок конфига

ip subnet-zero
ip routing
!
ip vrf test
rd 65001:1
import IPv4 Unicast map def
export map testexp
route-target export 65001:1
route-target import 65001:1
!
interface Loopback1
ip vrf forwarding test
ip address 192.168.4.254 255.255.255.0
!
interface Loopback2
ip address 192.168.1.1 255.255.255.0
!
router bgp 65001
bgp log-neighbor-changes
!
address-family ipv4
 redistribute connected
 redistribute static
 no auto-summary
 no synchronization
exit-address-family
!
address-family ipv4 vrf test
 redistribute connected
 redistribute static
 no synchronization
exit-address-family
!
!
ip prefix-list default seq 10 permit 0.0.0.0/0
ip prefix-list default seq 15 permit 0.0.0.0/0 le 32
!
ip prefix-list testexport seq 15 permit 192.168.4.0/24
route-map def permit 10
match ip address prefix-list default
!
!
route-map testexp permit 10
match ip address prefix-list testexport
!

 

Все вроде бы ок НО - вот вывод команд show ip route и show ip route vrf test

 

Switch#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
      D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
      N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
      E1 - OSPF external type 1, E2 - OSPF external type 2
      i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
      ia - IS-IS inter area, * - candidate default, U - per-user static route
      o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C    192.168.1.0/24 is directly connected, Loopback2

Switch#show ip route vrf test

Routing Table: test
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
      D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
      N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
      E1 - OSPF external type 1, E2 - OSPF external type 2
      i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
      ia - IS-IS inter area, * - candidate default, U - per-user static route
      o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C    192.168.4.0/24 is directly connected, Loopback1
B    192.168.1.0/24 is directly connected, 00:07:19, Loopback2

 

Тоесть я получаю маршрут из глобальной таблицы 192.168.1.0/24

А при этом маршрут из vrf 192.168.4.0/24 не експортируется в глобальную таблицу.

Бьюсь уже 3 дня над этим но не понимаю КАК ЕКСПОРТИРОВАТЬ префиксы из vrf в глобальную таблицу.

Помогите решить задачу...

s.lobanov

s.lobanov

Posted
Posted

Эта фишка называется route leaking. http://blog.ipexpert.com/2010/12/01/vrf-route-leaking/

 

Но лучше её не использовать, потому что как только вы заворачиваете трафик из глобала в vrf(в примеры по ссылке это ip route 10.0.0.5 255.255.255.255 Serial0/1/0.205 10.0.25.5), вы фактически разрешаете любому хосту из grt отправлять трафик на хост в vrf, т.е. возможны всякие флуд-атаки и т.п. и если там какой-нибудь дохленький ибп с snmp-модулем/l2+-свитч/прочее слабозащищённое, то теряется одно из основных преимуществ vrf - изоляция от интернет(или в пределах локальной as) мусора.

 

В случае серверов я использую второй интерфейс(или сабинтерфейс) для выхода в глобал и перевешиваю все сервисы, которые не нужны в глобале(ssh, snmpd и т.п.) на интерфейс в vrf, это намного удобнее, чем возиться с ACL.

Bear_UA

Bear_UA

Posted
  • Author
Posted

А мне нужно именно так. Мне необходимо в vrf загнать UA-IX чтобы можно было отдельных клиентов включать только в vrf и отдавать им отдельно UA-IX а при этом клиенты которым нужен микс или просто абоненты без бгп могли получать и мир и UA-IX. Может есть какое-то другое более оригинальное решение в пределах одного комутатора - с удовольствием использую...

s.lobanov

s.lobanov

Posted
Posted

Тогда стандартный способ с помощью статических маршрутов туда-сюда вам не подходит, ибо маршруты на ix заранее неизвестны. вам надо просто поднять 2 bgp-сессии с ua-ix, одну из глобала, 2ую из vrf.

Или ещё проще, с помощью одной сессии. На in на ua-ix ставите локалпреф побольше, добавляете community на маршруты ua-ix и на выход в сторону клиента, которому надо только ix фильтруете по добавленному community, но этот способ хуже тем, что тогда такие клиенты через вас смогут сливать исходящий в мир(от этого тоже можно защититься с помощью маркировки трафика, но это геморрой), поэтому vrf будет более правильно

g3fox

g3fox

Posted
Posted

Можно загнать то, что сейчас находится в глобале в ещё одну vrf и сделать примерно следующее:

 

ip vrf internet

rd xxxx:1

route-target export xxxx:1

route-target import xxxx:1

route-target import 65001:1

 

По-идее так прокатит.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.