1 routeur, 1 connexion Internet / IP - plusieurs VRF utilisant la même passerelle ISP

11

Ma connaissance du routage inter-VRF n'est pas la meilleure.

J'ai une adresse IP publique. L'Internet public et son quad 0 sont sur le VRF par défaut ....

Ensuite, j'ai un Guest_VRF et un corporate_VRF qui auraient tous deux besoin d'accéder à Internet et de pointer vers la passerelle par défaut sur le VRF par défaut.

Je peux voir cela se faire avec plusieurs routeurs Cisco, mais je ne peux pas trouver un moyen de faire ce périphérique tout-en-un. Je continue d'envisager plusieurs NAT / PAT ici, ce qui est juste désordonné ou en utilisant des bouclages et des tunnels.

Je me concentre principalement sur un routeur ISR G1 / G2 ici. Quelqu'un a-t-il des conseils?

cisco cisco-ios-12 cisco-ios-15 knotseh
la source

Réponses:

12

Utiliser un VRF, c'est comme utiliser un routeur séparé. Si vous avez la même IP WAN pour les deux VRF, vous devez la configurer deux fois dans les deux interfaces WAN. Si vous n'utilisez cependant qu'une seule interface WAN, vous devrez diviser cette interface en jonction (en utilisant les VLAN) ou en sous-interfaces.

ex:

interface FastEthernet0.5
encapsulation dot1Q 5
ip address 1.1.1.1 255.255.255.252

Notez que nous n'utilisons pas le transfert ip vrf, nous utilisons ici le vrf par défaut

interface FastEthernet0.10
ip vrf forwarding wanconnection:1
encapsulation dot1Q 10
ip address 1.1.1.1 255.255.255.252 (<== this can be another IP if you prefer to divide it with 2 different IP's)

La connexion se déroule alors comme suit:

  • votre routeur (vrf normal) => connexion wan => vpn utilisé pour la balise dot1Q 5
  • votre routeur (wanconnection: 1 vrf) => connexion wan => vpn utilisé pour le tag dot1Q 10

si vous voulez faire cela sans baliser et avoir seulement 2 interfaces physiques, c'est la même implémentation:

interface FastEthernet0
ip address 1.1.1.1 255.255.255.252

interface FastEthernet1
ip vrf forwarding wanconnection:1
ip address 1.1.1.1 255.255.255.252

Toutes les autres interfaces nécessaires dans le vrf spécifique "wanconnection: 1" doivent être ajoutées de la même manière: 

ip vrf forwarding wanconnection:1

ex:

interface FastEthernet4
 ip vrf forwarding wanconnection:1
 ip address 10.0.0.1 255.255.255.0

création d'un vrf: http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/15.02SG/configuration/guide/vrf.html

ip vrf wanconnection:1
 rd 65000:1

Explication de la commande rd 100: 1: crée une table VRF en spécifiant un différenciateur d'itinéraire. Saisissez un numéro AS et un numéro arbitraire (xxx: y) ou une adresse IP et un numéro arbitraire (ABCD: y).

pour la partie routage:

ip route 0.0.0.0 0.0.0.0 1.1.1.2
ip route vrf wanconnection:1 0.0.0.0 0.0.0.0 1.1.1.2

Si vous n'avez qu'une seule connexion WAN sans marquage activé, vous pouvez utiliser le routage inter Vrf: http://packetlife.net/blog/2010/mar/29/inter-vrf-routing-vrf-lite/

ex:

ip vrf wanconnection:1
 rd 65000:1
 route-target export 65000:2
 route-target import 65000:99

ip vrf wanconnection:2
 rd 65000:2
 route-target export 65000:1
 route-target import 65000:99

ip vrf shared:1
 rd 65000:99
 route-target export 65000:99
 route-target import 65000:1
 route-target import 65000:2

interface FastEthernet0
ip vrf forwarding shared:1
ip address 1.1.1.1 255.255.255.252 

interface loopback1
ip vrf forwarding shared:1
ip address 2.2.2.2 255.255.255.255


ip route vrf shared:1 0.0.0.0 0.0.0.0 1.1.1.2
ip route vrf wanconnection:1 0.0.0.0 0.0.0.0 2.2.2.2
ip route vrf wanconnection:2 0.0.0.0 0.0.0.0 2.2.2.2

interface FastEthernet1
ip vrf forwarding wanconnection:1 
ip address 10.0.0.1 255.255.255.0
description "LAN interface vrf 1"

interface FastEthernet2
ip vrf forwarding wanconnection:2
ip address 10.0.2.1 255.255.255.0
description "LAN interface vrf 2"

ici FastEthernet1 utilisera l'itinéraire par défaut pour vrf wanconnection: 1 et FastEthernet2 utilisera l'itinéraire par défaut pour vrf wanconnection: 2 (fourni par les commandes "ip route").

Bulki
la source
Je pense que l'itinéraire qui fuit à la fin est ce qu'il recherchait sans le savoir :)
jwbensley
@javano Je pense que oui 2 :) mais j'espère avoir donné un aperçu de certaines des possibilités :)
Bulki
oui - la fuite d'itinéraire est ce que je cherchais sans le savoir .... a du sens maintenant. Je vais essayer de construire ce week-end et voir comment ça se passe!
knotseh
@hestonk j'espère que ça aide :)
Bulki
Le wanconnection: N routes statiques n'ont pas de sens pour moi. Ce serait un meilleur exemple, si vous aviez 2 côtés LAN, 1 côté WAN, une route par défaut (comme vous l'avez déjà fait) vers un VRF partagé côté WAN, mais alors vous devriez avoir des routes latérales LAN pointant vers LAN next-hop.
ytti
4

Si vous utilisez des VRF, il est possible de créer un VRF concentrateur et rayons en utilisant un seul routeur sans avoir besoin de MPLS.

Vous devez utiliser BGP mais cela n'a pas besoin d'être pair avec n'importe qui, il est utilisé simplement pour router entre les VRF.

Comment feriez-vous quelque chose comme ...

ip vrf GUEST
 rd 100:1
 route-target export 100:100
 route-target import 100:200

ip vrf CORP
 rd 100:2
 route-target export 100:100
 route-target import 100:200

ip vrf WAN
 rd 100:100
 route-target import 100:100
 route-target export 100:200

Cela exporterait alors les routes (comme la route par défaut) du VRF WAN vers les deux VRF mais n'exporterait pas les autres sous-réseaux entre eux.

David Rothera
la source
Cette configuration importe-t-elle également les routes des deux VRF dans le WAN VRF?
generalnetworkerror
Oui, cela se fait par l'importation de 100: 100 sur le WAN et l'exportation de 100: 100 sur les 2 autres VRF
David Rothera