Anticisco
http://anticisco.ru/forum/

Нет пинга в интернет из локальной сети VRF-lite + env rr
http://anticisco.ru/forum/viewtopic.php?f=2&t=10527
Страница 1 из 1

Автор:  it911sm [ 09 июн 2018, 11:27 ]
Заголовок сообщения:  Нет пинга в интернет из локальной сети VRF-lite + env rr

Коллеги, подскажите в чем может быть проблема. Ситуация такая, имеется два провайдера, ISP1, ISP2, и локальная сеть LAN. пинги через VRF ISP1, ISP2 успешны, а вот из LAN тишина.. не могу понять в чем может быть проблема. Конфиг текущий такой:

Код:
C2911-633#sh run
Building configuration...


Current configuration : 5475 bytes
!
! Last configuration change at 03:57:44 UTC Sat Jun 9 2018 by admin
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname C2911-633
!
boot-start-marker
boot-end-marker
!
!
vrf definition ISP1
 !
 address-family ipv4
 exit-address-family
!
vrf definition ISP2
 !
 address-family ipv4
 exit-address-family
!
vrf definition LAN
 !
 address-family ipv4
  route-replicate from vrf IPS1 unicast all
  route-replicate from vrf IPS2 unicast all
 exit-address-family
!
!
aaa new-model
!
!
aaa authentication login default local
!
!
!
!
!
aaa session-id common
!
vlan ifdescr detail
!
!
!
!
!
no ip source-route
!
!
!
!
!
!
!
!


!
!
!
!
no ip bootp server
ip domain name xxx.local
ip inspect name OUTSIDE icmp
ip inspect name OUTSIDE dns
ip inspect name OUTSIDE smtp
ip inspect name OUTSIDE http
ip inspect name OUTSIDE https
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
!
cts logging verbose
!
!
voice-card 0
!
!
!
!
!
!
!
!
license udi pid CISCO2911/K9 sn FCZ154121AK
license accept end user agreement
license boot module c2900 technology-package securityk9
license boot module c2900 technology-package uck9
license boot module c2900 technology-package datak9
!
!
file verify auto
!
username admin privilege 15 secret 5 $1$Se/p$Swl3ML5jlaGzRyQKNaEQW/
!
redundancy
!
!
!
!
!
track 10 ip sla 10 reachability
 delay down 10 up 10
!
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 vrf forwarding LAN
 ip address 10.10.20.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 vrf forwarding ISP1
 ip address 20.20.20.2 255.255.255.252
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/2
 vrf forwarding ISP2
 ip address 20.20.21.2 255.255.255.252
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface FastEthernet0/0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet0/0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source route-map ISP1 interface GigabitEthernet0/1 vrf LAN overload
ip nat inside source route-map ISP2 interface GigabitEthernet0/2 vrf LAN overload
ip route vrf ISP1 0.0.0.0 0.0.0.0 20.20.20.1
ip route vrf ISP2 0.0.0.0 0.0.0.0 20.20.21.1 2
ip route vrf LAN 10.10.10.0 255.255.254.0 10.10.20.2
ip route vrf LAN 10.10.15.0 255.255.255.0 10.10.20.2
ip route vrf LAN 10.10.16.0 255.255.255.0 10.10.20.2
ip route vrf LAN 10.10.17.0 255.255.255.0 10.10.20.2

ip ssh time-out 60
ip ssh authentication-retries 5
ip ssh version 2
!
ip access-list extended NAT
 permit ip 10.10.10.0 0.0.0.255 any
 permit ip 10.10.15.0 0.0.0.255 any
 permit ip 10.10.16.0 0.0.0.255 any
 permit ip 10.10.17.0 0.0.0.255 any
 permit ip 10.10.20.0 0.0.0.3 any
 permit ip 10.10.21.0 0.0.0.3 any
!
ip sla 10
 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/1
 vrf ISP1
 frequency 10
ip sla schedule 10 life forever start-time now
!
route-map ISP2 permit 10
 match ip address NAT
 match interface GigabitEthernet0/2
!
route-map ISP1 permit 10
 match ip address NAT
 match interface GigabitEthernet0/1
!
!
!
!
!
control-plane
!
 !
 !
 !
 !
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
!
gatekeeper
 shutdown
!
!
 vstack
!
line con 0
line aux 0
line 2
 no activation-character
 no exec
 transport preferred none
 transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 access-class TerminalAccess in
 privilege level 15
 transport input ssh
!
scheduler allocate 20000 1000
event manager applet CLR_NAT
 event track 10 state any
 action 10 cli command "enable"
 action 20 cli command "clear ip nat translation forced"
!
end


Выводы различной информации:

Код:
C2911-633#ping vrf ISP1 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms

C2911-633#ping vrf LAN 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

C2911-633#sh ip route vrf LAN

Routing Table: LAN
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override

Gateway of last resort is not set

      10.0.0.0/8 is variably subnetted, 6 subnets, 4 masks
S        10.10.10.0/23 [1/0] via 10.10.20.2
S        10.10.15.0/24 [1/0] via 10.10.20.2
S        10.10.16.0/24 [1/0] via 10.10.20.2
S        10.10.17.0/24 [1/0] via 10.10.20.2
C        10.10.20.0/30 is directly connected, GigabitEthernet0/0
L        10.10.20.1/32 is directly connected, GigabitEthernet0/0
S     192.168.7.0/24 [1/0] via 10.10.20.2


C2911-633#sh ip nat statistics
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Peak translations: 0
Outside interfaces:
  GigabitEthernet0/1, GigabitEthernet0/2
Inside interfaces:
  GigabitEthernet0/0
Hits: 0  Misses: 0
CEF Translated packets: 0, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 4] route-map ISP1 interface GigabitEthernet0/1 refcount 0
[Id: 2] route-map ISP2 interface GigabitEthernet0/2 refcount 0

Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0

Автор:  _2e_ [ 09 июн 2018, 14:13 ]
Заголовок сообщения:  Re: Нет пинга в интернет из локальной сети VRF-lite + env rr

NAT NVI в студию.

Автор:  strabbo [ 09 июн 2018, 21:50 ]
Заголовок сообщения:  Re: Нет пинга в интернет из локальной сети VRF-lite + env rr

Цитата:
Routing Table: LAN

Gateway of last resort is not set

10.0.0.0/8 is variably subnetted, 6 subnets, 4 masks
S 10.10.10.0/23 [1/0] via 10.10.20.2
S 10.10.15.0/24 [1/0] via 10.10.20.2
S 10.10.16.0/24 [1/0] via 10.10.20.2
S 10.10.17.0/24 [1/0] via 10.10.20.2
C 10.10.20.0/30 is directly connected, GigabitEthernet0/0
L 10.10.20.1/32 is directly connected, GigabitEthernet0/0
S 192.168.7.0/24 [1/0] via 10.10.20.2

У вас нету дефолт роута в этом VRF, поэтому и не идут пинги на 8ки

Автор:  it911sm [ 10 июн 2018, 08:46 ]
Заголовок сообщения:  Re: Нет пинга в интернет из локальной сети VRF-lite + env rr

strabbo писал(а):
Цитата:
Routing Table: LAN

Gateway of last resort is not set

10.0.0.0/8 is variably subnetted, 6 subnets, 4 masks
S 10.10.10.0/23 [1/0] via 10.10.20.2
S 10.10.15.0/24 [1/0] via 10.10.20.2
S 10.10.16.0/24 [1/0] via 10.10.20.2
S 10.10.17.0/24 [1/0] via 10.10.20.2
C 10.10.20.0/30 is directly connected, GigabitEthernet0/0
L 10.10.20.1/32 is directly connected, GigabitEthernet0/0
S 192.168.7.0/24 [1/0] via 10.10.20.2

У вас нету дефолт роута в этом VRF, поэтому и не идут пинги на 8ки


Мне кажется его и не должно же быть тут, потому как указан evn rr на vrf LAN
Код:
vrf definition LAN
 !
 address-family ipv4
  route-replicate from vrf IPS1 unicast all
  route-replicate from vrf IPS2 unicast all
 exit-address-family
!


и через

Код:
ip nat inside source route-map ISP1 interface GigabitEthernet0/1 vrf LAN overload
route-map ISP1 permit 10
 match ip address NAT
 match interface GigabitEthernet0/1


Должно отрабатывать или я не правильно что то понимаю !? Принцип действия vrf lite и evn rr

Автор:  it911sm [ 10 июн 2018, 08:47 ]
Заголовок сообщения:  Re: Нет пинга в интернет из локальной сети VRF-lite + env rr

_2e_ писал(а):
NAT NVI в студию.

Попробую его отпишусь, по вопрос из VRF LAN я должен иметь положительный пинг на шлюз VRF ISP1 ?

Почему спрашиваю, потому как из VRF LAN не пингуется даже 20.20.20.2 VRF ISP1

Автор:  strabbo [ 10 июн 2018, 12:26 ]
Заголовок сообщения:  Re: Нет пинга в интернет из локальной сети VRF-lite + env rr

Цитата:
Мне кажется его и не должно же быть тут, потому как указан evn rr на vrf LAN

Должно, все маршруты из обоих врф должны попасть в врф LAN, за это отвечает route-replicate.
У вас в конфиге указано:

Цитата:
vrf definition LAN
!
address-family ipv4
route-replicate from vrf IPS1 unicast all
route-replicate from vrf IPS2 unicast all


А вот название врфов ISP1 и ISP2, если то не опечатка в во время составления поста, то ошибка тут, поправьте и должно всё заработать.

Автор:  it911sm [ 10 июн 2018, 13:38 ]
Заголовок сообщения:  Re: Нет пинга в интернет из локальной сети VRF-lite + env rr

strabbo писал(а):
Цитата:
Мне кажется его и не должно же быть тут, потому как указан evn rr на vrf LAN

Должно, все маршруты из обоих врф должны попасть в врф LAN, за это отвечает route-replicate.
У вас в конфиге указано:

Цитата:
vrf definition LAN
!
address-family ipv4
route-replicate from vrf IPS1 unicast all
route-replicate from vrf IPS2 unicast all


А вот название врфов ISP1 и ISP2, если то не опечатка в во время составления поста, то ошибка тут, поправьте и должно всё заработать.


Пиндец... походу и правда в этом косяк.. потому как копи-паста сюда была из крутящегося сейчас на оборудовании конфига... Завтра специально поеду на работу ради этого проверю... жесть если и правда в этом косяк )))

Автор:  strabbo [ 10 июн 2018, 16:28 ]
Заголовок сообщения:  Re: Нет пинга в интернет из локальной сети VRF-lite + env rr

Лучше, пусть проблема будет в этом, потому что сам конфиг у вас рабочий и если всё-равно будет проблема, то хз как вам помочь ))

Автор:  it911sm [ 10 июн 2018, 17:23 ]
Заголовок сообщения:  Re: Нет пинга в интернет из локальной сети VRF-lite + env rr

strabbo писал(а):
Лучше, пусть проблема будет в этом, потому что сам конфиг у вас рабочий и если всё-равно будет проблема, то хз как вам помочь ))

_2e_ помогал разобраться с VRF Lite + EVN RR, по его наставлениям составил этот конфиг, вроде все должно работать, сколько раз пересматривал конфиг, в поисках может что то не дописал... о не досмотрел на именование VRF...

Очень хреново что ios не выводит списком какие есть имена VRF... а только на память вводи их.. Надеюсь что в этом проблема в именованиях :)

Автор:  strabbo [ 11 июн 2018, 07:22 ]
Заголовок сообщения:  Re: Нет пинга в интернет из локальной сети VRF-lite + env rr

Цитата:
Очень хреново что ios не выводит списком какие есть имена VRF... а только на память вводи их..

Насколько я помню выводит. Когда будете проверять зайдите в конфиг интерфейса. Впишите туда vrf forwarding ? и IOS должен показать все VRF, которые у тебя есть.

Автор:  it911sm [ 11 июн 2018, 11:25 ]
Заголовок сообщения:  Re: Нет пинга в интернет из локальной сети VRF-lite + env rr

strabbo писал(а):
Цитата:
Очень хреново что ios не выводит списком какие есть имена VRF... а только на память вводи их..

Насколько я помню выводит. Когда будете проверять зайдите в конфиг интерфейса. Впишите туда vrf forwarding ? и IOS должен показать все VRF, которые у тебя есть.


Да, но не во всех местах он выводит, вот в том же RR, там только WORD значние.. а хотя можно было бы и вывести все имеющиеся VRF + WORD... ну это чисто имхо..

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/