1 router, 1 połączenie internetowe / IP - wiele VRF korzystających z tej samej bramy ISP

11

Moja wiedza na temat routingu między VRF nie jest najlepsza.

Mam jeden publiczny adres IP. Publiczny Internet i jego quad 0 znajdują się na domyślnej VRF ....

Następnie mam Guest_VRF i corporate_VRF, które będą musiały uzyskać dostęp do Internetu i wskazywać domyślną bramę na domyślnym VRF.

Widzę, że dzieje się to na wielu routerach Cisco, jednak nie mogę wymyślić sposobu, w jaki mógłbym zrobić to urządzenie wielofunkcyjne. Wciąż wyobrażam sobie tutaj wiele NAT / PAT, które są po prostu niechlujne lub używają pętli zwrotnych i tuneli.

Skupiam się głównie na routerze ISR G1 / G2. Czy ktoś ma jakieś porady?

cisco cisco-ios-12 cisco-ios-15 knotseh
źródło

Odpowiedzi:

12

Korzystanie z VRF jest jak korzystanie z oddzielnego routera. Jeśli masz ten sam adres WAN IP dla obu VRF, musisz go skonfigurować dwukrotnie w obu interfejsach WAN. Jeśli jednak używasz tylko jednego interfejsu WAN, musisz podzielić ten interfejs przez trunking (przy użyciu VLAN) lub podinterfejsy.

dawny:

interface FastEthernet0.5
encapsulation dot1Q 5
ip address 1.1.1.1 255.255.255.252

Zauważ, że nie używamy przekazywania vrf ip, używamy tutaj domyślnego vrf

interface FastEthernet0.10
ip vrf forwarding wanconnection:1
encapsulation dot1Q 10
ip address 1.1.1.1 255.255.255.252 (<== this can be another IP if you prefer to divide it with 2 different IP's)

Połączenie przebiega w następujący sposób:

  • twój router (normalny vrf) => połączenie wan = = VPN używany dla znacznika dot1Q 5
  • twój router (wanconnection: 1 vrf) => połączenie wan = = VPN używany dla tagu dot1Q 10

jeśli chcesz to zrobić bez tagowania i tylko mieć 2 interfejsy fizyczne, jest to ta sama implementacja:

interface FastEthernet0
ip address 1.1.1.1 255.255.255.252

interface FastEthernet1
ip vrf forwarding wanconnection:1
ip address 1.1.1.1 255.255.255.252

Każdy inny interfejs wymagany w konkretnym vrf „wanconnection: 1” należy dodać w ten sam sposób: 

ip vrf forwarding wanconnection:1

dawny:

interface FastEthernet4
 ip vrf forwarding wanconnection:1
 ip address 10.0.0.1 255.255.255.0

tworzenie vrf: http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/15.02SG/configuration/guide/vrf.html

ip vrf wanconnection:1
 rd 65000:1

wyjaśniono polecenie rd 100: 1: Tworzy tabelę VRF, określając rozróżnienie trasy. Wprowadź numer AS i dowolny numer (xxx: y) lub adres IP i dowolny numer (ABCD: y).

w części dotyczącej trasy:

ip route 0.0.0.0 0.0.0.0 1.1.1.2
ip route vrf wanconnection:1 0.0.0.0 0.0.0.0 1.1.1.2

Jeśli masz tylko jedno połączenie WAN bez włączonego tagowania, możesz użyć routingu między Vrf: http://packetlife.net/blog/2010/mar/29/inter-vrf-routing-vrf-lite/

dawny:

ip vrf wanconnection:1
 rd 65000:1
 route-target export 65000:2
 route-target import 65000:99

ip vrf wanconnection:2
 rd 65000:2
 route-target export 65000:1
 route-target import 65000:99

ip vrf shared:1
 rd 65000:99
 route-target export 65000:99
 route-target import 65000:1
 route-target import 65000:2

interface FastEthernet0
ip vrf forwarding shared:1
ip address 1.1.1.1 255.255.255.252 

interface loopback1
ip vrf forwarding shared:1
ip address 2.2.2.2 255.255.255.255


ip route vrf shared:1 0.0.0.0 0.0.0.0 1.1.1.2
ip route vrf wanconnection:1 0.0.0.0 0.0.0.0 2.2.2.2
ip route vrf wanconnection:2 0.0.0.0 0.0.0.0 2.2.2.2

interface FastEthernet1
ip vrf forwarding wanconnection:1 
ip address 10.0.0.1 255.255.255.0
description "LAN interface vrf 1"

interface FastEthernet2
ip vrf forwarding wanconnection:2
ip address 10.0.2.1 255.255.255.0
description "LAN interface vrf 2"

tutaj FastEthernet1 użyje domyślnej trasy dla vrf wanconnection: 1, a FastEthernet2 użyje domyślnej trasy dla vrf wanconnection: 2 (podanej przez polecenia „ip route”).

Bulki
źródło
Myślę, że droga przeciekająca na końcu była tym, po co OP nie wiedział o tym :)
jwbensley
@javano Myślę, że tak 2 :), ale mam nadzieję, że podałem trochę przeglądu niektórych możliwości :)
Bulki
tak - przeciekałem trasy, czego szukałem, nie wiedząc o tym ... ma teraz sens. Spróbuję to zbudować w ten weekend i zobaczę, jak będzie!
knotseh
@hestonk mam nadzieję, że to pomoże :)
Bulki
Wanconnection: N trasy statyczne nie mają dla mnie sensu. Byłoby lepszym przykładem, gdybyś miał 2 strony LAN, 1 stronę WAN, domyślną trasę (jak już masz) do VRF po stronie WAN, ale wtedy powinieneś mieć trasy LAN wskazujące na następny przeskok LAN.
1313
4

Jeśli korzystasz z VRF, możliwe jest utworzenie VRF z koncentratorem i szprychą przy użyciu tylko jednego routera bez potrzeby MPLS.

Musisz użyć BGP, ale nie trzeba z nikim zaglądać, służy jedynie do trasowania między VRF.

Jak byś to zrobił coś takiego jak ...

ip vrf GUEST
 rd 100:1
 route-target export 100:100
 route-target import 100:200

ip vrf CORP
 rd 100:2
 route-target export 100:100
 route-target import 100:200

ip vrf WAN
 rd 100:100
 route-target import 100:100
 route-target export 100:200

Spowodowałoby to następnie eksport tras (jak trasa domyślna) z WAN VRF do dwóch VRF, ale nie eksportowałoby do siebie innych podsieci.

David Rothera
źródło
Czy ta konfiguracja importuje również trasy z dwóch VRF do WAN VRF?
generalnetworkerror
Tak, odbywa się to poprzez import 100: 100 w sieci WAN i eksport 100: 100 na pozostałe 2 VRF
David Rothera