Jump to content

Mpls Vpn

MYOEY

Von MYOEY
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

MYOEY Experienced

MYOEY   10

Geschrieben
Geschrieben

hallo,

Ich habe folgende auf ein Catalyst3750E konfiguriert:

 

ip vrf kunde1

rd 8500:101

route-target both 8500:101

route-target both 8500:100

 

ip vrf kunde2

rd 8500:102

route-target both 8500:102

route-target both 8500:100

 

ip vrf zentrale

rd 8500:100

route-target both 8500:100

route-target both 8500:101

route-target both 8500:102

 

mpls label protocol ldp

mpls ldp logging neighbor-changes

 

router bgp 8500

no synchronization

bgp log-neighbor-changes

neighbor CORE ebgp-multihop 5

no auto-summary

 

address-family vpnv4

neighbor CORE send-community extended

exit-address-family

 

 

address-family ipv4 vrf kunde1

redistribute connected

no synchronization

exit-address-family

 

address-family ipv4 vrf kunde2

redistribute connected

no synchronization

exit-address-family

 

address-family ipv4 vrf zentrale

redistribute connected

no synchronization

exit-address-family

 

interface Vlan101

ip vrf forwarding kunde1

ip address 192.168.1.1 255.255.255.0

 

interface Vlan102

ip vrf forwarding kunde2

ip address 192.168.2.1 255.255.255.0

 

interface Vlan100

ip vrf forwarding zentrale

ip address 192.168.0.1 255.255.255.0

 

 

sho ip route vrf kunde1

B 192.168.0.0 is directly conected, 01:36:09, Vlan 100

B 192.168.2.0 is directly conected, 01:56:09, Vlan 102 *darf nicht sein*

C 192.168.1.0 is directly conected, Vlan 101

 

sho ip route vrf kunde2

B 192.168.0.0 is directly conected, 01:43:09, Vlan 100

B 192.168.1.0 is directly conected, 01:53:09, Vlan 101 *darf nicht sein*

C 192.168.2.0 is directly conected, Vlan 102

 

sho ip route vrf zentrale

B 192.168.1.0 is directly conected, 01:36:09, Vlan 101

B 192.168.2.0 is directly conected, 01:36:09, Vlan 102

C 192.168.0.0 is directly conected, Vlan 100

 

 

Folgende soll möglich sein:

 

kunde1 darf zentrale anpingen

kunde2 darf zentrale anpingen

kunde1 darf NICHT kunde2 anpingen

 

wie kann ich verhindern dass kunde1 und kunde2 sich gegenseitig anpingen können? wie soll ich es am besten konfigurieren???

kennt sich jemand damit aus??

 

 

Gruß

Link zu diesem Kommentar
daking Experienced

daking   10

Geschrieben
Geschrieben

Hola,

 

am einfachsten kannst du IMHO ein Hub and Spoke Design im grossen Stil über Half Duplex VRFs lösen. Da war denke ich nur das Problem, dass dies nur über virtual templates funktioniert...Habe es selber auch noch nicht getestet (steht auf der liste...time...).

 

Sonst solltest du unter der vrf über den import map filtern können oder über den bgp prozess.. Da muss ich nochmal schnell schauen...

Hola,

 

na ja. vielleicht gehts einfacher so ?! mal sehen:

 

ip extcommunity-list 1 permit rt 100:1

 

route-map test permit 10

match extcommunity 1

 

address family vpnv4

neighbor x.x.x.x activate

neighbor x.x.x.x send-community extended

neighbor x.x.x.x route-map test out

 

Werde das kurz mal testen.. Eigentlich sollten man über die ext communities ja filtern können...

 

Kann jedoch sein, dass ich mich brutal irre.

Link zu diesem Kommentar
daking Experienced

daking   10

Geschrieben
Geschrieben

Hallo,

 

ich bin auf dem Schlauch gestanden...

 

so gehts natürlich.... (;-)

 

ip vrf kunde1

rd 8500:101

route-target export 8500:101

route-target import 8500:101

route-target import 8500:100

!

ip vrf kunde2

rd 8500:102

route-target export 8500:102

route-target import 8500:102

route-target import 8500:100

!

ip vrf zentrale

rd 8500:100

route-target export 8500:100

route-target import 8500:100

route-target import 8500:101

route-target import 8500:102

 

 

 

ciao

Link zu diesem Kommentar
MYOEY Experienced

MYOEY   10

Geschrieben
  • Autor
Geschrieben

genau das ist konfiguriert aber führt nicht zum gewünschten Ergebniss!!!

Weil der ungewünschten Zugriff zwischen kunde1 und kunde2 möglicht ist :-(

da die jeweilige route in der routingstabelle drin ist!!!

 

Ziel ist es die route des jeweiligen kunde nicht in die routingstabelle des anderen zu sehen und zwar wie folgt:

 

sho ip route vrf kunde1

B 192.168.0.0 is directly conected, 01:36:09, Vlan 100

B 192.168.2.0 is directly conected, 01:56:09, Vlan 102 *darf nicht sein*

C 192.168.1.0 is directly conected, Vlan 101

 

sho ip route vrf kunde2

B 192.168.0.0 is directly conected, 01:43:09, Vlan 100

B 192.168.1.0 is directly conected, 01:53:09, Vlan 101 *darf nicht sein*

C 192.168.2.0 is directly conected, Vlan 102

 

sho ip route vrf zentrale

B 192.168.1.0 is directly conected, 01:36:09, Vlan 101

B 192.168.2.0 is directly conected, 01:36:09, Vlan 102

C 192.168.0.0 is directly conected, Vlan 100

 

 

 

Es wäre doch eine Kleinigkeit für unsere MPLS-VPN Experten :-)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...