forum.opennet.ru - "Cisco ISG + VRF selection" (9)

"Cisco ISG + VRF selection"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco ISG + VRF selection"	+/–
Сообщение от Mom14 (ok), 13-Июн-12, 15:00
Добрый день! Есть нетривиальная задача, надеюсь послушать ваши мысли. Дано: Cisco ISG с аутентификацией по IP-адресу и один интерфейс за которым в routed сети находятся несколько корпоративных абонентов. Корпоративные абоненты должны иметь свой личный default route и поэтому решено поместить их каждого в свой VRF. Проблема того что весь трафик приходит на один интрефейс можно было бы решить с помощью vrf selection типа: interface GigabitEthernet0/0/1.125 description TO_SUBSCRIBERS encapsulation dot1Q 125 ip vrf receive Subscriber1 ip vrf receive Subscriber2 ip vrf receive Subscriber3 ip address 192.168.16.17 255.255.255.248 ip policy route-map ASTRA-3-VPN ...вот только на таком интерфейсе с PBR не работает функционал ISG. Немножко подумав настроил Dynamic VRF Selection выдавая атрибут VRF через запрос в радиус, получилось: interface GigabitEthernet0/0/1.125 description TO_SUBSCRIBERS encapsulation dot1Q 125 ip address 192.168.16.17 255.255.255.248 service-policy type control CUSTOMERS-POLICY #Параметры кроме IP спрашиваем у радиуса ip subscriber routed initiator unclassified ip-address interface multiservice1 ip vrf forwarding Subscriber1 ip address 10.10.100.1 255.255.255.252 no keepalive interface multiservice2 ip vrf forwarding Subscriber2 ip address 10.10.100.1 255.255.255.252 no keepalive interface multiservice3 ip vrf forwarding Subscriber3 ip address 10.10.100.1 255.255.255.252 no keepalive Из радиуса выдаю примерно так: Sub1 Cleartext-Password := "xxx" Service-Type = Outbound-User, Framed-IP-Netmask = 255.255.255.0, Cisco-AVPair += 'ip:vrf-id=Subscriber1' #Так помещаем абонента в VRF И всё работает за исключением одного важного 'НО' - устанавливается только IP session, но не IP Subnet sessions. Иными словами я не могу поднять сессию с маской абонентской подесети выдавая через тот же радиус атрибут Framed-IP-Netmask. Почитав cisco.com нашёл ответ - либо Dynamic VRF selection либо, IP Subnet sessions :( А счастье было так близко... Вот и думаю, может вообще не туда копаю? Как можно ещё разрулить несколько абонентов со своими непересекающимися диапазонами подсетей, трафик которых в виду специфики терминируются у меня на одном интерфейсе. Заранее спасибо за мысли!
Ответить \| Правка \| Cообщить модератору

Оглавление

Можно подробнее описать зачем вы хотите засунуть в разыне VRF , tsolodov (?), 15:09 , 14-Июн-12, (1)

В разные VRF хочу засунуть затем, чтобы трафик каждого из корпоративных абоненто, Mom14 (ok), 16:03 , 18-Июн-12, (3)

Я делал подобную схему, вот мой конфиг http tsolodov blogspot com 2011 09 bras, tsolodov (ok), 15:34 , 14-Июн-12, (2)

Правильно ли я понял, что могу указывать VRF-ID не в профайле абонента а в серви, Mom14 (ok), 16:53 , 18-Июн-12, (4)

gt оверквотинг удален PBR на Interface multiservice заработал, не заработала n, tsolodov (ok), 18:12 , 18-Июн-12, (5)

gt оверквотинг удален Сделал у себя аналогичную конструкцию policy-map type se, Mom14 (ok), 11:01 , 22-Июн-12, (6)

Здравствуйте,Я настроил это так interface GigabitEthernet1 0 501 description TO_, sansa82 (ok), 18:44 , 09-Окт-20, (7)

Вам удалось решить эту проблему gt оверквотинг удален , Александр (??), 11:09 , 29-Ноя-21, (8)

gt оверквотинг удален Нет,VRF Transfer работает только с PPP или с IP session , sansa82 (ok), 11:30 , 29-Ноя-21, (9)

Сообщения [Сортировка по времени | RSS]

1. "Cisco ISG + VRF selection" +/–

Сообщение от tsolodov (?), 14-Июн-12, 15:09

Можно подробнее описать зачем вы хотите засунуть в разыне VRF?

Ответить | Правка | Наверх | Cообщить модератору

3. "Cisco ISG + VRF selection" +/–

Сообщение от Mom14 (ok), 18-Июн-12, 16:03

> Можно подробнее описать зачем вы хотите засунуть в разыне VRF?
В разные VRF хочу засунуть затем, чтобы трафик каждого из корпоративных абонентов попадал в свой выходной интерфейс, а не шёл по общему дефолту. То есть можно было бы сделать классический PBR с source routing, если бы это было возможно...

Ответить | Правка | Наверх | Cообщить модератору

2. "Cisco ISG + VRF selection" +/–

Сообщение от tsolodov (ok), 14-Июн-12, 15:34

Я делал подобную схему, вот мой конфиг:
http://tsolodov.blogspot.com/2011/09/bras-cisco-asr-1002-isg...

Для серой сети, да обломчик вышел, но для реальных кастомеров я делал network session.
Вы же можете обходиться без VRF, просто делая policy-route на следующем хопе, и то, если бы у меня была ваша ситуация, я бы вообще обошелся без VRF, хотя возможно я до конца не понимаю вашу задачу и схему подключения.

Ответить | Правка | Наверх | Cообщить модератору

4. "Cisco ISG + VRF selection" +/–

Сообщение от Mom14 (ok), 18-Июн-12, 16:53

> Я делал подобную схему, вот мой конфиг:
> http://tsolodov.blogspot.com/2011/09/bras-cisco-asr-1002-isg...
> Для серой сети, да обломчик вышел, но для реальных кастомеров я делал
> network session.
> Вы же можете обходиться без VRF, просто делая policy-route на следующем хопе,
> и то, если бы у меня была ваша ситуация, я бы
> вообще обошелся без VRF, хотя возможно я до конца не понимаю
> вашу задачу и схему подключения.
Правильно ли я понял, что могу указывать VRF-ID не в профайле абонента а в сервис-полиси, который так же повешу на абонента? Если да, то это хороший вариант.
А что не получилось с "серой сетью", не заработал PBR на Interface multiservice?
Полиси роутинг на следующем хопе мне сейчас отчасти уже помогает, но лишь отчасти, потому как выходные абонентские интерфейсы не всегда находятся в пределах досягаемости next-hop, есть те, что по другую сторону mpls облака, и маршрутизировать такой трафик в MPLS L3VPN - идеальный вариант.

Ответить | Правка | Наверх | Cообщить модератору

5. "Cisco ISG + VRF selection" +/–

Сообщение от tsolodov (ok), 18-Июн-12, 18:12

>[оверквотинг удален]
>> вашу задачу и схему подключения.
> Правильно ли я понял, что могу указывать VRF-ID не в профайле абонента
> а в сервис-полиси, который так же повешу на абонента? Если да,
> то это хороший вариант.
> Полиси роутинг на следующем хопе мне сейчас отчасти уже помогает, но лишь
> отчасти, потому как выходные абонентские интерфейсы не всегда находятся в пределах
> досягаемости next-hop, есть те, что по другую сторону mpls облака, и
> маршрутизировать такой трафик в MPLS L3VPN - идеальный вариант.
> А что не получилось с "серой сетью", не заработал PBR на Interface
> multiservice?
PBR на Interface multiservice заработал, не заработала network session.
> Правильно ли я понял, что могу указывать VRF-ID не в профайле абонента
> а в сервис-полиси, который так же повешу на абонента?
А сымысл, если VRF ID прилетает из радиуса?

Ответить | Правка | Наверх | Cообщить модератору

6. "Cisco ISG + VRF selection" +/–

Сообщение от Mom14 (ok), 22-Июн-12, 11:01

>[оверквотинг удален]
>> Полиси роутинг на следующем хопе мне сейчас отчасти уже помогает, но лишь
>> отчасти, потому как выходные абонентские интерфейсы не всегда находятся в пределах
>> досягаемости next-hop, есть те, что по другую сторону mpls облака, и
>> маршрутизировать такой трафик в MPLS L3VPN - идеальный вариант.
>> А что не получилось с "серой сетью", не заработал PBR на Interface
>> multiservice?
> PBR на Interface multiservice заработал, не заработала network session.
>> Правильно ли я понял, что могу указывать VRF-ID не в профайле абонента
>> а в сервис-полиси, который так же повешу на абонента?
> А сымысл, если VRF ID прилетает из радиуса?
Сделал у себя аналогичную конструкцию:
policy-map type service VPN
ip vrf forwarding VPN
sg-service-type primary
Сервис VPN прописал в профайле абонента. Вижу прежнюю картину...  Subscriber session поднимается только per host но не per subnet. Попытка указать маску подсети абонента приводит к тому что сервис просто не применятеся :(

Ответить | Правка | Наверх | Cообщить модератору

7. "Cisco ISG + VRF selection" +/–

Сообщение от sansa82 (ok), 09-Окт-20, 18:44

Здравствуйте,
Я настроил это так:
interface GigabitEthernet1/0.501
description TO_SUBSCRIBERS
encapsulation dot1Q 501
ip address 10.200.100.1 255.255.255.252
service-policy type control IPOE_COSTUMERS
ip subscriber routed
  initiator unclassified ip-address
interface multiservice1
ip vrf forwarding beeline
ip address 10.10.100.1 255.255.255.252
no keepalive
interface GigabitEthernet2/0.401
description Beeline
encapsulation dot1Q 401
ip vrf forwarding beeline
ip address 213.33.186.134 255.255.255.252
ip route vrf beeline 0.0.0.0 0.0.0.0 213.33.186.133
Radius :
Cisco-AVPair += 'ip:vrf-id=beeline'
все работает но трафик из интернета не возвращается через интерфейс multiservice1 к абоненту...
эта команда работает:
ping vrf beeline "ip абонента"...(трафик уходит с IP-адреса интерфейса multiservice1 )
что я сделал не так?
Спасибо

Ответить | Правка | Наверх | Cообщить модератору

8. "Cisco ISG + VRF selection" +/–

Сообщение от Александр (??), 29-Ноя-21, 11:09

Вам удалось решить эту проблему?
>[оверквотинг удален]
>  ip address 213.33.186.134 255.255.255.252
> ip route vrf beeline 0.0.0.0 0.0.0.0 213.33.186.133
> Radius :
> Cisco-AVPair += 'ip:vrf-id=beeline'
> все работает но трафик из интернета не возвращается через интерфейс multiservice1 к
> абоненту...
> эта команда работает:
> ping vrf beeline "ip абонента"...(трафик уходит с IP-адреса интерфейса multiservice1 )
> что я сделал не так?
> Спасибо

Ответить | Правка | Наверх | Cообщить модератору

9. "Cisco ISG + VRF selection" +/–

Сообщение от sansa82 (ok), 29-Ноя-21, 11:30

>[оверквотинг удален]
>>  ip address 213.33.186.134 255.255.255.252
>> ip route vrf beeline 0.0.0.0 0.0.0.0 213.33.186.133
>> Radius :
>> Cisco-AVPair += 'ip:vrf-id=beeline'
>> все работает но трафик из интернета не возвращается через интерфейс multiservice1 к
>> абоненту...
>> эта команда работает:
>> ping vrf beeline "ip абонента"...(трафик уходит с IP-адреса интерфейса multiservice1 )
>> что я сделал не так?
>> Спасибо
Нет,
VRF Transfer работает только с PPP или с IP session/DHCP.
я не использую dhcp.
Я решил это с помощью статических VRF

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco ISG + VRF selection"	+/–
Сообщение от tsolodov (?), 14-Июн-12, 15:09
Можно подробнее описать зачем вы хотите засунуть в разыне VRF?
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Cisco ISG + VRF selection"	+/–
	Сообщение от Mom14 (ok), 18-Июн-12, 16:03
	> Можно подробнее описать зачем вы хотите засунуть в разыне VRF? В разные VRF хочу засунуть затем, чтобы трафик каждого из корпоративных абонентов попадал в свой выходной интерфейс, а не шёл по общему дефолту. То есть можно было бы сделать классический PBR с source routing, если бы это было возможно...
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Cisco ISG + VRF selection"	+/–
Сообщение от tsolodov (ok), 14-Июн-12, 15:34
Я делал подобную схему, вот мой конфиг: http://tsolodov.blogspot.com/2011/09/bras-cisco-asr-1002-isg... Для серой сети, да обломчик вышел, но для реальных кастомеров я делал network session. Вы же можете обходиться без VRF, просто делая policy-route на следующем хопе, и то, если бы у меня была ваша ситуация, я бы вообще обошелся без VRF, хотя возможно я до конца не понимаю вашу задачу и схему подключения.
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Cisco ISG + VRF selection"	+/–
	Сообщение от Mom14 (ok), 18-Июн-12, 16:53
	> Я делал подобную схему, вот мой конфиг: > http://tsolodov.blogspot.com/2011/09/bras-cisco-asr-1002-isg... > Для серой сети, да обломчик вышел, но для реальных кастомеров я делал > network session. > Вы же можете обходиться без VRF, просто делая policy-route на следующем хопе, > и то, если бы у меня была ваша ситуация, я бы > вообще обошелся без VRF, хотя возможно я до конца не понимаю > вашу задачу и схему подключения. Правильно ли я понял, что могу указывать VRF-ID не в профайле абонента а в сервис-полиси, который так же повешу на абонента? Если да, то это хороший вариант. А что не получилось с "серой сетью", не заработал PBR на Interface multiservice? Полиси роутинг на следующем хопе мне сейчас отчасти уже помогает, но лишь отчасти, потому как выходные абонентские интерфейсы не всегда находятся в пределах досягаемости next-hop, есть те, что по другую сторону mpls облака, и маршрутизировать такой трафик в MPLS L3VPN - идеальный вариант.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Cisco ISG + VRF selection"	+/–
	Сообщение от tsolodov (ok), 18-Июн-12, 18:12
	>[оверквотинг удален] >> вашу задачу и схему подключения. > Правильно ли я понял, что могу указывать VRF-ID не в профайле абонента > а в сервис-полиси, который так же повешу на абонента? Если да, > то это хороший вариант. > Полиси роутинг на следующем хопе мне сейчас отчасти уже помогает, но лишь > отчасти, потому как выходные абонентские интерфейсы не всегда находятся в пределах > досягаемости next-hop, есть те, что по другую сторону mpls облака, и > маршрутизировать такой трафик в MPLS L3VPN - идеальный вариант. > А что не получилось с "серой сетью", не заработал PBR на Interface > multiservice? PBR на Interface multiservice заработал, не заработала network session. > Правильно ли я понял, что могу указывать VRF-ID не в профайле абонента > а в сервис-полиси, который так же повешу на абонента? А сымысл, если VRF ID прилетает из радиуса?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Cisco ISG + VRF selection"	+/–
	Сообщение от Mom14 (ok), 22-Июн-12, 11:01
	>[оверквотинг удален] >> Полиси роутинг на следующем хопе мне сейчас отчасти уже помогает, но лишь >> отчасти, потому как выходные абонентские интерфейсы не всегда находятся в пределах >> досягаемости next-hop, есть те, что по другую сторону mpls облака, и >> маршрутизировать такой трафик в MPLS L3VPN - идеальный вариант. >> А что не получилось с "серой сетью", не заработал PBR на Interface >> multiservice? > PBR на Interface multiservice заработал, не заработала network session. >> Правильно ли я понял, что могу указывать VRF-ID не в профайле абонента >> а в сервис-полиси, который так же повешу на абонента? > А сымысл, если VRF ID прилетает из радиуса? Сделал у себя аналогичную конструкцию: policy-map type service VPN ip vrf forwarding VPN sg-service-type primary Сервис VPN прописал в профайле абонента. Вижу прежнюю картину... Subscriber session поднимается только per host но не per subnet. Попытка указать маску подсети абонента приводит к тому что сервис просто не применятеся :(
	Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Cisco ISG + VRF selection"	+/–
Сообщение от sansa82 (ok), 09-Окт-20, 18:44
Здравствуйте, Я настроил это так: interface GigabitEthernet1/0.501 description TO_SUBSCRIBERS encapsulation dot1Q 501 ip address 10.200.100.1 255.255.255.252 service-policy type control IPOE_COSTUMERS ip subscriber routed initiator unclassified ip-address interface multiservice1 ip vrf forwarding beeline ip address 10.10.100.1 255.255.255.252 no keepalive interface GigabitEthernet2/0.401 description Beeline encapsulation dot1Q 401 ip vrf forwarding beeline ip address 213.33.186.134 255.255.255.252 ip route vrf beeline 0.0.0.0 0.0.0.0 213.33.186.133 Radius : Cisco-AVPair += 'ip:vrf-id=beeline' все работает но трафик из интернета не возвращается через интерфейс multiservice1 к абоненту... эта команда работает: ping vrf beeline "ip абонента"...(трафик уходит с IP-адреса интерфейса multiservice1 ) что я сделал не так? Спасибо
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Cisco ISG + VRF selection"	+/–
	Сообщение от Александр (??), 29-Ноя-21, 11:09
	Вам удалось решить эту проблему? >[оверквотинг удален] > ip address 213.33.186.134 255.255.255.252 > ip route vrf beeline 0.0.0.0 0.0.0.0 213.33.186.133 > Radius : > Cisco-AVPair += 'ip:vrf-id=beeline' > все работает но трафик из интернета не возвращается через интерфейс multiservice1 к > абоненту... > эта команда работает: > ping vrf beeline "ip абонента"...(трафик уходит с IP-адреса интерфейса multiservice1 ) > что я сделал не так? > Спасибо
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Cisco ISG + VRF selection"	+/–
	Сообщение от sansa82 (ok), 29-Ноя-21, 11:30
	>[оверквотинг удален] >> ip address 213.33.186.134 255.255.255.252 >> ip route vrf beeline 0.0.0.0 0.0.0.0 213.33.186.133 >> Radius : >> Cisco-AVPair += 'ip:vrf-id=beeline' >> все работает но трафик из интернета не возвращается через интерфейс multiservice1 к >> абоненту... >> эта команда работает: >> ping vrf beeline "ip абонента"...(трафик уходит с IP-адреса интерфейса multiservice1 ) >> что я сделал не так? >> Спасибо Нет, VRF Transfer работает только с PPP или с IP session/DHCP. я не использую dhcp. Я решил это с помощью статических VRF
	Ответить \| Правка \| Наверх \| Cообщить модератору