Доступ в интернет из двух VRF через глобальный

-

 Схема в EVE такая (маршрутизатор CSR1000v):


VPCCUST1 находится в VRF CUST1, VPCCUST2 в VRF CUST2

И каждый из них должен получать доступ в интернет но не на друг друга.

План такой:

Создаем 2 VRF

Настраиваем в них интерфейсы, настраиваем глобальный VRF и передаем маршрут по умолчанию в оба VRF

Попутно создаем DHCP пулы для каждого VRF

Конфиг роутера (только то что нам интересно)

 ip vrf CUST1
 rd 65000:1
!
ip vrf CUST2
 rd 65000:2
!
ip dhcp pool CUSD1POOL
 vrf CUST1
 network 10.10.1.0 255.255.255.0
 default-router 10.10.1.1
 dns-server 8.8.8.8
!
ip dhcp pool CUSD2POOL
 vrf CUST2
 network 10.10.2.0 255.255.255.0
 default-router 10.10.2.1
 dns-server 8.8.8.8
!
interface GigabitEthernet1
 ip vrf forwarding CUST1
 ip address 10.10.1.1 255.255.255.0
 no ip unreachables
 ip nat inside
 negotiation auto
 no mop enabled
 no mop sysid
!
interface GigabitEthernet2
 ip vrf forwarding CUST2
 ip address 10.10.2.1 255.255.255.0
 no ip unreachables
 ip nat inside
 negotiation auto
 no mop enabled
 no mop sysid
!
interface GigabitEthernet3
 ip address 77.88.8.1 255.255.255.0
 ip nat outside
 negotiation auto
 no mop enabled
 no mop sysid
!
ip nat inside source list NATACL interface GigabitEthernet3 vrf CUST1 overload
ip nat inside source list NATACL interface GigabitEthernet3 vrf CUST2 overload
!
ip route vrf CUST1 0.0.0.0 0.0.0.0 77.88.8.10 global
ip route vrf CUST2 0.0.0.0 0.0.0.0 77.88.8.10 global
!
ip access-list extended NATACL
 deny   ip any 10.0.0.0 0.255.255.255
 deny   ip any 192.168.0.0 0.0.0.255
 permit ip 10.0.0.0 0.255.255.255 any
!

Проверим кто какие адреса получил по DHCP и получил ли вообще:

CSR1000-RTR01#sh ip dhcp binding
Bindings from all pools not associated with VRF:
IP address      Client-ID/              Lease expiration        Type       State      Interface
                Hardware address/
                User name

Bindings from VRF pool CUST1:
IP address      Client-ID/              Lease expiration        Type       State      Interface
                Hardware address/
                User name
10.10.1.3       0100.5079.6668.07       Nov 19 2022 11:04 AM    Automatic  Active     GigabitEthernet1

Bindings from VRF pool CUST2:
IP address      Client-ID/              Lease expiration        Type       State      Interface
                Hardware address/
                User name
10.10.2.4       0100.5079.6668.05       Nov 19 2022 11:55 AM    Automatic  Active     GigabitEthernet2

Теперь посмотрим маршруты:

CSR1000-RTR01#sh ip route
.................
      77.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        77.88.8.0/24 is directly connected, GigabitEthernet3
L        77.88.8.1/32 is directly connected, GigabitEthernet3

CSR1000-RTR01#sh ip route vrf CUST1

Routing Table: CUST1
.................
Gateway of last resort is 77.88.8.10 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 77.88.8.10
      10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        10.10.1.0/24 is directly connected, GigabitEthernet1
L        10.10.1.1/32 is directly connected, GigabitEthernet1


CSR1000-RTR01#sh ip route vrf CUST2

Routing Table: CUST2
.................
Gateway of last resort is 77.88.8.10 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 77.88.8.10
      10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        10.10.2.0/24 is directly connected, GigabitEthernet2
L        10.10.2.1/32 is directly connected, GigabitEthernet2
CSR1000-RTR01#

Ну теперь можно пингануть внешний ресурс и друг друга:

С первого ПК второй ПК:

VPCS> show ip

NAME        : VPCS[1]
IP/MASK     : 10.10.1.3/24
GATEWAY     : 10.10.1.1
DNS         : 8.8.8.8
DHCP SERVER : 10.10.1.1
DHCP LEASE  : 83554, 86400/43200/75600
MAC         : 00:50:79:66:68:07
LPORT       : 20000
RHOST:PORT  : 127.0.0.1:30000
MTU         : 1500
 

VPCS> ping 10.10.2.4

10.10.2.4 icmp_seq=1 timeout
10.10.2.4 icmp_seq=2 timeout
10.10.2.4 icmp_seq=3 timeout
10.10.2.4 icmp_seq=4 timeout
10.10.2.4 icmp_seq=5 timeout

Внешний узел:

VPCS> ping 77.88.8.10

84 bytes from 77.88.8.10 icmp_seq=1 ttl=63 time=1.044 ms
84 bytes from 77.88.8.10 icmp_seq=2 ttl=63 time=0.793 ms
84 bytes from 77.88.8.10 icmp_seq=3 ttl=63 time=0.930 ms
84 bytes from 77.88.8.10 icmp_seq=4 ttl=63 time=0.773 ms
84 bytes from 77.88.8.10 icmp_seq=5 ttl=63 time=0.768 ms

И со второго ПК первый ПК:

VPCS> sh ip

NAME        : VPCS[1]
IP/MASK     : 10.10.2.4/24
GATEWAY     : 10.10.2.1
DNS         : 8.8.8.8
DHCP SERVER : 10.10.2.1
DHCP LEASE  : 86200, 86400/43200/75600
MAC         : 00:50:79:66:68:05
LPORT       : 20000
RHOST:PORT  : 127.0.0.1:30000
MTU         : 1500

VPCS> ping 10.10.1.3

10.10.1.3 icmp_seq=1 timeout
10.10.1.3 icmp_seq=2 timeout
10.10.1.3 icmp_seq=3 timeout
10.10.1.3 icmp_seq=4 timeout
10.10.1.3 icmp_seq=5 timeout

И внешний ресурс:

VPCS> ping 77.88.8.10

84 bytes from 77.88.8.10 icmp_seq=1 ttl=63 time=0.690 ms
84 bytes from 77.88.8.10 icmp_seq=2 ttl=63 time=0.743 ms
84 bytes from 77.88.8.10 icmp_seq=3 ttl=63 time=0.784 ms
84 bytes from 77.88.8.10 icmp_seq=4 ttl=63 time=0.766 ms
84 bytes from 77.88.8.10 icmp_seq=5 ttl=63 time=0.723 ms


 

 

 





Комментарии

Отправить комментарий

Популярные сообщения из этого блога

DHCP опция 121 - статические маршруты по DHCP

-
Однажды мне понадобилось отправить трафик на некоторые сети  на другой маршрутизатор. Пришлось на Windows добавлять route add и маршрут на нужную сеть, через нужный маршрутизатор. Но тут оказалось, что есть отличная опция 121 (и 249). Можно на Cisco добавить (на ASA например): dhcpd option 121 hex 18c0a8c1c0a8000718c0a8c2c0a80008 Эта строка добавляет статический маршрут на сеть 192.168.193.0/24 через шлюз 192.168.0.7 и маршрут 192.168.194.0/24 через шлюз 192.168.0.8 Формат такой: Сначала пишем длину префикса, потом сеть без лишних нулей, то есть если маска /24 то сеть 192.168.0 например ну или 10.7.1 то есть не значащие октеты не пишем. Далее адрес шлюза. Далее можно писать в том же формате еще один маршрут. У нас в примере их два: 18 c0a8c1 c0a80007 18 c0a8c2 c0a80008
Далее...

Сброс на заводские настройки, коммутатора Moxa EDS-518A

-
Изображение
В связи с тем что на этом коммутаторе нет кнопки сброса, нам понадобится снять с него крышку. На верхней плате есть вырез, через который видна средняя плата, а там есть два коннектора, нам нужен шести контактный. Нам нужно замкнуть контакты, отмеченные на картинке красным цветом (те что ближе к задней стенке, замкнуть можно например перемычкой от жесткого диска или привода).  Затем надо подключить консольный кабель, его распиновка есть в документе - EDS-518A Series, Hardware Installation Guide Теперь можно подать питание и дождаться появления в терминале вот такого меню: ================================================<<Main Menu>>> ----------------------------------------------------------------------              MOXA EDS-518A-T MM-Test Ver 1.9   built time=  09042815       Firmware Mac Address:00-90-e8-20-9c-76   SerNo:2399 -------------------...
Далее...