К основному контенту

Доступ в интернет из двух VRF через глобальный

Автор: Анонимный

 Схема в EVE такая (маршрутизатор CSR1000v):


VPCCUST1 находится в VRF CUST1, VPCCUST2 в VRF CUST2

И каждый из них должен получать доступ в интернет но не на друг друга.

План такой:

Создаем 2 VRF

Настраиваем в них интерфейсы, настраиваем глобальный VRF и передаем маршрут по умолчанию в оба VRF

Попутно создаем DHCP пулы для каждого VRF

Конфиг роутера (только то что нам интересно)

 ip vrf CUST1
 rd 65000:1
!
ip vrf CUST2
 rd 65000:2
!
ip dhcp pool CUSD1POOL
 vrf CUST1
 network 10.10.1.0 255.255.255.0
 default-router 10.10.1.1
 dns-server 8.8.8.8
!
ip dhcp pool CUSD2POOL
 vrf CUST2
 network 10.10.2.0 255.255.255.0
 default-router 10.10.2.1
 dns-server 8.8.8.8
!
interface GigabitEthernet1
 ip vrf forwarding CUST1
 ip address 10.10.1.1 255.255.255.0
 no ip unreachables
 ip nat inside
 negotiation auto
 no mop enabled
 no mop sysid
!
interface GigabitEthernet2
 ip vrf forwarding CUST2
 ip address 10.10.2.1 255.255.255.0
 no ip unreachables
 ip nat inside
 negotiation auto
 no mop enabled
 no mop sysid
!
interface GigabitEthernet3
 ip address 77.88.8.1 255.255.255.0
 ip nat outside
 negotiation auto
 no mop enabled
 no mop sysid
!
ip nat inside source list NATACL interface GigabitEthernet3 vrf CUST1 overload
ip nat inside source list NATACL interface GigabitEthernet3 vrf CUST2 overload
!
ip route vrf CUST1 0.0.0.0 0.0.0.0 77.88.8.10 global
ip route vrf CUST2 0.0.0.0 0.0.0.0 77.88.8.10 global
!
ip access-list extended NATACL
 deny   ip any 10.0.0.0 0.255.255.255
 deny   ip any 192.168.0.0 0.0.0.255
 permit ip 10.0.0.0 0.255.255.255 any
!

Проверим кто какие адреса получил по DHCP и получил ли вообще:

CSR1000-RTR01#sh ip dhcp binding
Bindings from all pools not associated with VRF:
IP address      Client-ID/              Lease expiration        Type       State      Interface
                Hardware address/
                User name

Bindings from VRF pool CUST1:
IP address      Client-ID/              Lease expiration        Type       State      Interface
                Hardware address/
                User name
10.10.1.3       0100.5079.6668.07       Nov 19 2022 11:04 AM    Automatic  Active     GigabitEthernet1

Bindings from VRF pool CUST2:
IP address      Client-ID/              Lease expiration        Type       State      Interface
                Hardware address/
                User name
10.10.2.4       0100.5079.6668.05       Nov 19 2022 11:55 AM    Automatic  Active     GigabitEthernet2

Теперь посмотрим маршруты:

CSR1000-RTR01#sh ip route
.................
      77.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        77.88.8.0/24 is directly connected, GigabitEthernet3
L        77.88.8.1/32 is directly connected, GigabitEthernet3

CSR1000-RTR01#sh ip route vrf CUST1

Routing Table: CUST1
.................
Gateway of last resort is 77.88.8.10 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 77.88.8.10
      10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        10.10.1.0/24 is directly connected, GigabitEthernet1
L        10.10.1.1/32 is directly connected, GigabitEthernet1


CSR1000-RTR01#sh ip route vrf CUST2

Routing Table: CUST2
.................
Gateway of last resort is 77.88.8.10 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 77.88.8.10
      10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        10.10.2.0/24 is directly connected, GigabitEthernet2
L        10.10.2.1/32 is directly connected, GigabitEthernet2
CSR1000-RTR01#

Ну теперь можно пингануть внешний ресурс и друг друга:

С первого ПК второй ПК:

VPCS> show ip

NAME        : VPCS[1]
IP/MASK     : 10.10.1.3/24
GATEWAY     : 10.10.1.1
DNS         : 8.8.8.8
DHCP SERVER : 10.10.1.1
DHCP LEASE  : 83554, 86400/43200/75600
MAC         : 00:50:79:66:68:07
LPORT       : 20000
RHOST:PORT  : 127.0.0.1:30000
MTU         : 1500
 

VPCS> ping 10.10.2.4

10.10.2.4 icmp_seq=1 timeout
10.10.2.4 icmp_seq=2 timeout
10.10.2.4 icmp_seq=3 timeout
10.10.2.4 icmp_seq=4 timeout
10.10.2.4 icmp_seq=5 timeout

Внешний узел:

VPCS> ping 77.88.8.10

84 bytes from 77.88.8.10 icmp_seq=1 ttl=63 time=1.044 ms
84 bytes from 77.88.8.10 icmp_seq=2 ttl=63 time=0.793 ms
84 bytes from 77.88.8.10 icmp_seq=3 ttl=63 time=0.930 ms
84 bytes from 77.88.8.10 icmp_seq=4 ttl=63 time=0.773 ms
84 bytes from 77.88.8.10 icmp_seq=5 ttl=63 time=0.768 ms

И со второго ПК первый ПК:

VPCS> sh ip

NAME        : VPCS[1]
IP/MASK     : 10.10.2.4/24
GATEWAY     : 10.10.2.1
DNS         : 8.8.8.8
DHCP SERVER : 10.10.2.1
DHCP LEASE  : 86200, 86400/43200/75600
MAC         : 00:50:79:66:68:05
LPORT       : 20000
RHOST:PORT  : 127.0.0.1:30000
MTU         : 1500

VPCS> ping 10.10.1.3

10.10.1.3 icmp_seq=1 timeout
10.10.1.3 icmp_seq=2 timeout
10.10.1.3 icmp_seq=3 timeout
10.10.1.3 icmp_seq=4 timeout
10.10.1.3 icmp_seq=5 timeout

И внешний ресурс:

VPCS> ping 77.88.8.10

84 bytes from 77.88.8.10 icmp_seq=1 ttl=63 time=0.690 ms
84 bytes from 77.88.8.10 icmp_seq=2 ttl=63 time=0.743 ms
84 bytes from 77.88.8.10 icmp_seq=3 ttl=63 time=0.784 ms
84 bytes from 77.88.8.10 icmp_seq=4 ttl=63 time=0.766 ms
84 bytes from 77.88.8.10 icmp_seq=5 ttl=63 time=0.723 ms


 

 

 





Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Avaya, переадресация на мобильный, по неответу после 3 звонков.

Автор:
Есть простейшее решение. 1. Через FAC набрать самому 2. Через change station на странице 3, задать номера и активировать их. 3. Через change coverage remote задать там номера, потом change coverage path задать правила перехода. В 1 и последнем случае, нет дурацкого сообщения на экране. Вариант 3: r2 означает, что надо вять номер из таблицы выше (remote). На станции указываем нужный coverage path
5 комментариев
Далее...

Конвертируем точку доступа AIR-LAP1131AG-E-K9 в автономную

Автор:
1. Отключаем Ethernet кабель 2. Зажимаем кнопку (она там одна, справа от кабелей) 3. Подключаем консольный кабель 4. Подключаем AC-DC адаптер Теперь не отпуская кнопки ждем когда на консоли появится примерно следующее: Initializing ethernet port 0... Reset ethernet port 0... Reset done! link auto-negotiating....  auto-negotiation takes 10000 milli-seconds to complete ERROR: timeout waiting for auto-negotiation to complete  ERROR: fail to bring ethernet link up The system has been encountered an error initializing ethernet port. You may need to check hardware The system is ignoring the error and continuing boot. If you interrupt the system boot process, the following commands will reinitialize ethernet, tftp, and finish loading the operating system software:     ether_init     tftp_init     boot button is pressed, wait for button to be released... Тут мы должны отпустить кнопку, и далее увидим button pressed for 55 seconds process_config_recovery: set IP a
6 комментариев
Далее...

Время в логах на Cisco

Автор:
чтобы в логах на Cisco было корректное время, нужно ввести следующую строку service timestamps log datetime localtime Ну и заодно в режиме отладки service timestamps debug datetime localtime
Отправить комментарий
Далее...