- хочу использовать VRF но не могу.,
 del23, 17:17 , 14-Май-10 (1)Создай ACL запрещающую прохождение трафика из всей сети в ту которую хочешь изолировать и обратно да и повесь его на подинтерфейс.... зачем тебе заморачиваться с VRF ?!
- хочу использовать VRF но не могу., airo, 17:52 , 14-Май-10 (2)
>Создай ACL запрещающую прохождение трафика из всей сети в ту которую хочешь
>изолировать и обратно да и повесь его на подинтерфейс.... зачем тебе
>заморачиваться с VRF ?! Хочу красивое решение.
К тому же наверное существует шанс что поменять ИП на который АЦЛ действовать не будет.
Короче хочу полной изоляции. VRF мне в принципе подходит?
- хочу использовать VRF но не могу., GolDi, 17:58 , 14-Май-10 (3)
>>Создай ACL запрещающую прохождение трафика из всей сети в ту которую хочешь
>>изолировать и обратно да и повесь его на подинтерфейс.... зачем тебе
>>заморачиваться с VRF ?!
>
>Хочу красивое решение.
>К тому же наверное существует шанс что поменять ИП на который АЦЛ
>действовать не будет.
>Короче хочу полной изоляции.
>
>VRF мне в принципе подходит? Информации полно, как пример
https://www.opennet.ru/openforum/vsluhforumID6/13980.html
- хочу использовать VRF но не могу., airo, 18:00 , 14-Май-10 (4)
>Информации полно, как пример
>https://www.opennet.ru/openforum/vsluhforumID6/13980.html а где там про: ....
Где бы почитать более развернуто про этот VRF?
Ну или если не сложно выши коментарии по некоторым командам. Таким например как:
1) rd
2) route-target
3) export/import (я так понял это просто фильтр какие маршруты нужны, а какие фильтровать) примеров конфигурации я нашел их действительно полно.
- хочу использовать VRF но не могу., sTALK_specTrum, 05:09 , 15-Май-10 (5)
>Для чего мне это нужно.
>У меня есть роутер. На роутере транковый порт к свитчу. На свитче
>по виланам разложены сети. На роутере для каждой сети есть свой
>гетвей. Теперь появилась сеть которая должна быть полность изолирована от всех
>остальных, но получать интернет через роутер. Земляк, для этой задачи VRF не подойдёт. Представить всё можно по аналогии с VLAN'ами. Как на коммутаторе каждый VLAN - это как бы отдельный свич, никак с другими не связанный, так и на маршрутизаторе VRF - это отдельный независимый роутер со своими интерфейсами, маршрутами и другими причиндалами. Я использую VRF, чтобы "распилить" одну железку на несколько роутеров, стоящих в разных точках сети. Например граничные роутеры к разным провам, плюс роутеры к сетям других филиалов, всё такое.
- хочу использовать VRF но не могу., airo, 10:02 , 17-Май-10 (6)
>Земляк, для этой задачи VRF не подойдёт.ну вот я и хочу выделить одну сеточку что бы она не видела другие сеточки но получала интернет. Вопрос только как сделать интернет если интерфейс провайдера будет не в VRF. Как импортировать маршруты другого VRF, я наверное знаю (ну или думаю что знаю). А вот как импортировать не VRF..? :(
- хочу использовать VRF но не могу., fantom, 10:24 , 17-Май-10 (7)
>>Земляк, для этой задачи VRF не подойдёт.
>
>ну вот я и хочу выделить одну сеточку что бы она не
>видела другие сеточки но получала интернет. Вопрос только как сделать интернет
>если интерфейс провайдера будет не в VRF. Как импортировать маршруты другого
>VRF, я наверное знаю (ну или думаю что знаю). А вот
>как импортировать не VRF..? :( 1. Поместить инетовский интерфейс тоже в VRF.
2. www.cisco.com и читать про route leaking.
- хочу использовать VRF но не могу., airo, 11:54 , 17-Май-10 (8)
интернет----10.10.10.1----------10.10.10.2---R0 МОЙ РОУТЕР----Fa0/0.50 VRF сеть 20.20.20.1--------клиент 20.20.20.2
ip vrf jail
description jail_for_client
больше мне не надо так как обмен маршрутами через статику.роутер R0 имеет статический дефаул ip route 0.0.0.0 0.0.0.0 10.10.10.1 теперь добавляем дефаул для vrf клиентов
ip route vrf jail 0.0.0.0 0.0.0.0 10.10.10.1 global теперь обратный маршрут
ip route 20.20.20.0 255.255.255.0 Fa0/0.50 и если сейчас я сделаю
R0#ping vrf jail 77.88.21.3 я запингую ya.ru Это только для того что бы виртуальный роутер jail увидел интернет. НАТ это следующий шаг.
Я правильно все понял?
- хочу использовать VRF но не могу., airo, 12:32 , 18-Май-10 (9)
есть некоторый прогресс.
для теста сделал такую схему. R0 роутер---192.168.0.150------192.168.0.1 Linux
VRF 192.168.55.1------------| ip route vrf jail 192.168.0.0 255.255.255.0 192.168.0.1 global
ip route 192.168.55.0 255.255.255.0 GigabitEthernet0/0.75 192.168.55.1 делаю #ping vrf jail 192.168.0.1 на линуксе включаю tcpdump и вижу
11:47:37.352610 192.168.55.1 > 192.168.0.1: icmp: echo request
11:47:39.349916 192.168.55.1 > 192.168.0.1: icmp: echo request
11:47:41.349869 192.168.55.1 > 192.168.0.1: icmp: echo request
11:47:43.350259 192.168.55.1 > 192.168.0.1: icmp: echo request
11:47:45.349810 192.168.55.1 > 192.168.0.1: icmp: echo request тоесть из VRF`a пакеты доходят до пункта назначения и прошу заметить что интерфейс 192.168.0.150 не находиться в VRF.
проблема с обратным путем пакета. Тоесть вот этот маршрут не работает ip route 192.168.55.0 255.255.255.0 GigabitEthernet0/0.75 192.168.55.1 он не работает даже на самомо маршрутизаторе если сделать
#ping 192.168.55.1
соответственно с линукса пинг на 192.168.55.1 тоже не проходит
хотя трейс показывает: traceroute 192.168.55.1
traceroute to 192.168.55.1 (192.168.55.1), 30 hops max, 38 byte packets
1 192.168.0.150 (192.168.0.150) 0.983 ms 1.637 ms 0.902 ms
2 * пакет доходит до R0 а дальше....
- хочу использовать VRF но не могу., KiM, 13:13 , 18-Май-10 (10)
>[оверквотинг удален]
>#ping 192.168.55.1
>соответственно с линукса пинг на 192.168.55.1 тоже не проходит
>хотя трейс показывает:
>
> traceroute 192.168.55.1
>traceroute to 192.168.55.1 (192.168.55.1), 30 hops max, 38 byte packets
> 1 192.168.0.150 (192.168.0.150) 0.983 ms 1.637 ms 0.902 ms
> 2 *
>
>пакет доходит до R0 а дальше.... мошть вначале почитать про mpls, а только потом обратится к vrf;)))
- хочу использовать VRF но не могу., airo, 16:06 , 18-Май-10 (11)
- хочу использовать VRF но не могу., KiM, 08:37 , 19-Май-10 (12)
>вот дока если верить которой, все должно работать без mpls
>раздел "Route Leaking from a Global Routing Table into a VRF and
>Route
>Leaking from a VRF into a Global Routing Table"
>
>http://www.cisco.com/application/pdf/paws/47807/routeleaking... чтобы быстрее понять как работает vrf, проще узнать как работает mpls. зы я в курсе что оно работает без mpls
- хочу использовать VRF но не могу., airo, 11:28 , 19-Май-10 (13)
>чтобы быстрее понять как работает vrf, проще узнать как работает mpls. верю на слово :)
меня всегда интересовал MPLS просто руки до него не доходили, просто не знал как применить на практике у себя в сети. Частично VRF у меня заработал. Помогли люди. Хотя почему-то изначально таже конфигурация в чисто моем исполнении не работала.
- хочу использовать VRF но не могу., KiM, 09:43 , 20-Май-10 (14)
>>чтобы быстрее понять как работает vrf, проще узнать как работает mpls.
>
>верю на слово :)
>меня всегда интересовал MPLS просто руки до него не доходили, просто не
>знал как применить на практике у себя в сети.
>
>Частично VRF у меня заработал. Помогли люди. Хотя почему-то изначально таже конфигурация
>в чисто моем исполнении не работала. route-leaking ЗЛО!!!!! попомни мои слова
- хочу использовать VRF но не могу., sTALK_specTrum, 10:11 , 20-Май-10 (15)
Ой, братие, чой-то вы не в ту тундру ушли...Изначально цель была, как я понимаю, организовать просто отдельную изолированную сеть. Типа классической DMZ... И далее мы видим, как благое желание "сделать красиво" выродилось в реализацию "через ass автогеном". =)_) Нет, конечно, в порядке эксперимента прокачать своё кунг-фу новым vrf-до - дело святое, но... ;) Ну не понимаю я красоты в виртуальном роутере с одним-единственным интерфейсом.
То есть достаточно было создать ещё один подынтерфейс с dot1Q и как бы всё. А сделать красиво и сертифицированно - бери две ASA в failover'e и рисуй там аклы-наты-вланы. =)))
- хочу использовать VRF но не могу., fantom, 15:38 , 20-Май-10 (16)
>>>чтобы быстрее понять как работает vrf, проще узнать как работает mpls.
>>
>>верю на слово :)
>>меня всегда интересовал MPLS просто руки до него не доходили, просто не
>>знал как применить на практике у себя в сети.
>>
>>Частично VRF у меня заработал. Помогли люди. Хотя почему-то изначально таже конфигурация
>>в чисто моем исполнении не работала.
>
>route-leaking ЗЛО!!!!! попомни мои слова Вещи не бывают злыми или добрыми - все зависит от того, кто и как их использует.
|
Версия для распечатки
хочу использовать VRF но не могу., 
