Bruk virtuell ruting og videresending til å lage flere rutetabeller på samme ruter

Jeg skal ta en titt på hvordan du konfigurerer IPsec på en Cisco IOS-enhet, men jeg skal legge til en liten vri ved å konfigurere den til å bruke Virtual Routing and Forwarding (VRF) IP-teknologi. Denne metoden er nyttig under omstendigheter når du trenger å opprette flere forekomster av en rutetabell på ruteren. Først skal jeg forklare VRF i litt mer detalj, og deretter gå videre til konfigurasjonen.

Hva er VRF?

VRF gir deg en måte å konfigurere flere rutinginstanser på ruteren din på. Dette er gunstig hvis du har behov for å holde kundetrafikk og ruting adskilt, og du vil bruke den samme maskinvaren. Noen tenker kanskje at du kan holde kunder adskilt ved å bruke undergrensesnitt eller forskjellige fysiske grensesnitt, og deretter bruke ACL-filtrering for å holde trafikken segregerte. Dette vil absolutt være en metode for å gjøre det, men hvis du av en eller annen grunn ønsket å overlappe kundeadressering, ville du ha et alvorlig problem. Med en VRF kan du bruke samme IP-adresse tildelt to forskjellige grensesnitt på en ruter samtidig.

Jeg kom nylig over et scenario der dette var et krav for meg. I mitt arbeid som instruktør måtte jeg bare bygge et laboratoriemiljø for en klasse på åtte belg, alle med identisk topologi og identisk adressering. Her er en titt på Basic topology i figur A:

Selv om denne topologien tilsynelatende er grunnleggende, måtte jeg duplisere den syv ganger til. I hovedsak ser jeg på hver lab-pod som en egen kunde. Så jeg brukte ruteren min for å isolere dem. Dette første trinnet er å lage VRF-er.

Opprette VRF-er

 ip vrf POD1 
 første 1: 1 
 ! 
 ip vrf POD2 
 rd 2: 2 
 ! 
 ip vrf POD3 
 tredje 3: 3 
 ! 
 ip vrf POD4 
 rd 4: 4 
 ! 
 ip vrf POD5 
 rd 5: 5 
 ! 
 ip vrf POD6 
 rd 6: 6 
 ! 
 ip vrf POD7 
 rd 7: 7 
 ! 
 ip vrf POD8 
 rd. 8: 8 
 ! 
Med konfigurasjonen ovenfor har vi nå en enkelt ruter som kan fungere som åtte uavhengige rutere. Det som er viktig med det, er at rd eller Route Distinguisher er det som gjør at IP-adresser kan overlappe hverandre. I denne ruteren blir hver adresse merket av RD, som er i formatet til ip-adresse: rd. Dette er en lokal betydning.

Neste trinn er å knytte hvert grensesnitt til en VRF:

 grensesnitt FastEthernet0 / 0.1 
 innkapsling dot1Q 201 
 ip vrf videresending POD1 
 ip-adresse 192.168.1.1 255.255.255.0 
 ! 
 grensesnitt FastEthernet0 / 0.2 
 innkapsling dot1Q 202 
 ip vrf videresending POD2 
 ip-adresse 192.168.1.1 255.255.255.0 
 ! 
 grensesnitt FastEthernet0 / 0.3 
 innkapsling dot1Q 203 
 ip vrf videresending POD3 
 ip-adresse 192.168.1.1 255.255.255.0 
 ! 
 grensesnitt FastEthernet0 / 0.4 
 innkapsling dot1Q 204 
 ip vrf videresending POD4 
 ip-adresse 192.168.1.1 255.255.255.0 
 ! 
 grensesnitt FastEthernet0 / 0.5 
 innkapsling dot1Q 205 
 ip vrf videresending POD5 
 ip-adresse 192.168.1.1 255.255.255.0 
 ! 
 grensesnitt FastEthernet0 / 0.6 
 innkapsling dot1Q 206 
 ip vrf videresending POD6 
 ip-adresse 192.168.1.1 255.255.255.0 
 ! 
 grensesnitt FastEthernet0 / 0.7 
 innkapsling dot1Q 207 
 ip vrf videresending POD7 
 ip-adresse 192.168.1.1 255.255.255.0 
 ! 
 grensesnitt FastEthernet0 / 0.8 
 innkapsling dot1Q 208 
 ip vrf videresending POD8 
 ip-adresse 192.168.1.1 255.255.255.0 
 ! 
 ! 
 grensesnitt FastEthernet0 / 1.1 
 innkapsling dot1Q 211 
 ip vrf videresending POD1 
 ip-adresse 172.26.26.53 255.255.255.0 sekundær 
 ip-adresse 172.26.26.1 255.255.255.0 
 ! 
 grensesnitt FastEthernet0 / 1.2 
 innkapsling dot1Q 212 
 ip vrf videresending POD2 
 ip-adresse 172.26.26.53 255.255.255.0 sekundær 
 ip-adresse 172.26.26.1 255.255.255.0 
 ! 
 grensesnitt FastEthernet0 / 1.3 
 innkapsling dot1Q 213 
 ip vrf videresending POD3 
 ip-adresse 172.26.26.53 255.255.255.0 sekundær 
 ip-adresse 172.26.26.1 255.255.255.0 
 ! 
 grensesnitt FastEthernet0 / 1.4 
 innkapsling dot1Q 214 
 ip vrf videresending POD4 
 ip-adresse 172.26.26.53 255.255.255.0 sekundær 
 ip-adresse 172.26.26.1 255.255.255.0 
 ! 
 grensesnitt FastEthernet0 / 1.5 
 innkapsling dot1Q 215 
 ip vrf videresending POD5 
 ip-adresse 172.26.26.53 255.255.255.0 sekundær 
 ip-adresse 172.26.26.1 255.255.255.0 
 ! 
 grensesnitt FastEthernet0 / 1.6 
 innkapsling dot1Q 216 
 ip vrf videresending POD6 
 ip-adresse 172.26.26.53 255.255.255.0 sekundær 
 ip-adresse 172.26.26.1 255.255.255.0 
 ! 
 grensesnitt FastEthernet0 / 1.7 
 innkapsling dot1Q 217 
 ip vrf videresending POD7 
 ip-adresse 172.26.26.53 255.255.255.0 sekundær 
 ip-adresse 172.26.26.1 255.255.255.0 
 ! 
 grensesnitt FastEthernet0 / 1.8 
 innkapsling dot1Q 218 
 ip vrf videresending POD8 
 ip-adresse 172.26.26.53 255.255.255.0 sekundær 
 ip-adresse 172.26.26.1 255.255.255.0 

For å bekrefte at rutingen er isolert, kan vi se på rutetabellen fra perspektivet til hver VRF. Første POD1:

 BBR # vis ip rute vrf POD1 
 Rutetabell: POD1 
 Koder: C - tilkoblet, S - statisk, R - RIP, M - mobil, B - BGP 
 D - EIGRP, EX - EIGRP eksternt, O - OSPF, IA - OSPF interområde 
 N1 - OSPF NSSA ekstern type 1, N2 - OSPF NSSA ekstern type 2 
 E1 - OSPF ekstern type 1, E2 - OSPF ekstern type 2 
 i - IS-IS, su - IS-IS sammendrag, L1 - IS-IS nivå-1, L2 - IS-IS nivå-2 
 ia - IS-IS interområde, * - standard kandidat, U - per bruker statisk rute 
 o - ODR, P - periodisk nedlastet statisk rute 
 Inngangsporten til siste utvei er ikke satt 
 172.26.0.0/24 er undernett, 1 undernett 
 C 172.26.26.0 er direkte tilkoblet, FastEthernet0 / 1.1 
 10.0.0.0/24 er undernett, 2 undernett 
 S 10.0.1.0 1/0 via 192.168.1.2 
 C 10.0.100.0 er direkte tilkoblet, Loopback201 
 C 192.168.1.0/24 er direkte tilkoblet, FastEthernet0 / 0.1 
 BBR # 
For å se hvilke grensesnitt som er allokert til hver VRF, bruk show ip vrf kort kommando som sett nedenfor.
 BBR # sh ip vrf kort 
 Navn Standard RD-grensesnitt 
 POD1 1: 1 Lo201 
 Fa0 / 0.1 
 Fa0 / 1.1 
 POD2 2: 2 Lo202 
 Fa0 / 0.2 
 Fa0 / 1.2 
 POD3 3: 3 Lo203 
 Fa0 / 0.3 
 Fa0 / 1.3 
 POD4 4: 4 Lo204 
 Fa0 / 0.4 
 Fa0 / 1.4 
 POD5 5: 5 Lo205 
 Fa0 / 0.5 
 Fa0 / 1.5 
 POD6 6: 6 Lo206 
 Fa0 / 0.6 
 Fa0 / 1.6 
 POD7 7: 7 Lo207 
 Fa0 / 0.7 
 Fa0 / 1.7 
 POD8 8: 8 Lo208 
 Fa0 / 0.8 
 Fa0 / 1.8 
 BBR # 

Det er en rekke andre kommandoer som kan brukes til å bekrefte vrf, men som du ser er denne ruteren partisjonert med åtte VRF-er. I neste innlegg vil jeg demonstrere den VRF-bevisste IPsec-konfigurasjonen for samme oppsett.

© Copyright 2021 | pepebotifarra.com