1 Router, 1 Internetverbindung / IP - mehrere VRFs mit demselben ISP-Gateway

11

Meine Kenntnisse über Inter-VRF-Routing sind nicht die besten.

Ich habe eine öffentliche IP. Das öffentliche Internet und sein Quad 0 befinden sich in der Standard-VRF ....

Dann habe ich einen Guest_VRF und einen Corporate_VRF, die beide auf das Internet zugreifen und auf das Standard-Gateway in der Standard-VRF verweisen müssen.

Ich kann sehen, dass dies mit mehreren Cisco-Routern durchgeführt wird, kann jedoch nicht herausfinden, wie ich dieses All-in-One-Gerät ausführen kann. Ich stelle mir hier immer wieder mehrere NAT / PATs vor, die nur chaotisch sind oder Loopbacks und Tunnel verwenden.

Ich konzentriere mich hier hauptsächlich auf einen ISR G1 / G2-Router. Hat jemand einen Rat?

cisco cisco-ios-12 cisco-ios-15 knotseh
quelle

Antworten:

12

Die Verwendung eines VRF entspricht der Verwendung eines separaten Routers. Wenn Sie für beide VRFs dieselbe WAN-IP haben, müssen Sie diese in beiden WAN-Schnittstellen zweimal konfigurieren. Wenn Sie jedoch nur eine WAN-Schnittstelle verwenden, müssen Sie diese Schnittstelle durch Trunking (mithilfe von VLANs) oder Subschnittstellen unterteilen.

Ex:

interface FastEthernet0.5
encapsulation dot1Q 5
ip address 1.1.1.1 255.255.255.252

Beachten Sie, dass wir keine IP-VRF-Weiterleitung verwenden. Wir verwenden hier die Standard-VRF

interface FastEthernet0.10
ip vrf forwarding wanconnection:1
encapsulation dot1Q 10
ip address 1.1.1.1 255.255.255.252 (<== this can be another IP if you prefer to divide it with 2 different IP's)

Die Verbindung läuft dann wie folgt ab:

  • Ihr Router (normales vrf) => wan connection => vpn wird für dot1Q tag 5 verwendet
  • Ihr Router (wanconnection: 1 vrf) => wan connection => vpn wird für dot1Q tag 10 verwendet

Wenn Sie dies ohne Tagging tun möchten und nur zwei physische Schnittstellen haben möchten, ist dies dieselbe Implementierung:

interface FastEthernet0
ip address 1.1.1.1 255.255.255.252

interface FastEthernet1
ip vrf forwarding wanconnection:1
ip address 1.1.1.1 255.255.255.252

Jede andere Schnittstelle, die in der spezifischen vrf "wanconnection: 1" benötigt wird, muss auf die gleiche Weise hinzugefügt werden: 

ip vrf forwarding wanconnection:1

Ex:

interface FastEthernet4
 ip vrf forwarding wanconnection:1
 ip address 10.0.0.1 255.255.255.0

Erstellen eines vrf: http://www.cisco.com/de/US/docs/switches/lan/catalyst4500/12.2/15.02SG/configuration/guide/vrf.html

ip vrf wanconnection:1
 rd 65000:1

Der Befehl rd 100: 1 erklärte: Erstellt eine VRF-Tabelle durch Angabe eines Routendifferenzierers. Geben Sie entweder eine AS-Nummer und eine beliebige Nummer (xxx: y) oder eine IP-Adresse und eine beliebige Nummer (ABCD: y) ein.

für den Routing-Teil:

ip route 0.0.0.0 0.0.0.0 1.1.1.2
ip route vrf wanconnection:1 0.0.0.0 0.0.0.0 1.1.1.2

Wenn Sie nur eine WAN-Verbindung ohne aktiviertes Tagging haben, können Sie das Inter-Vrf-Routing verwenden: http://packetlife.net/blog/2010/mar/29/inter-vrf-routing-vrf-lite/

Ex:

ip vrf wanconnection:1
 rd 65000:1
 route-target export 65000:2
 route-target import 65000:99

ip vrf wanconnection:2
 rd 65000:2
 route-target export 65000:1
 route-target import 65000:99

ip vrf shared:1
 rd 65000:99
 route-target export 65000:99
 route-target import 65000:1
 route-target import 65000:2

interface FastEthernet0
ip vrf forwarding shared:1
ip address 1.1.1.1 255.255.255.252 

interface loopback1
ip vrf forwarding shared:1
ip address 2.2.2.2 255.255.255.255


ip route vrf shared:1 0.0.0.0 0.0.0.0 1.1.1.2
ip route vrf wanconnection:1 0.0.0.0 0.0.0.0 2.2.2.2
ip route vrf wanconnection:2 0.0.0.0 0.0.0.0 2.2.2.2

interface FastEthernet1
ip vrf forwarding wanconnection:1 
ip address 10.0.0.1 255.255.255.0
description "LAN interface vrf 1"

interface FastEthernet2
ip vrf forwarding wanconnection:2
ip address 10.0.2.1 255.255.255.0
description "LAN interface vrf 2"

Hier verwendet FastEthernet1 die Standardroute für vrf wanconnection: 1 und FastEthernet2 verwendet die Standardroute für vrf wanconnection: 2 (bereitgestellt durch die Befehle "ip route").

Bulki
quelle
Ich denke, die Route, die am Ende leckt, ist das, wonach er
gesucht hat,
@ Javano Ich denke schon 2 :) aber ich hoffe, ich gab einen kleinen Überblick über einige der Möglichkeiten :)
Bulki
Ja - Routenlecks sind das, wonach ich gesucht habe, ohne es zu wissen ... macht jetzt Sinn. Ich werde versuchen, dieses Wochenende zu bauen und sehen, wie es geht!
Knoten
@hestonk hoffe es hilft :)
Bulki
Die Wanconnection: N statische Routen ergeben für mich keinen Sinn. Es wäre ein besseres Beispiel, wenn Sie 2 LAN-Seiten, 1 WAN-Seite und eine Standardroute (wie bereits) zur gemeinsam genutzten VRF auf der WAN-Seite hätten, aber dann sollten Sie LAN-Seitenrouten haben, die auf LAN-Next-Hop verweisen.
Ytti
4

Wenn Sie VRFs verwenden, können Sie mit nur einem Router einen Hub & Spoke-VRF erstellen, ohne dass MPLS erforderlich ist.

Sie müssen BGP verwenden, dies muss jedoch nicht mit jemandem verglichen werden. Es wird lediglich zum Routen zwischen den VRFs verwendet.

Wie würden Sie es so etwas tun ...

ip vrf GUEST
 rd 100:1
 route-target export 100:100
 route-target import 100:200

ip vrf CORP
 rd 100:2
 route-target export 100:100
 route-target import 100:200

ip vrf WAN
 rd 100:100
 route-target import 100:100
 route-target export 100:200

Dies würde dann Routen (wie die Standardroute) von der WAN-VRF in die beiden VRFs exportieren, aber die anderen Subnetze nicht ineinander exportieren.

David Rothera
quelle
Importiert diese Konfiguration auch die Routen von den beiden VRFs in die WAN-VRF?
Generalnetworkerror
Ja, dies geschieht durch den Import von 100: 100 im WAN und den Export von 100: 100 in die anderen 2 VRFs
David Rothera