1 roteador, 1 conexão à Internet / IP - vários VRFs usando o mesmo gateway ISP

11

Meu conhecimento do roteamento entre VRF não é o melhor.

Eu tenho um IP público. A Internet pública e seu quad 0 estão no VRF padrão ....

Então eu tenho um Guest_VRF e um corporate_VRF que precisariam acessar a Internet e apontar para o gateway padrão no VRF padrão.

Eu posso ver isso sendo feito com vários roteadores Cisco, mas não consigo descobrir uma maneira de fazer esse dispositivo multifuncional. Eu continuo imaginando vários NAT / PATs aqui, o que é apenas confuso ou usando loopbacks e túneis.

Estou focando principalmente em um roteador ISR G1 / G2 aqui. Alguém tem algum conselho?

knotseh
fonte

Respostas:

12

Usar um VRF é como usar um roteador separado. Se você tiver o mesmo IP da WAN para os dois VRFs, precisará configurá-lo duas vezes nas duas interfaces da WAN. No entanto, se você usar apenas uma interface WAN, será necessário dividir essa interface entroncando (usando VLANs) ou subinterfaces.

ex:

interface FastEthernet0.5
encapsulation dot1Q 5
ip address 1.1.1.1 255.255.255.252

Observe que não usamos o encaminhamento de vrf ip, estamos usando o vrf padrão aqui

interface FastEthernet0.10
ip vrf forwarding wanconnection:1
encapsulation dot1Q 10
ip address 1.1.1.1 255.255.255.252 (<== this can be another IP if you prefer to divide it with 2 different IP's)

A conexão é a seguinte:

  • seu roteador (vrf normal) => conexão wan => vpn usada para a tag 5 do dot1Q
  • seu roteador (wanconnection: 1 vrf) => conexão wan => vpn usada para a tag dot1Q 10

se você quiser fazer isso sem marcação e tiver apenas duas interfaces físicas, é a mesma implementação:

interface FastEthernet0
ip address 1.1.1.1 255.255.255.252

interface FastEthernet1
ip vrf forwarding wanconnection:1
ip address 1.1.1.1 255.255.255.252 

Todas as outras interfaces necessárias no vrf "wanconnection: 1" específico precisam ser adicionadas da mesma maneira:

ip vrf forwarding wanconnection:1

ex:

interface FastEthernet4
 ip vrf forwarding wanconnection:1
 ip address 10.0.0.1 255.255.255.0

fazendo um vrf: http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/15.02SG/configuration/guide/vrf.html

ip vrf wanconnection:1
 rd 65000:1

o comando rd 100: 1 explicou: Cria uma tabela VRF especificando um diferenciador de rota. Digite um número AS e um número arbitrário (xxx: y) ou um endereço IP e um número arbitrário (ABCD: y).

para a parte do roteiro:

ip route 0.0.0.0 0.0.0.0 1.1.1.2
ip route vrf wanconnection:1 0.0.0.0 0.0.0.0 1.1.1.2

Se você tiver apenas uma conexão WAN sem a marcação ativada, poderá usar o roteamento entre Vrf: http://packetlife.net/blog/2010/mar/29/inter-vrf-routing-vrf-lite/

ex:

ip vrf wanconnection:1
 rd 65000:1
 route-target export 65000:2
 route-target import 65000:99

ip vrf wanconnection:2
 rd 65000:2
 route-target export 65000:1
 route-target import 65000:99

ip vrf shared:1
 rd 65000:99
 route-target export 65000:99
 route-target import 65000:1
 route-target import 65000:2

interface FastEthernet0
ip vrf forwarding shared:1
ip address 1.1.1.1 255.255.255.252 

interface loopback1
ip vrf forwarding shared:1
ip address 2.2.2.2 255.255.255.255


ip route vrf shared:1 0.0.0.0 0.0.0.0 1.1.1.2
ip route vrf wanconnection:1 0.0.0.0 0.0.0.0 2.2.2.2
ip route vrf wanconnection:2 0.0.0.0 0.0.0.0 2.2.2.2

interface FastEthernet1
ip vrf forwarding wanconnection:1 
ip address 10.0.0.1 255.255.255.0
description "LAN interface vrf 1"

interface FastEthernet2
ip vrf forwarding wanconnection:2
ip address 10.0.2.1 255.255.255.0
description "LAN interface vrf 2"

aqui o FastEthernet1 usará a rota padrão para o vrf wanconnection: 1 e o FastEthernet2 usará a rota padrão para o vrf wanconnection: 2 (fornecido pelos comandos "ip route").

Bulki
fonte
Eu acho que a rota vazando no final é o que ele OP foi depois sem saber :)
jwbensley
@javano Eu acho que sim 2 :) mas eu espero que eu dei um pouco de uma visão geral de algumas das possibilidades :)
Bulki
sim - vazamento de rota é o que eu estava procurando sem saber .... faz sentido agora. Vou tentar construir isso neste fim de semana e ver como vai!
Knotseh
esperança @hestonk ajuda :)
Bulki
A conexão wan: N rotas estáticas não fazem sentido para mim. Seria um exemplo melhor, se você tivesse 2 lados da LAN, 1 lado da WAN, rota padrão (como já o fez) para o VRF compartilhado do lado da WAN, mas deverá ter rotas do lado da LAN apontando para o próximo salto da LAN.
Ytti 31/05
4

Se você usa VRFs, é possível criar um VRF de hub e spoke usando apenas um roteador sem a necessidade de MPLS.

Você precisa usar o BGP, mas isso não precisa ser comparado a ninguém, ele é usado simplesmente para rotear entre os VRFs.

Como você faria algo como ...

ip vrf GUEST
 rd 100:1
 route-target export 100:100
 route-target import 100:200

ip vrf CORP
 rd 100:2
 route-target export 100:100
 route-target import 100:200

ip vrf WAN
 rd 100:100
 route-target import 100:100
 route-target export 100:200

Isso exportaria rotas (como a rota padrão) do VRF da WAN para os dois VRFs, mas não exportaria as outras sub-redes uma para a outra.

David Rothera
fonte
Essa configuração também importa as rotas dos dois VRFs para o WAN VRF?
generalnetworkerror
Sim, isso é feito através da importação de 100: 100 no WAN e a exportação de 100: 100 no outro 2 de VRF
David Rothera