Jump to content
Sign in to follow this  
glady

Routing zwischen VRF

Recommended Posts

Hallo,

 

hat jemand eine Idee, wie sich zwei Netze in unterschiedlichen VRF's sehen könnten?

 

Konfiguration:

ip vrf vlan11-vrf

rd 11:11

 

interface GigabitEthernet0/1.11

encapsulation dot1Q 11

ip vrf forwarding vlan11-vrf

ip address 10.5.5.2 255.255.255.0

no ip proxy-arp

ip virtual-reassembly

standby 72 ip 10.5.5.1

standby 72 timers 1 3

standby 72 preempt delay minimum 9

standby 72 track GigabitEthernet0/2

 

 

ip vrf vlan12-vrf

rd 12:12

 

interface GigabitEthernet0/1.12

encapsulation dot1Q 12

ip vrf forwarding vlan12-vrf

ip address 10.5.5.2 255.255.255.0

no ip proxy-arp

ip virtual-reassembly

standby 72 ip 10.5.5.1

standby 72 timers 1 3

standby 72 preempt delay minimum 9

standby 72 track GigabitEthernet0/2

 

Wenn man in der VRF das jeweils andere Netz ins globale Netz routen könnte, wäre das Problem gelöst. Geht das?

 

Danke und Gruß

 

glady

Share this post


Link to post

Ja, das steht ja auch da drinnen. Zusaetzlich halt noch so Sachen, dass du Routing in ein Netz wo der "Quellswitch" selbst schon drin steht ueber ein externes Device machst, aehnlich wie bei Private VLANs

Share this post


Link to post

Genialer Link! Danke

 

Mein Problem ist, beide VRF's haben auch gleiche Ziele:

ip route vrf vlan11-vrf 10.80.0.0 255.255.0.0 10.55.13.93 global

ip route vrf vlan12-vrf 10.80.0.0 255.255.0.0 10.55.13.93 global

 

Wenn ich das mit import/export löse, werden ja alle statischen Routen bekannt gemacht. habe ich dann 2 Routen für das Netz 10.80.0.0 (zur 10.55.13.93 und zum Nachbar-VRF? Kann das leider nicht so einfach ausprobieren, ist eine Produktivumgebung.

Share this post


Link to post

Hi,

 

Routing zwischen VRF's ist nicht das Problem - die Frage ist was du genau machen willst? Haben die beiden Routinginstanzen die gleichen IP Ranges im Tranferbereich oder generell (wirklich?). Warum willst du in die globale RT routen?

 

cheers

Share this post


Link to post

Die Transfernetze in den VRF-Instanzen haben die gleichen IP's. Hat den Riesenvorteil, dass man für Scripts & Templates einheitliche Konfigurationen erstellen kann. Und den Nachteil, dass man die Router in den Transfernetzen nicht pingen kann und natten muss...

 

Habe eine Skizze erstellt.

1.) 192.168.1.0 /24 greift auf 10.88.1.0 /24 zu

2.) 192.168.2.0 /24 greift auf 10.88.2.0 /24 zu

3.) Nun soll 192.168.1.0 /24 auf 192.168.2.0 /24 zugreifen. Und auf weitere Netze, die über andere VRF-Instanzen zu erreichen sind.

 

vrfbeispiel.jpg

Share this post


Link to post

Also bei durchdachten Scripts mit Templates hast du eigentlich am Anfang ein paar Variablen wo du nur Netze anpasst und fertig.

 

Ich finde das Design hat keinen "Riesenvorteil".

Share this post


Link to post

Ich find's vorteilhaft, dass ich nicht je Transfernetz neue IP-Adressen aus einem Subnetz vergeben muss. Jeder "WAN" Router erhält immer die gleiche IP. In unseren Scripts zur Konfig.-Generierung müssen wir somit nicht einmal die IP-Adressen eintragen.

Share this post


Link to post

das sollte mit einem mix aus NAT,static route-leaking und BGP funzen (dann kann man das auch auf weiter Kunden erweitern) - das inter vrf routing ist mit gleichen p2p interface adressen ein wenig strange - das sollte man nochmal überdenken.

Hier die Config des Core Routers (warum sind da keine Routernamen in der Grafik - ok next time). Also der Router in der Mitte.

---snip

ip vrf vrf11

rd 1:1

export map TAG

route-target export 1:1

route-target import 1:1

route-target import 99:99 !e-comm für inter-vrf

!

ip vrf vrf12

rd 2:2

export map TAG

route-target export 2:2

route-target import 2:2

route-target import 99:99 !e-comm für inter-vrf

!

router bgp 64000

no bgp default ipv4-unicast

bgp log-neighbor-changes

!

address-family ipv4 vrf vrf11

no synchronization

redistribute ospf 1000 vrf A metric 100 route-map INTER_VRF !IGP oder was immer in der VRF

exit-address-family

!

address-family ipv4 vrf vrf12

no synchronization

redistribute ospf 2000 vrf B metric 100 route-map INTER_VRF !IGP oder was immer in der VRF

exit-address-family

!

ip nat pool VRF_A 9.9.1.0 9.9.1.254 netmask 255.255.255.0 !was auch immer Richtung Global

ip nat pool VRF_B 9.9.2.0 9.9.2.254 netmask 255.255.255.0 !was auch immer Richtung Global

ip nat inside source route-map NAT pool VRF_A vrf vrf11

ip nat inside source route-map NAT pool VRF_B vrf vrf12

!

ip route vrf A 10.88.0.0 255.255.0.0 <OIF_to_FW> <FW> global

ip route vrf B 10.88.0.0 255.255.0.0 <OIF_to_FE> <FW> global

!

ip access-list standard LEAK

permit 192.168.1.0 0.0.0.255

permit 192.168.2.0 0.0.0.255

!

ip access-list extended NAT-PERMIT

permit ip 192.168.0.0 0.0.255.255 10.88.0.0 0.0.255.255

!

route-map TAG permit 10

match ip address LEAK

set extcommunity rt 99:99 additive !ADD RT for INTRAVRF

!

route-map INTER_VRF permit 10

match ip address LEAK

!

!

route-map NAT permit 10

match ip address NAT-PERMIT

 

==> Routen auf der FW und CO Richtung Nat Bereich nicht vergessen

C1_A#ping 192.168.2.1 source loopback 0 repeat 1000

 

Type escape sequence to abort.

Sending 1000, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.1.1

!!!!!!!!!!

Success rate is 100 percent (10/10), round-trip min/avg/max = 244/369/492 ms

!

C1_A#ping 10.88.2.1 source loopback 0 repeat 1000

 

Type escape sequence to abort.

Sending 1000, 100-byte ICMP Echos to 10.88.2.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.1.1

!!!!!.

Success rate is 83 percent (5/6), round-trip min/avg/max = 268/318/408 ms

!

C2_A#ping 10.88.2.1 source lo0 repeat 1000

 

Type escape sequence to abort.

Sending 1000, 100-byte ICMP Echos to 10.88.2.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.2.1

!!!!.

Success rate is 80 percent (4/5), round-trip min/avg/max = 272/341/416 ms

!

CORE#sh ip route vrf A | beg last

Gateway of last resort is not set

 

1.0.0.0/32 is subnetted, 1 subnets

O 1.1.1.1 [110/2] via 10.5.5.1, 01:12:30, FastEthernet1/1

10.0.0.0/8 is variably subnetted, 4 subnets, 3 masks

O 10.1.1.0/30 [110/2] via 10.5.5.1, 01:12:30, FastEthernet1/1

C 10.5.5.0/30 is directly connected, FastEthernet1/1

L 10.5.5.2/32 is directly connected, FastEthernet1/1

S 10.88.0.0/16 [1/0] via 192.168.254.1, FastEthernet2/0

192.168.1.0/32 is subnetted, 1 subnets

O 192.168.1.1 [110/3] via 10.5.5.1, 01:12:30, FastEthernet1/1

192.168.2.0/32 is subnetted, 1 subnets

B 192.168.2.1 [20/100] via 10.5.5.1 (vrf12), 01:12:14, FastEthernet1/0

CORE#

==>5.5.5.1 (interessant)

==> hoffe ich habe nichts vergessen..

na ja mal sehen

 

 

hope this helps

 

ciao

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...