Доступ в интернет из двух VRF через глобальный

 Схема в EVE такая (маршрутизатор CSR1000v):


VPCCUST1 находится в VRF CUST1, VPCCUST2 в VRF CUST2

И каждый из них должен получать доступ в интернет но не на друг друга.

План такой:

Создаем 2 VRF

Настраиваем в них интерфейсы, настраиваем глобальный VRF и передаем маршрут по умолчанию в оба VRF

Попутно создаем DHCP пулы для каждого VRF

Конфиг роутера (только то что нам интересно)

 ip vrf CUST1
 rd 65000:1
!
ip vrf CUST2
 rd 65000:2
!
ip dhcp pool CUSD1POOL
 vrf CUST1
 network 10.10.1.0 255.255.255.0
 default-router 10.10.1.1
 dns-server 8.8.8.8
!
ip dhcp pool CUSD2POOL
 vrf CUST2
 network 10.10.2.0 255.255.255.0
 default-router 10.10.2.1
 dns-server 8.8.8.8
!
interface GigabitEthernet1
 ip vrf forwarding CUST1
 ip address 10.10.1.1 255.255.255.0
 no ip unreachables
 ip nat inside
 negotiation auto
 no mop enabled
 no mop sysid
!
interface GigabitEthernet2
 ip vrf forwarding CUST2
 ip address 10.10.2.1 255.255.255.0
 no ip unreachables
 ip nat inside
 negotiation auto
 no mop enabled
 no mop sysid
!
interface GigabitEthernet3
 ip address 77.88.8.1 255.255.255.0
 ip nat outside
 negotiation auto
 no mop enabled
 no mop sysid
!
ip nat inside source list NATACL interface GigabitEthernet3 vrf CUST1 overload
ip nat inside source list NATACL interface GigabitEthernet3 vrf CUST2 overload
!
ip route vrf CUST1 0.0.0.0 0.0.0.0 77.88.8.10 global
ip route vrf CUST2 0.0.0.0 0.0.0.0 77.88.8.10 global
!
ip access-list extended NATACL
 deny   ip any 10.0.0.0 0.255.255.255
 deny   ip any 192.168.0.0 0.0.0.255
 permit ip 10.0.0.0 0.255.255.255 any
!

Проверим кто какие адреса получил по DHCP и получил ли вообще:

CSR1000-RTR01#sh ip dhcp binding
Bindings from all pools not associated with VRF:
IP address      Client-ID/              Lease expiration        Type       State      Interface
                Hardware address/
                User name

Bindings from VRF pool CUST1:
IP address      Client-ID/              Lease expiration        Type       State      Interface
                Hardware address/
                User name
10.10.1.3       0100.5079.6668.07       Nov 19 2022 11:04 AM    Automatic  Active     GigabitEthernet1

Bindings from VRF pool CUST2:
IP address      Client-ID/              Lease expiration        Type       State      Interface
                Hardware address/
                User name
10.10.2.4       0100.5079.6668.05       Nov 19 2022 11:55 AM    Automatic  Active     GigabitEthernet2

Теперь посмотрим маршруты:

CSR1000-RTR01#sh ip route
.................
      77.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        77.88.8.0/24 is directly connected, GigabitEthernet3
L        77.88.8.1/32 is directly connected, GigabitEthernet3

CSR1000-RTR01#sh ip route vrf CUST1

Routing Table: CUST1
.................
Gateway of last resort is 77.88.8.10 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 77.88.8.10
      10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        10.10.1.0/24 is directly connected, GigabitEthernet1
L        10.10.1.1/32 is directly connected, GigabitEthernet1


CSR1000-RTR01#sh ip route vrf CUST2

Routing Table: CUST2
.................
Gateway of last resort is 77.88.8.10 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 77.88.8.10
      10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        10.10.2.0/24 is directly connected, GigabitEthernet2
L        10.10.2.1/32 is directly connected, GigabitEthernet2
CSR1000-RTR01#

Ну теперь можно пингануть внешний ресурс и друг друга:

С первого ПК второй ПК:

VPCS> show ip

NAME        : VPCS[1]
IP/MASK     : 10.10.1.3/24
GATEWAY     : 10.10.1.1
DNS         : 8.8.8.8
DHCP SERVER : 10.10.1.1
DHCP LEASE  : 83554, 86400/43200/75600
MAC         : 00:50:79:66:68:07
LPORT       : 20000
RHOST:PORT  : 127.0.0.1:30000
MTU         : 1500
 

VPCS> ping 10.10.2.4

10.10.2.4 icmp_seq=1 timeout
10.10.2.4 icmp_seq=2 timeout
10.10.2.4 icmp_seq=3 timeout
10.10.2.4 icmp_seq=4 timeout
10.10.2.4 icmp_seq=5 timeout

Внешний узел:

VPCS> ping 77.88.8.10

84 bytes from 77.88.8.10 icmp_seq=1 ttl=63 time=1.044 ms
84 bytes from 77.88.8.10 icmp_seq=2 ttl=63 time=0.793 ms
84 bytes from 77.88.8.10 icmp_seq=3 ttl=63 time=0.930 ms
84 bytes from 77.88.8.10 icmp_seq=4 ttl=63 time=0.773 ms
84 bytes from 77.88.8.10 icmp_seq=5 ttl=63 time=0.768 ms

И со второго ПК первый ПК:

VPCS> sh ip

NAME        : VPCS[1]
IP/MASK     : 10.10.2.4/24
GATEWAY     : 10.10.2.1
DNS         : 8.8.8.8
DHCP SERVER : 10.10.2.1
DHCP LEASE  : 86200, 86400/43200/75600
MAC         : 00:50:79:66:68:05
LPORT       : 20000
RHOST:PORT  : 127.0.0.1:30000
MTU         : 1500

VPCS> ping 10.10.1.3

10.10.1.3 icmp_seq=1 timeout
10.10.1.3 icmp_seq=2 timeout
10.10.1.3 icmp_seq=3 timeout
10.10.1.3 icmp_seq=4 timeout
10.10.1.3 icmp_seq=5 timeout

И внешний ресурс:

VPCS> ping 77.88.8.10

84 bytes from 77.88.8.10 icmp_seq=1 ttl=63 time=0.690 ms
84 bytes from 77.88.8.10 icmp_seq=2 ttl=63 time=0.743 ms
84 bytes from 77.88.8.10 icmp_seq=3 ttl=63 time=0.784 ms
84 bytes from 77.88.8.10 icmp_seq=4 ttl=63 time=0.766 ms
84 bytes from 77.88.8.10 icmp_seq=5 ttl=63 time=0.723 ms


 

 

 





Комментарии

Отправить комментарий

Популярные сообщения