Bear_UA Опубликовано 31 марта, 2012 · Жалоба Есть задача. На циске есть глобальная таблица маршрутизации и один vrf. Необходимо из глобальной таблицы маршрутизации передать маршруты в vrf и из vrf передать маршруты в глобальную таблицу посредством bgp. вот кусок конфига ip subnet-zero ip routing ! ip vrf test rd 65001:1 import IPv4 Unicast map def export map testexp route-target export 65001:1 route-target import 65001:1 ! interface Loopback1 ip vrf forwarding test ip address 192.168.4.254 255.255.255.0 ! interface Loopback2 ip address 192.168.1.1 255.255.255.0 ! router bgp 65001 bgp log-neighbor-changes ! address-family ipv4 redistribute connected redistribute static no auto-summary no synchronization exit-address-family ! address-family ipv4 vrf test redistribute connected redistribute static no synchronization exit-address-family ! ! ip prefix-list default seq 10 permit 0.0.0.0/0 ip prefix-list default seq 15 permit 0.0.0.0/0 le 32 ! ip prefix-list testexport seq 15 permit 192.168.4.0/24 route-map def permit 10 match ip address prefix-list default ! ! route-map testexp permit 10 match ip address prefix-list testexport ! Все вроде бы ок НО - вот вывод команд show ip route и show ip route vrf test Switch#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set C 192.168.1.0/24 is directly connected, Loopback2 Switch#show ip route vrf test Routing Table: test Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set C 192.168.4.0/24 is directly connected, Loopback1 B 192.168.1.0/24 is directly connected, 00:07:19, Loopback2 Тоесть я получаю маршрут из глобальной таблицы 192.168.1.0/24 А при этом маршрут из vrf 192.168.4.0/24 не експортируется в глобальную таблицу. Бьюсь уже 3 дня над этим но не понимаю КАК ЕКСПОРТИРОВАТЬ префиксы из vrf в глобальную таблицу. Помогите решить задачу... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bear_UA Опубликовано 1 апреля, 2012 · Жалоба Неужели никто не может подсказать? :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 1 апреля, 2012 · Жалоба Эта фишка называется route leaking. http://blog.ipexpert.com/2010/12/01/vrf-route-leaking/ Но лучше её не использовать, потому что как только вы заворачиваете трафик из глобала в vrf(в примеры по ссылке это ip route 10.0.0.5 255.255.255.255 Serial0/1/0.205 10.0.25.5), вы фактически разрешаете любому хосту из grt отправлять трафик на хост в vrf, т.е. возможны всякие флуд-атаки и т.п. и если там какой-нибудь дохленький ибп с snmp-модулем/l2+-свитч/прочее слабозащищённое, то теряется одно из основных преимуществ vrf - изоляция от интернет(или в пределах локальной as) мусора. В случае серверов я использую второй интерфейс(или сабинтерфейс) для выхода в глобал и перевешиваю все сервисы, которые не нужны в глобале(ssh, snmpd и т.п.) на интерфейс в vrf, это намного удобнее, чем возиться с ACL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bear_UA Опубликовано 1 апреля, 2012 · Жалоба А мне нужно именно так. Мне необходимо в vrf загнать UA-IX чтобы можно было отдельных клиентов включать только в vrf и отдавать им отдельно UA-IX а при этом клиенты которым нужен микс или просто абоненты без бгп могли получать и мир и UA-IX. Может есть какое-то другое более оригинальное решение в пределах одного комутатора - с удовольствием использую... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 1 апреля, 2012 · Жалоба Тогда стандартный способ с помощью статических маршрутов туда-сюда вам не подходит, ибо маршруты на ix заранее неизвестны. вам надо просто поднять 2 bgp-сессии с ua-ix, одну из глобала, 2ую из vrf. Или ещё проще, с помощью одной сессии. На in на ua-ix ставите локалпреф побольше, добавляете community на маршруты ua-ix и на выход в сторону клиента, которому надо только ix фильтруете по добавленному community, но этот способ хуже тем, что тогда такие клиенты через вас смогут сливать исходящий в мир(от этого тоже можно защититься с помощью маркировки трафика, но это геморрой), поэтому vrf будет более правильно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 3 апреля, 2012 · Жалоба Можно загнать то, что сейчас находится в глобале в ещё одну vrf и сделать примерно следующее: ip vrf internet rd xxxx:1 route-target export xxxx:1 route-target import xxxx:1 route-target import 65001:1 По-идее так прокатит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...