|
|
Страница 1 из 1
|
[ Сообщений: 11 ] |
|
Нет пинга в интернет из локальной сети VRF-lite + env rr
Автор |
Сообщение |
it911sm
Зарегистрирован: 10 май 2018, 16:38 Сообщения: 83
|
Коллеги, подскажите в чем может быть проблема. Ситуация такая, имеется два провайдера, ISP1, ISP2, и локальная сеть LAN. пинги через VRF ISP1, ISP2 успешны, а вот из LAN тишина.. не могу понять в чем может быть проблема. Конфиг текущий такой: Код: C2911-633#sh run Building configuration...
Current configuration : 5475 bytes ! ! Last configuration change at 03:57:44 UTC Sat Jun 9 2018 by admin ! version 15.4 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption no service dhcp ! hostname C2911-633 ! boot-start-marker boot-end-marker ! ! vrf definition ISP1 ! address-family ipv4 exit-address-family ! vrf definition ISP2 ! address-family ipv4 exit-address-family ! vrf definition LAN ! address-family ipv4 route-replicate from vrf IPS1 unicast all route-replicate from vrf IPS2 unicast all exit-address-family ! ! aaa new-model ! ! aaa authentication login default local ! ! ! ! ! aaa session-id common ! vlan ifdescr detail ! ! ! ! ! no ip source-route ! ! ! ! ! ! ! !
! ! ! ! no ip bootp server ip domain name xxx.local ip inspect name OUTSIDE icmp ip inspect name OUTSIDE dns ip inspect name OUTSIDE smtp ip inspect name OUTSIDE http ip inspect name OUTSIDE https ip cef no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! ! ! cts logging verbose ! ! voice-card 0 ! ! ! ! ! ! ! ! license udi pid CISCO2911/K9 sn FCZ154121AK license accept end user agreement license boot module c2900 technology-package securityk9 license boot module c2900 technology-package uck9 license boot module c2900 technology-package datak9 ! ! file verify auto ! username admin privilege 15 secret 5 $1$Se/p$Swl3ML5jlaGzRyQKNaEQW/ ! redundancy ! ! ! ! ! track 10 ip sla 10 reachability delay down 10 up 10 ! ! ! ! ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 vrf forwarding LAN ip address 10.10.20.1 255.255.255.252 ip nat inside ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/1 vrf forwarding ISP1 ip address 20.20.20.2 255.255.255.252 ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/2 vrf forwarding ISP2 ip address 20.20.21.2 255.255.255.252 ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface FastEthernet0/0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/0/1 no ip address shutdown duplex auto speed auto ! ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip nat inside source route-map ISP1 interface GigabitEthernet0/1 vrf LAN overload ip nat inside source route-map ISP2 interface GigabitEthernet0/2 vrf LAN overload ip route vrf ISP1 0.0.0.0 0.0.0.0 20.20.20.1 ip route vrf ISP2 0.0.0.0 0.0.0.0 20.20.21.1 2 ip route vrf LAN 10.10.10.0 255.255.254.0 10.10.20.2 ip route vrf LAN 10.10.15.0 255.255.255.0 10.10.20.2 ip route vrf LAN 10.10.16.0 255.255.255.0 10.10.20.2 ip route vrf LAN 10.10.17.0 255.255.255.0 10.10.20.2
ip ssh time-out 60 ip ssh authentication-retries 5 ip ssh version 2 ! ip access-list extended NAT permit ip 10.10.10.0 0.0.0.255 any permit ip 10.10.15.0 0.0.0.255 any permit ip 10.10.16.0 0.0.0.255 any permit ip 10.10.17.0 0.0.0.255 any permit ip 10.10.20.0 0.0.0.3 any permit ip 10.10.21.0 0.0.0.3 any ! ip sla 10 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/1 vrf ISP1 frequency 10 ip sla schedule 10 life forever start-time now ! route-map ISP2 permit 10 match ip address NAT match interface GigabitEthernet0/2 ! route-map ISP1 permit 10 match ip address NAT match interface GigabitEthernet0/1 ! ! ! ! ! control-plane ! ! ! ! ! ! mgcp behavior rsip-range tgcp-only mgcp behavior comedia-role none mgcp behavior comedia-check-media-src disable mgcp behavior comedia-sdp-force disable ! mgcp profile default ! ! ! ! ! ! ! gatekeeper shutdown ! ! vstack ! line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 access-class TerminalAccess in privilege level 15 transport input ssh ! scheduler allocate 20000 1000 event manager applet CLR_NAT event track 10 state any action 10 cli command "enable" action 20 cli command "clear ip nat translation forced" ! end Выводы различной информации: Код: C2911-633#ping vrf ISP1 8.8.8.8 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms
C2911-633#ping vrf LAN 8.8.8.8 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds: ..... Success rate is 0 percent (0/5)
C2911-633#sh ip route vrf LAN
Routing Table: LAN Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP a - application route + - replicated route, % - next hop override
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 6 subnets, 4 masks S 10.10.10.0/23 [1/0] via 10.10.20.2 S 10.10.15.0/24 [1/0] via 10.10.20.2 S 10.10.16.0/24 [1/0] via 10.10.20.2 S 10.10.17.0/24 [1/0] via 10.10.20.2 C 10.10.20.0/30 is directly connected, GigabitEthernet0/0 L 10.10.20.1/32 is directly connected, GigabitEthernet0/0 S 192.168.7.0/24 [1/0] via 10.10.20.2
C2911-633#sh ip nat statistics Total active translations: 0 (0 static, 0 dynamic; 0 extended) Peak translations: 0 Outside interfaces: GigabitEthernet0/1, GigabitEthernet0/2 Inside interfaces: GigabitEthernet0/0 Hits: 0 Misses: 0 CEF Translated packets: 0, CEF Punted packets: 0 Expired translations: 0 Dynamic mappings: -- Inside Source [Id: 4] route-map ISP1 interface GigabitEthernet0/1 refcount 0 [Id: 2] route-map ISP2 interface GigabitEthernet0/2 refcount 0
Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0
|
09 июн 2018, 11:27 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
NAT NVI в студию.
|
09 июн 2018, 14:13 |
|
|
strabbo
Зарегистрирован: 21 май 2017, 20:13 Сообщения: 26
|
Цитата: Routing Table: LAN
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 6 subnets, 4 masks S 10.10.10.0/23 [1/0] via 10.10.20.2 S 10.10.15.0/24 [1/0] via 10.10.20.2 S 10.10.16.0/24 [1/0] via 10.10.20.2 S 10.10.17.0/24 [1/0] via 10.10.20.2 C 10.10.20.0/30 is directly connected, GigabitEthernet0/0 L 10.10.20.1/32 is directly connected, GigabitEthernet0/0 S 192.168.7.0/24 [1/0] via 10.10.20.2 У вас нету дефолт роута в этом VRF, поэтому и не идут пинги на 8ки
|
09 июн 2018, 21:50 |
|
|
it911sm
Зарегистрирован: 10 май 2018, 16:38 Сообщения: 83
|
strabbo писал(а): Цитата: Routing Table: LAN
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 6 subnets, 4 masks S 10.10.10.0/23 [1/0] via 10.10.20.2 S 10.10.15.0/24 [1/0] via 10.10.20.2 S 10.10.16.0/24 [1/0] via 10.10.20.2 S 10.10.17.0/24 [1/0] via 10.10.20.2 C 10.10.20.0/30 is directly connected, GigabitEthernet0/0 L 10.10.20.1/32 is directly connected, GigabitEthernet0/0 S 192.168.7.0/24 [1/0] via 10.10.20.2 У вас нету дефолт роута в этом VRF, поэтому и не идут пинги на 8ки Мне кажется его и не должно же быть тут, потому как указан evn rr на vrf LAN Код: vrf definition LAN ! address-family ipv4 route-replicate from vrf IPS1 unicast all route-replicate from vrf IPS2 unicast all exit-address-family ! и через Код: ip nat inside source route-map ISP1 interface GigabitEthernet0/1 vrf LAN overload route-map ISP1 permit 10 match ip address NAT match interface GigabitEthernet0/1 Должно отрабатывать или я не правильно что то понимаю !? Принцип действия vrf lite и evn rr
|
10 июн 2018, 08:46 |
|
|
it911sm
Зарегистрирован: 10 май 2018, 16:38 Сообщения: 83
|
_2e_ писал(а): NAT NVI в студию. Попробую его отпишусь, по вопрос из VRF LAN я должен иметь положительный пинг на шлюз VRF ISP1 ? Почему спрашиваю, потому как из VRF LAN не пингуется даже 20.20.20.2 VRF ISP1
|
10 июн 2018, 08:47 |
|
|
strabbo
Зарегистрирован: 21 май 2017, 20:13 Сообщения: 26
|
Цитата: Мне кажется его и не должно же быть тут, потому как указан evn rr на vrf LAN Должно, все маршруты из обоих врф должны попасть в врф LAN, за это отвечает route-replicate. У вас в конфиге указано: Цитата: vrf definition LAN ! address-family ipv4 route-replicate from vrf IPS1 unicast all route-replicate from vrf IPS2 unicast all А вот название врфов ISP1 и ISP2, если то не опечатка в во время составления поста, то ошибка тут, поправьте и должно всё заработать.
|
10 июн 2018, 12:26 |
|
|
it911sm
Зарегистрирован: 10 май 2018, 16:38 Сообщения: 83
|
strabbo писал(а): Цитата: Мне кажется его и не должно же быть тут, потому как указан evn rr на vrf LAN Должно, все маршруты из обоих врф должны попасть в врф LAN, за это отвечает route-replicate. У вас в конфиге указано: Цитата: vrf definition LAN ! address-family ipv4 route-replicate from vrf IPS1 unicast all route-replicate from vrf IPS2 unicast all А вот название врфов ISP1 и ISP2, если то не опечатка в во время составления поста, то ошибка тут, поправьте и должно всё заработать. Пиндец... походу и правда в этом косяк.. потому как копи-паста сюда была из крутящегося сейчас на оборудовании конфига... Завтра специально поеду на работу ради этого проверю... жесть если и правда в этом косяк )))
|
10 июн 2018, 13:38 |
|
|
strabbo
Зарегистрирован: 21 май 2017, 20:13 Сообщения: 26
|
Лучше, пусть проблема будет в этом, потому что сам конфиг у вас рабочий и если всё-равно будет проблема, то хз как вам помочь ))
|
10 июн 2018, 16:28 |
|
|
it911sm
Зарегистрирован: 10 май 2018, 16:38 Сообщения: 83
|
strabbo писал(а): Лучше, пусть проблема будет в этом, потому что сам конфиг у вас рабочий и если всё-равно будет проблема, то хз как вам помочь )) _2e_ помогал разобраться с VRF Lite + EVN RR, по его наставлениям составил этот конфиг, вроде все должно работать, сколько раз пересматривал конфиг, в поисках может что то не дописал... о не досмотрел на именование VRF... Очень хреново что ios не выводит списком какие есть имена VRF... а только на память вводи их.. Надеюсь что в этом проблема в именованиях
|
10 июн 2018, 17:23 |
|
|
strabbo
Зарегистрирован: 21 май 2017, 20:13 Сообщения: 26
|
Цитата: Очень хреново что ios не выводит списком какие есть имена VRF... а только на память вводи их.. Насколько я помню выводит. Когда будете проверять зайдите в конфиг интерфейса. Впишите туда vrf forwarding ? и IOS должен показать все VRF, которые у тебя есть.
|
11 июн 2018, 07:22 |
|
|
it911sm
Зарегистрирован: 10 май 2018, 16:38 Сообщения: 83
|
strabbo писал(а): Цитата: Очень хреново что ios не выводит списком какие есть имена VRF... а только на память вводи их.. Насколько я помню выводит. Когда будете проверять зайдите в конфиг интерфейса. Впишите туда vrf forwarding ? и IOS должен показать все VRF, которые у тебя есть. Да, но не во всех местах он выводит, вот в том же RR, там только WORD значние.. а хотя можно было бы и вывести все имеющиеся VRF + WORD... ну это чисто имхо..
|
11 июн 2018, 11:25 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 11 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 61 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|