https://opennet.ru/openforum/vsluhforumID6/21015.html Здравствуйте.<br><br>...Не могу потому что, не могу найти доки. Поиск по сайту циски наводит меня только вот на такие статьи<br>http://www.cisco.com/en/US/docs/ios/12_2sb/feature/guide/vrflitsb.html#wp1066228<br><br>http://www.cisco.com/en/US/docs/optical/15000r9_0/ethernet/454/guide/45490a_configvrf.html<br><br>подробностей никаких.<br>Мне не понятно что будет если на роутере где действeет обычная маршрутизация без всяких VRF создать всетаки VRF и прикрепить к одному интерфейсу/сабинтерфейсу, будет ли работать прежняя традиционая маршрутизация или надо весь роутер переводить на VRF. Можно ли использовать VRF не для VPN<br><br>(config-vrf)#?<br> route-target Specify Target VPN Extended Communities<br><br>нужен ли мне вообще route-target export/inmport<br><br>Для чего мне это нужно.<br>У меня есть роутер. На роутере транковый порт к свитчу. На свитче по виланам разложены сети. На роутере для каждой сети есть свой гетвей. Теперь появилась сеть которая должна быть полность изолирована от всех остальных, но получать интернет через роутер.<br> https://opennet.ru/openforum/vsluhforumID6/21015.html#16 Thu, 20 May 2010 11:38:05 GMT &gt;&gt;&gt;чтобы быстрее понять как работает vrf, проще узнать как работает mpls. <br>&gt;&gt;<br>&gt;&gt;верю на слово :) <br>&gt;&gt;меня всегда интересовал MPLS просто руки до него не доходили, просто не <br>&gt;&gt;знал как применить на практике у себя в сети. <br>&gt;&gt;<br>&gt;&gt;Частично VRF у меня заработал. Помогли люди. Хотя почему-то изначально таже конфигурация <br>&gt;&gt;в чисто моем исполнении не работала. <br>&gt;<br>&gt;route-leaking ЗЛО!!!!! попомни мои слова <br><br>Вещи не бывают злыми или добрыми - все зависит от того, кто и как их использует.<br> https://opennet.ru/openforum/vsluhforumID6/21015.html#15 Thu, 20 May 2010 06:11:19 GMT Ой, братие, чой-то вы не в ту тундру ушли...<br><br>Изначально цель была, как я понимаю, организовать просто отдельную изолированную сеть. Типа классической DMZ... И далее мы видим, как благое желание "сделать красиво" выродилось в реализацию "через ass автогеном". =)_) Нет, конечно, в порядке эксперимента прокачать своё кунг-фу новым vrf-до - дело святое, но... ;)<br><br>Ну не понимаю я красоты в виртуальном роутере с одним-единственным интерфейсом.<br>То есть достаточно было создать ещё один подынтерфейс с dot1Q и как бы всё.<br><br>А сделать красиво и сертифицированно - бери две ASA в failover'e и рисуй там аклы-наты-вланы. =)))<br> https://opennet.ru/openforum/vsluhforumID6/21015.html#14 Thu, 20 May 2010 05:43:50 GMT &gt;&gt;чтобы быстрее понять как работает vrf, проще узнать как работает mpls. <br>&gt;<br>&gt;верю на слово :) <br>&gt;меня всегда интересовал MPLS просто руки до него не доходили, просто не <br>&gt;знал как применить на практике у себя в сети. <br>&gt;<br>&gt;Частично VRF у меня заработал. Помогли люди. Хотя почему-то изначально таже конфигурация <br>&gt;в чисто моем исполнении не работала. <br><br>route-leaking ЗЛО!!!!! попомни мои слова<br> https://opennet.ru/openforum/vsluhforumID6/21015.html#13 Wed, 19 May 2010 07:28:41 GMT &gt;чтобы быстрее понять как работает vrf, проще узнать как работает mpls. <br><br>верю на слово :)<br>меня всегда интересовал MPLS просто руки до него не доходили, просто не знал как применить на практике у себя в сети.<br><br>Частично VRF у меня заработал. Помогли люди. Хотя почему-то изначально таже конфигурация в чисто моем исполнении не работала.<br> https://opennet.ru/openforum/vsluhforumID6/21015.html#12 Wed, 19 May 2010 04:37:30 GMT &gt;вот дока если верить которой, все должно работать без mpls <br>&gt;раздел "Route Leaking from a Global Routing Table into a VRF and <br>&gt;Route <br>&gt;Leaking from a VRF into a Global Routing Table" <br>&gt;<br>&gt;http://www.cisco.com/application/pdf/paws/47807/routeleaking.pdf <br><br>чтобы быстрее понять как работает vrf, проще узнать как работает mpls.<br><br>зы я в курсе что оно работает без mpls<br> https://opennet.ru/openforum/vsluhforumID6/21015.html#11 Tue, 18 May 2010 12:06:13 GMT вот дока если верить которой, все должно работать без mpls<br>раздел "Route Leaking from a Global Routing Table into a VRF and Route<br>Leaking from a VRF into a Global Routing Table"<br><br>http://www.cisco.com/application/pdf/paws/47807/routeleaking.pdf<br> https://opennet.ru/openforum/vsluhforumID6/21015.html#10 Tue, 18 May 2010 09:13:27 GMT &gt;[оверквотинг удален]<br>&gt;#ping 192.168.55.1 <br>&gt;соответственно с линукса пинг на 192.168.55.1 тоже не проходит <br>&gt;хотя трейс показывает: <br>&gt;<br>&gt; traceroute 192.168.55.1 <br>&gt;traceroute to 192.168.55.1 (192.168.55.1), 30 hops max, 38 byte packets <br>&gt; 1 192.168.0.150 (192.168.0.150) 0.983 ms 1.637 ms 0.902 ms <br>&gt; 2 * <br>&gt;<br>&gt;пакет доходит до R0 а дальше.... <br><br>мошть вначале почитать про mpls, а только потом обратится к vrf;)))<br> https://opennet.ru/openforum/vsluhforumID6/21015.html#9 Tue, 18 May 2010 08:32:05 GMT есть некоторый прогресс.<br>для теста сделал такую схему.<br><br> R0 роутер---192.168.0.150------192.168.0.1 Linux<br>VRF 192.168.55.1------------&#124;<br><br>ip route vrf jail 192.168.0.0 255.255.255.0 192.168.0.1 global<br>ip route 192.168.55.0 255.255.255.0 GigabitEthernet0/0.75 192.168.55.1<br><br>делаю #ping vrf jail 192.168.0.1<br><br>на линуксе включаю tcpdump и вижу<br>11:47:37.352610 192.168.55.1 &gt; 192.168.0.1: icmp: echo request<br>11:47:39.349916 192.168.55.1 &gt; 192.168.0.1: icmp: echo request<br>11:47:41.349869 192.168.55.1 &gt; 192.168.0.1: icmp: echo request<br>11:47:43.350259 192.168.55.1 &gt; 192.168.0.1: icmp: echo request<br>11:47:45.349810 192.168.55.1 &gt; 192.168.0.1: icmp: echo request<br><br>тоесть из VRF`a пакеты доходят до пункта назначения и прошу заметить что интерфейс 192.168.0.150 не находиться в VRF.<br>проблема с обратным путем пакета. Тоесть вот этот маршрут не работает ip route 192.168.55.0 255.255.255.0 GigabitEthernet0/0.75 192.168.55.1<br><br>он не работает даже на самомо маршрутизаторе если сделать<br>#p https://opennet.ru/openforum/vsluhforumID6/21015.html#8 Mon, 17 May 2010 07:54:28 GMT интернет----10.10.10.1----------10.10.10.2---R0 МОЙ РОУТЕР----Fa0/0.50 VRF сеть 20.20.20.1--------клиент 20.20.20.2<br>ip vrf jail<br>description jail_for_client<br>больше мне не надо так как обмен маршрутами через статику.<br><br>роутер R0 имеет статический дефаул ip route 0.0.0.0 0.0.0.0 10.10.10.1<br><br>теперь добавляем дефаул для vrf клиентов<br>ip route vrf jail 0.0.0.0 0.0.0.0 10.10.10.1 global<br><br>теперь обратный маршрут<br>ip route 20.20.20.0 255.255.255.0 Fa0/0.50<br><br>и если сейчас я сделаю <br>R0#ping vrf jail 77.88.21.3<br><br>я запингую ya.ru<br><br>Это только для того что бы виртуальный роутер jail увидел интернет. НАТ это следующий шаг.<br>Я правильно все понял?<br>