1 enrutador, 1 conexión a Internet / IP: múltiples VRF que usan la misma puerta de enlace ISP

11

Mi conocimiento del enrutamiento entre VRF no es el mejor.

Tengo una IP pública. La Internet pública y su quad 0 está en el VRF predeterminado ...

Luego tengo un Guest_VRF y un corporate_VRF que necesitarían acceder a Internet y señalar la puerta de enlace predeterminada en el VRF predeterminado.

Puedo ver que esto se hace con múltiples enrutadores Cisco, sin embargo, no puedo encontrar una manera de hacer este dispositivo todo en uno. Sigo imaginando múltiples NAT / PAT aquí, lo cual es desordenado o usa bucles y túneles.

Me estoy centrando principalmente en un enrutador ISR G1 / G2 aquí. ¿Alguien tiene algún consejo?

knotseh
fuente

Respuestas:

12

Usar un VRF es como usar un enrutador separado. Si tiene la misma IP WAN para ambos VRF, debe configurarla dos veces en ambas interfaces WAN. Sin embargo, si solo usa una interfaz WAN, tendrá que dividir esta interfaz mediante enlaces troncales (usando VLAN) o subinterfaces.

ex:

interface FastEthernet0.5
encapsulation dot1Q 5
ip address 1.1.1.1 255.255.255.252

Tenga en cuenta que no usamos el reenvío de vrf ip, estamos usando el vrf predeterminado

interface FastEthernet0.10
ip vrf forwarding wanconnection:1
encapsulation dot1Q 10
ip address 1.1.1.1 255.255.255.252 (<== this can be another IP if you prefer to divide it with 2 different IP's)

La conexión entonces es como sigue:

  • su enrutador (vrf normal) => conexión wan => vpn utilizado para la etiqueta dot1Q 5
  • su enrutador (wanconnection: 1 vrf) => wan connection => vpn utilizado para la etiqueta dot1Q 10

si desea hacer esto sin etiquetar y solo tiene 2 interfaces físicas, es la misma implementación:

interface FastEthernet0
ip address 1.1.1.1 255.255.255.252

interface FastEthernet1
ip vrf forwarding wanconnection:1
ip address 1.1.1.1 255.255.255.252 

Cualquier otra interfaz necesaria en la vrf específica "wanconnection: 1" debe agregarse de la misma manera:

ip vrf forwarding wanconnection:1

ex:

interface FastEthernet4
 ip vrf forwarding wanconnection:1
 ip address 10.0.0.1 255.255.255.0

haciendo un vrf: http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/15.02SG/configuration/guide/vrf.html

ip vrf wanconnection:1
 rd 65000:1

El comando rd 100: 1 explica: Crea una tabla VRF especificando un distintivo de ruta. Ingrese un número AS y un número arbitrario (xxx: y) o una dirección IP y un número arbitrario (ABCD: y).

para la parte de enrutamiento:

ip route 0.0.0.0 0.0.0.0 1.1.1.2
ip route vrf wanconnection:1 0.0.0.0 0.0.0.0 1.1.1.2

Si solo tiene una conexión WAN sin etiquetado habilitado, puede usar el enrutamiento entre Vrf: http://packetlife.net/blog/2010/mar/29/inter-vrf-routing-vrf-lite/

ex:

ip vrf wanconnection:1
 rd 65000:1
 route-target export 65000:2
 route-target import 65000:99

ip vrf wanconnection:2
 rd 65000:2
 route-target export 65000:1
 route-target import 65000:99

ip vrf shared:1
 rd 65000:99
 route-target export 65000:99
 route-target import 65000:1
 route-target import 65000:2

interface FastEthernet0
ip vrf forwarding shared:1
ip address 1.1.1.1 255.255.255.252 

interface loopback1
ip vrf forwarding shared:1
ip address 2.2.2.2 255.255.255.255


ip route vrf shared:1 0.0.0.0 0.0.0.0 1.1.1.2
ip route vrf wanconnection:1 0.0.0.0 0.0.0.0 2.2.2.2
ip route vrf wanconnection:2 0.0.0.0 0.0.0.0 2.2.2.2

interface FastEthernet1
ip vrf forwarding wanconnection:1 
ip address 10.0.0.1 255.255.255.0
description "LAN interface vrf 1"

interface FastEthernet2
ip vrf forwarding wanconnection:2
ip address 10.0.2.1 255.255.255.0
description "LAN interface vrf 2"

aquí FastEthernet1 usará la ruta predeterminada para vrf wanconnection: 1 y FastEthernet2 usará la ruta predeterminada para vrf wanconnection: 2 (proporcionada por los comandos "ip route").

Bulki
fuente
Creo que la ruta con fugas al final es lo que
buscaba
@javano Creo que sí 2 :) pero espero haber dado un resumen de algunas de las posibilidades :)
Bulki
sí, fuga de ruta es lo que estaba buscando sin saberlo ... tiene sentido ahora. ¡Intentaré construir esto este fin de semana y veré cómo va!
knotseh
@hestonk espero que ayude :)
Bulki
La conexión wan: N rutas estáticas no tienen sentido para mí. Sería un mejor ejemplo, si tuviera 2 lados de LAN, 1 lado de WAN, ruta predeterminada (como ya lo hizo) al VRF compartido del lado de WAN, pero luego debería tener rutas del lado de LAN que apuntan a LAN en el próximo salto.
ytti
4

Si usa VRF, entonces es posible hacer un hub y habló VRF usando solo un enrutador sin la necesidad de MPLS.

Debe usar BGP, pero esto no tiene que ser igual a nadie, se usa simplemente para enrutar entre los VRF.

¿Cómo lo harías?

ip vrf GUEST
 rd 100:1
 route-target export 100:100
 route-target import 100:200

ip vrf CORP
 rd 100:2
 route-target export 100:100
 route-target import 100:200

ip vrf WAN
 rd 100:100
 route-target import 100:100
 route-target export 100:200

Esto luego exportaría rutas (como la ruta predeterminada) desde el WAN VRF a los dos VRF, pero no exportaría las otras subredes entre sí.

David Rothera
fuente
¿Esta configuración también importa las rutas de los dos VRF al WAN VRF?
generalnetworkerror
Sí, esto se hace mediante la importación de 100: 100 en la WAN y la exportación de 100: 100 en los otros 2 VRF
David Rothera