我有一个公共IP。公共Internet及其四元组0位于默认VRF上。...
然后我有一个Guest_VRF和Corporate_VRF,它们都需要访问Internet并指向默认VRF上的默认网关。
我可以看到这是使用多个Cisco路由器完成的,但是我想不出一种方法来实现这种多合一设备。我一直在这里设想多个NAT / PAT,它们只是一团糟或使用环回和隧道。
我在这里主要关注ISR G1 / G2路由器。有人有什么建议吗?
#1 楼
使用VRF就像使用单独的路由器一样。如果两个VRF具有相同的WAN IP,则必须在两个WAN接口中对其进行两次配置。但是,如果仅使用一个WAN接口,则必须通过中继(使用VLAN)或子接口来划分此接口。例如:
interface FastEthernet0.5
encapsulation dot1Q 5
ip address 1.1.1.1 255.255.255.252
请注意,我们不使用ip vrf转发,我们在此处使用默认的vrf
interface FastEthernet0.10
ip vrf forwarding wanconnection:1
encapsulation dot1Q 10
ip address 1.1.1.1 255.255.255.252 (<== this can be another IP if you prefer to divide it with 2 different IP's)
然后连接如下:
您的路由器(正常vrf)=> wan连接=>用于dot1Q标签5的vpn
您的路由器(wanconnection:1 vrf)=> wan connection =>用于dot1Q标签10的vpn
如果您要执行此操作时不使用标签并且只有2个物理接口,则实现相同:
interface FastEthernet0
ip address 1.1.1.1 255.255.255.252
interface FastEthernet1
ip vrf forwarding wanconnection:1
ip address 1.1.1.1 255.255.255.252
以相同的方式添加特定vrf“ wanconnection:1”中需要的所有其他接口:
ip vrf forwarding wanconnection:1
例如:
interface FastEthernet4
ip vrf forwarding wanconnection:1
ip address 10.0.0.1 255.255.255.0
制作vrf:http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/ 12.2 / 15.02SG / configuration / guide / vrf.html
ip vrf wanconnection:1
rd 65000:1
解释了rd 100:1命令:
通过指定路由识别符来创建VRF表。输入AS号和任意号(xxx:y)或IP地址和任意号(ABCD:y)。对于路由部分,
:
ip route 0.0.0.0 0.0.0.0 1.1.1.2
ip route vrf wanconnection:1 0.0.0.0 0.0.0.0 1.1.1.2
如果只有一个WAN连接而未启用标记,则可以使用内部Vrf路由:http://packetlife.net/blog/2010/mar/29/inter-vrf-routing-vrf-lite /
例如:
ip vrf wanconnection:1
rd 65000:1
route-target export 65000:2
route-target import 65000:99
ip vrf wanconnection:2
rd 65000:2
route-target export 65000:1
route-target import 65000:99
ip vrf shared:1
rd 65000:99
route-target export 65000:99
route-target import 65000:1
route-target import 65000:2
interface FastEthernet0
ip vrf forwarding shared:1
ip address 1.1.1.1 255.255.255.252
interface loopback1
ip vrf forwarding shared:1
ip address 2.2.2.2 255.255.255.255
ip route vrf shared:1 0.0.0.0 0.0.0.0 1.1.1.2
ip route vrf wanconnection:1 0.0.0.0 0.0.0.0 2.2.2.2
ip route vrf wanconnection:2 0.0.0.0 0.0.0.0 2.2.2.2
interface FastEthernet1
ip vrf forwarding wanconnection:1
ip address 10.0.0.1 255.255.255.0
description "LAN interface vrf 1"
interface FastEthernet2
ip vrf forwarding wanconnection:2
ip address 10.0.2.1 255.255.255.0
description "LAN interface vrf 2"
此处FastEthernet1将对vrf wanconnection使用默认路由:1,而FastEthernet2将对vrf wanconnection使用默认路由。 :2(由“ ip route”命令提供)。
#2 楼
如果使用VRF,则可以仅使用一个路由器就可以构建集线器VRF,而无需MPLS。您需要使用BGP,但这不需要与任何人建立对等关系,因此可以使用只需在VRF之间进行路由。
您将执行以下操作...
ip vrf GUEST
rd 100:1
route-target export 100:100
route-target import 100:200
ip vrf CORP
rd 100:2
route-target export 100:100
route-target import 100:200
ip vrf WAN
rd 100:100
route-target import 100:100
route-target export 100:200
然后这将导出路由(例如默认路由)从WAN VRF到两个VRF,但不将其他子网互相导出。
评论
此配置是否还将来自两个VRF的路由导入到WAN VRF中?
–generalnetworkerror
13年5月30日在8:22
是的,这是通过在WAN上导入100:100和在其他2个VRF上导出100:100来完成的
–大卫·罗瑟拉(David Rothera)
13年5月30日在12:28
#3 楼
可以使用PBR完成。将默认gw的流量从vrf推送到全局路由表中。请检查以下链接:
http://www.cisco.com/en/US/docs/ios/12_2sr/12_2srb/feature/guide/srb2mvrf.html#wp1060956
评论
我认为路线的最后泄漏是他不知所措的OP :)
– jwbensley
13年5月30日在10:41
@javano我认为是这样的2 :)但我希望我对某些可能性进行了概述:)
–布尔基
13年5月30日在10:55
是的-不知不觉中一直在寻找路线泄漏....现在很有意义。我将在这个周末尝试构建,看看进展如何!
–knotseh
13年5月30日在13:12
@hestonk希望对您有所帮助:)
–布尔基
13年5月31日晚上8:56
wanconnection:N静态路由对我来说没有意义。更好的例子是,如果您有2个LAN端,1个WAN端,到WAN端共享VRF的默认路由(如您已经拥有的),但是您应该有指向LAN下一跳的LAN端路由。
–ytti
13年5月31日在15:12