Projekt VRF LITE. Jiří Otisk, Filip Frank

Podobné dokumenty
Technologie počítačových sítí - ZS 2015/2016 Kombinované studium

Technologie počítačových sítí - LS 2016/2017. Případová studie příklady syntaktických konstruktů Cisco IOS pro jednotlivé části případové studie.

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Konfigurace sítě s WLAN controllerem

Technologie počítačových sítí

Možnosti Multi-Topology Routing v Cisco IOS (ISIS, OSPF, BGP, EIGRP)

Základy IOS, Přepínače: Spanning Tree

Nezávislé unicast a multicast topologie s využitím MBGP

VLSM Statické směrování

Projekt. Howto VRF/VPN na CISCO routerech v. 2. Zpracoval:BU KOVÁ Dagmar, BUC061

IPv6 VPN přes IPv4 MPLS páteř

Průzkum a ověření konfigurace Private VLAN na Cisco Catalyst 3560

Podmíněná propagace cest do protokolu BGP

Route reflektory protokolu BGP

MPLS ve VRF. Bc. Pavel Pustowka PUS0017, Bc. Radim Holek HOL0123

Použití Virtual NAT interfaces na Cisco IOS

12. VLAN, inter VLAN routing, VTP

Popis a ověření možností přepínacího modulu WIC- 4ESW pro směrovače Cisco

Přepínače: VLANy, Spanning Tree

Multicast Source Discovery Protocol (MSDP)

HSRP v1+v2, reakce na události object trackingu, vliv na zátěž CPU

Směrovací protokol OSPF s využitím systému Mikrotom. Ing. Libor Michalek, Ph.D.

MPLS MPLS. Label. Switching) Michal Petřík -

VPLS, redundance přípojných linek na bázi MLAG

32-bitová čísla Autonomních Systémů v protokolu BGP

Loop-Free Alternative (LFA)

VLSM Statické směrování

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

MPLS Penultimate Hop Popping

1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL

32-bitová čísla Autonomních Systémů v protokolu BGP

Počítačové sítě ZS 2005/2006 Návrh sítě zadání

Případová studie datové sítě

Simulátory síťového prostředí

5. Směrování v počítačových sítích a směrovací protokoly

L2 multicast v doméně s přepínači CISCO

Případová studie SPS 2016/17 Doporučené kroky řešení a doporučení k jednotlivým částem řešení

Využití systému Dynamips a jeho nástaveb pro experimenty se síťovými technologiemi Petr Grygárek

Vyvažování zátěže na topologii přepínačů s redundandními linkami

Podpora QoS (L2, L3) na DSLAM Zyxel IP Express IES 1000

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

QoS na MPLS (Diffserv)

Semestrální projekt do předmětu SPS

Tunelování VLAN a servisních protokolů 2. vrstvy v síti poskytovatele

Autentizace bezdrátových klientů jejich přiřazování do VLAN podle databáze FreeRADIUS

Jiří Tic, TIC080 Lukáš Dziadkowiec, DZI016 VŠB-TUO. Typy LSA v OSPF Semestrální projekt: Směrované a přepínané sítě

Testy kompatibility BGP a OSPF mezi Cisco a Mikrotik

Projekt k předmětu Směrované a přepínané sítě. Ověření kompatibility implementací OSPF na Cisco IOS a Linuxu - různé typy oblastí

Konfigurace směrovačů a přepínačů s Cisco IOS

Část l«rozbočovače, přepínače a přepínání

Směrované a přepínané sítě

Přepínaný Ethernet. Virtuální sítě.

Konfigurace DHCP serveru a překladu adres na směrovačích Cisco

Základní příkazy Cisco IOS pro správu směrovačů a přepínačů

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

Zone-Based Firewall a CBAC na Cisco IOS

VLAN Membership Policy Server a protokol VQP Dynamické přiřazování do VLANů.

Europen: IP anycast služba

L2 multicast v doméně s přepínači CISCO

Virtuální sítě 2.část VLAN

HSRP a VRRP s využitím IPv6

Směrování. static routing statické Při statickém směrování administrátor manuálně vloží směrovací informace do směrovací tabulky.

Technologie MPLS X36MTI. Michal Petřík

Obsah. Úvod 13. Věnování 11 Poděkování 11

VRRP v1+v2, konfigurace, optimalizace a reakce na události na plaformě RouterOS

Nové LSA v topologické databází OSPFv3

Principy a použití dohledových systémů

Evoluce RTBH v NIX.CZ. Petr Jiran NIX.CZ IT17 Praha

3 Prefix suppression v OSPFv3... 7

Virtální lokální sítě (VLAN)

Počítačové sítě, ZS 2007/2008, kombinované studium. Návrh sítě zadání. Petr Grygárek, FEI VŠB-TU Ostrava

Informační technologie. Název oboru: Školní rok: jarní i podzimní zkušební období 2017/2018

MPLS a VPN. Petr Grygárek, RCNA FEI VŠB-TU Ostrava, 2004

Možnosti vylaďování subsecond konvergence EIGRP

Projekt IEEE 802, normy ISO 8802

Budování sítě v datových centrech

Konfigurace směrovače, CDP

Podsíťování. Počítačové sítě. 7. cvičení

Semestrální projekt do SPS Protokol RSVP na Cisco routerech

Směrovací protokoly, propojování sítí

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Aktivní prvky: přepínače

Část 3: Odborné certifikační kurzy pro technologie CISCO

Univerzitní sít - leden 2012

PROJEKT FENIX Petr Jiran NIX.CZ. EurOpen.CZ VZ Měřín

2N VoiceBlue Next. 2N VoiceBlue Next & Siemens HiPath (series 3000) Propojení pomocí SIP trunku. Quick guide. Version 1.

Multiple Event Support

MPLS LDP na přepínané síti. L2 enkapsulace odchozích paketu, vazba na CEF. Rekonvergence v případě ztráty LDP Hello paketu.

Technologie počítačových sítí AFT NAT64/DNS64. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Počítačové sítě ZS 2011/2012 Projekt návrhu sítě zadání

Směrovací démon BIRD. CZ.NIC z. s. p. o. Ondřej Filip / IT10

Virtualizace síťových prvků

Směrování VoIP provozu v datových sítích

Počítačové sítě ZS 2008/2009 Projekt návrhu sítě zadání

Počítačové sítě ZS 2012/2013 Projekt návrhu sítě zadání

Příkazy Cisco IOS. 1 Přehled módů. 1.2 Uživatelský mód (User Mode) 1.3 Privilegovaný mód (Privileged Mode) 1.1 Klávesové zkratky

Multipoint LDP (mldp)

BIRD Internet Routing Daemon

Počítačové sítě 1 Přednáška č.5

Transkript:

Projekt VRF LITE Jiří Otisk, Filip Frank Abstrakt: VRF Lite - použití, návaznost na směrování v prostředí poskytovatelské sítě. Možnosti řízených prostupů provozu mezi VRF a globální směrovací tabulkou. Klíčová slova: VRF Lite 1 Úvod...2 2 VRF Lite Ukázková základní konfigurace...2 2.1 Popis...2 2.2 Topologie...2 2.3 Konfigurace R1...3 2.4 Konfigurace R2...4 2.5 Konfigurace R3...5 2.6 Závěr...6 3.1 Popis...7 3.2 Topologie...7 3.3 Výchozí nastavení...8 3.4 Přepnutí SDM šablony...10 3.5 Vytvoření VRF a přiřazení na rozhraní...10 3.6 Konfigurace OSPF...11 3.7 Nastavení MP-BGP...12 3.8 Propojení směrovacích tabulek...12 3.9 Závěr...12 3.10 Použitá literatura a zdroje...13 prosinec 2010 1/13

1 Úvod VRF neboli Virtual Routing and Forwarding je obecně známo v souvislosti s MPLS službami poskytovatelů. V těchto sítích je VRF použito k oddělení jednotlivých uživatelských sítí a nezávislé směrovací tabulky jsou udržovány pro každou síť zákazníka odděleně. Pro distribuci směrovacích záznamů v takovýchto sítích je nejčastěji použito protokolu MP-BGP. VRF nemusí být nutně realizováno jen v MPLS síti, realizace VRF v sítích bez MPLS je u firmy Cisco označována jako VRF Lite. VRF Lite používá místo identifikace MPLS značkami VLAN tagy. Díky odděleným směrovacím tabulkám umožňuje snížit náklady ve složitějších sítích (nahrazením více routerů jedním s VRF) a umožňuje lepší bezpečnostní opatření v sítí (naprosto odděleno směrování na L3, ACL pro každé VRF zvlášť). Obecně lze říct, že VRF podobně jako VLAN u přepínačů, umožňuje rozdělit jeden router na více virtuálních. 2 VRF Lite Ukázková základní konfigurace 2.1 Popis Máme 2 internetová připojení a vlastní síť se dvěma skupinami zákazníků, tyto skupiny zákazníků chceme oddělit pomocí VRF Lite, tak aby každá skupina používala jen jedno připojení a tyto skupiny byly navzájem odděleny. Za zákazníka budeme v tomto případě považovat pouze připojené koncové PC. Ke směrování použijeme protokol OSPF, který poběží ve dvou instancích pro každou VRF zvlášť. K oddělení VRF pak VLAN s čísly 110 pro ISP1(červeně) a 200 pro ISP2(modře). Černým písmem psané jsou adresy které platí pro obě VLAN/VRF. Vzhledem k tomu že VRF lite je technologií síťové vrstvy nebudeme se zde zabývat konfigurací přepínačů je na nich nutné pouze nastavit uživatelské porty k příslušným VLAN a port připojený ke směrovači na Trunk, žádná speciální konfigurace kvůli VRF Lite na nich není potřeba. K funkci VRF lite tyto přepínače ani nejsou potřeba(je možné do určité VRF přidat i celý interface bez VLAN) a na schématu tak jsou jen pro ukázku a jejich konfigurace nebude uvedena. 2.2 Topologie Na směrovačích R1, R2 je nutné nastavit výchozí bránu pro ISP který je k nim připojen do příslušné VRF. A dále je nutné povolit její přeposílání protokolem OSPF. Opakující se příkazy nebudou popisovány. prosinec 2010 2/13

2.3 Konfigurace R1 # Pojmenování směrovače hostname R1 # Vytvo ření VRF se jmény ISP1 a ISP2 ip vrf ISP1 ip vrf ISP2 interface fa 0/0 # P ři řazení interface do VRF skupiny ISP1 # Nastavení IP adresy, nutno provést až po p řidání do VRF, # jinak bude směrovačem zahozena ip address 110.10.255.2 255.255.255.252 # Zapnutí protokolu OSPF pro tento interface a jeho sí ť v # rámci VRF ISP1 # Aktivace interface utdown # Je nutno použít subinterface pro každou VLAN zvláš ť. interface fa0/1 interface fa0/1.110 # Za řazení do VLAN s tagem 110 # P ři řazení do VRF skupiny ISP1 ip address 110.10.255.9 255.255.255.252 interface fa0/1.200 ip address 200.10.255.9 255.255.255.252 interface fa 0/2 interface fa 0/2.110 ip address 110.10.255.5 255.255.255.252 interface fa 0/2.200 ip address 200.10.255.5 255.255.255.252 prosinec 2010 3/13

# Definice výchozí brány pro VRF skupinu ISP1 ip route vrf ISP1 0.0.0.0 0.0.0.0 110.10.255.1 # Povolení ší ření výchozí brány protokolem OSPF v rámci VRF ISP1 router ospf 1 vrf ISP1 default-information originate 2.4 Konfigurace R2 # Stejná konfigurace jako R1, ale výchozí bránu a její ší ření # pomocí OSPF nakonfigurujeme pro VRF ISP2 a OSPF proces 2. hostname R2 ip vrf ISP1 ip vrf ISP2 interface Fa 0/0 ip address 200.10.255.2 255.255.255.252 interface Fa 0/1 interface Fa 0/1.110 ip vfr forwarding ISP1 ip address 110.10.0.254 255.255.255.0 interface Fa 0/1.200 ip vfr forwarding ISP2 ip address 200.10.0.254 255.255.255.0 ip ospf 2 vrf ISP2 area 0 interface fa 0/2 interface fa 0/2.110 ip address 110.10.255.6 255.255.255.252 interface fa 0/2.200 ip address 200.10.255.6 255.255.255.252 prosinec 2010 4/13

interface fa 0/3 interface fa 0/3.110 ip address 110.10.255.13 255.255.255.252 interface fa 0/3.200 ip address 200.10.255.13 255.255.255.252 ip route vrf ISP2 0.0.0.0 0.0.0.0 200.10.255.1 router ospf 2 vrf ISP2 default-information originate 2.5 Konfigurace R3 Na tomto směrovači již není potřeba konfigurovat výchozí bránu neboť bude přijata pomocí OSPF. hostname R3 ip vrf ISP1 ip vrf ISP2 interface Fa 0/0 interface Fa 0/0.110 ip address 110.10.255.10 255.255.255.252 interface Fa 0/0.200 ip address 200.10.255.10 255.255.255.252 interface Fa 0/1 interface Fa 0/1.110 ip address 110.10.1.254 255.255.255.0 prosinec 2010 5/13

interface Fa 0/1.200 ip address 200.10.1.254 255.255.255.0 interface fa 0/2 interface fa 0/2.110 ip address 110.10.255.14 255.255.255.252 interface fa 0/2.200 ip address 200.10.255.14 255.255.255.252 2.6 Závěr Výsledkem této konfigurace je striktní oddělení skupin zákazníků na síťové vrstvě a díky VLAN i na vrstvě linkové. Jejich komunikace je možná pouze prostřednictvím spoje ISP1-ISP2, tedy obvykle sítí internet. Zákazníky lze jednoduše přesouvat mezi VRF jednoduše změnou příslušnosti portu přepínače k VLAN(samozřejmě je pak nutné použít jinou IP adresu na koncových PC) na směrovačích není nutné nic měnit, kromě případu kdy je zákazník připojen přímo k rozhraní směrovače. Zde je pak nutné změnit nastavení ip vrf forward na tomto portu, jeho IP, i OSPF nastavení. prosinec 2010 6/13

3 Směrování mezi jednotlivými VRF 3.1 Popis Na obrázku 2. je topologie jednoduché sítě se třemi oddělenými zákazníky (A, B a C), kteří jsou navíc rozděleni do dvou budov (S2 budova první. S3 budova druhá). Každý zákazník má své připojení k ISP, které znázorňují routery R1, R2 a R3 přičemž zákazník A a B sdílí VOIP služby na adrese 10.0.99.1. Jelikož zákazníci sdílejí jednu fyzickou síť je třeba jejich sítě z bezpečnostních důvodů oddělit. Jedna se o aplikaci logického oddělení L3 topologie nezávislých entit sdílejících jednu fyzickou infrastrukturu. Toto zapojení nebylo z důvodů nedostatku prostředků testováno, syntaxe se proto může lišit v závislosti na verzi OS IOS. Simulace prováděna na zařízení Cisco Catalyst 3550 (IOS 12.1(13)EA1). 3.2 Topologie prosinec 2010 7/13

3.3 Výchozí nastavení S1: Zákaznické sítě jsou odděleny pomocí VLAN a adresovány dle obrázku. vlan 10 vlan 11 vlan 12 interface FastEthernet0/1 no switchport ip address 10.1.1.1 255.255.255.252 interface FastEthernet0/2 no switchport ip address 10.1.2.1 255.255.255.252 interface FastEthernet0/3 no switchport ip address 10.1.3.1 255.255.255.252 interface FastEthernet0/4 description VOIP Services no switchport ip address 10.1.99.1 255.255.255.252 interface FastEthernet0/5 switchport trunk encapsulation dot1q switchport mode trunk interface FastEthernet0/6 switchport trunk encapsulation dot1q switchport mode trunk interface Vlan10 ip address 10.1.0.1 255.255.255.0 interface Vlan11 ip address 10.2.0.1 255.255.255.0 interface Vlan12 ip address 10.3.0.1 255.255.255.0 S2: vlan 10 vlan 11 vlan 1 vlan 2 interface FastEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunk prosinec 2010 8/13

interface FastEthernet0/2-10 switchport mode access switchport access Vlan1 interface FastEthernet0/11-20 switchport mode access Vlan2 interface Vlan10 ip address 10.1.0.2 255.255.255.0 interface Vlan11 ip address 10.2.0.2 255.255.255.0 interface Vlan1 ip address 10.0.1.1 255.255.255.0 interface Vlan2 ip address 10.0.2.1 255.255.255.0 S3: vlan 11 vlan 12 vlan 3 vlan 3 interface FastEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunk interface FastEthernet0/2-10 switchport mode access switchport access Vlan2 interface FastEthernet0/11-20 switchport mode access switchport access Vlan3 interface Vlan11 ip vrf forwarding Red ip address 10.2.0.3 255.255.255.0 interface Vlan12 ip vrf forwarding Blue ip address 10.3.0.3 255.255.255.0 interface Vlan3 ip vrf forwarding Red ip address 10.0.3.1 255.255.255.0 interface Vlan4 ip vrf forwarding Blue ip address 10.0.4.1 255.255.255.0 prosinec 2010 9/13

3.4 Přepnutí SDM šablony Před samotnou konfigurací je třeba změnit způsob rozdělení interní TCAM paměti L3 switche, tak aby byl schopen uložit routovací tabulky pro každé VRF zvlášť. Jelikož VRF routy potřebují navíc RD identifikátor musí být paměťový prostor přerozdělen. S1(config)# sdm prefer extended-match S1# reload S2(config)# sdm prefer extended-match S2# reload S3(config)# sdm prefer extended-match S3# reload 3.5 Vytvoření VRF a přiřazení na rozhraní Na S1 potřebujeme vytvořit čtyři VRF, tři pro jednotlivé zákaznické sítě a jednu pro VOIP služby. Je také třeba přidělit RD který má v našem případě pouze lokální význam a proto zvolíme třeba vzor 10:<VLAN číslo>. S1(config)# ip routing S1(config)# ip vrf A S1(config-vrf)# rd 10:1 S1(config)# ip vrf B S1(config-vrf)# rd 10:2 S1(config)# ip vrf C S1(config-vrf)# rd 10:3 S1(config)# ip vrf VOIP S1(config-vrf)# rd 10:99 S1(config)# interface FastEthernet0/1 S1(config-if)# ip vrf forwarding A S1(config)# interface FastEthernet0/2 S1(config-if)# ip vrf forwarding B S1(config)# interface FastEthernet0/3 S1(config-if)# ip vrf forwarding C S1(config)# interface FastEthernet0/4 S1(config-if)# ip vrf forwarding VOIP S1(config)# interface Vlan10 S1(config-if)# ip vrf forwarding A S1(config)# interface Vlan11 S1(config-if)# ip vrf forwarding B S1(config)# interface Vlan12 S1(config-if)# ip vrf forwarding C S2(config)# ip routing S2(config)# ip vrf A S2(config-vrf)# rd 10:1 S2(config)# ip vrf B S2(config-vrf)# rd 10:2 S2(config)# interface Vlan10 S2(config-if)# ip vrf forwarding A S2(config)# interface Vlan11 S2(config-if)# ip vrf forwarding B prosinec 2010 10/13

S2(config)# interface Vlan1 S2(config-if)# ip vrf forwarding A S2(config)# interface Vlan2 S2(config-if)# ip vrf forwarding B S3(config)# ip routing S3(config)# ip vrf B S3(config-vrf)# rd 10:2 S3(config)# ip vrf C S3(config-vrf)# rd 10:3 S3(config)# interface Vlan11 S3(config-if)# ip vrf forwarding B S3(config)# interface Vlan12 S3(config-if)# ip vrf forwarding C S3(config)# interface Vlan3 S3(config-if)# ip vrf forwarding B S3(config)# interface Vlan4 S3(config-if)# ip vrf forwarding C 3.6 Konfigurace OSPF Dále je třeba nakonfigurovat OSPF pro výměnu routovacích informací v rámci jedné VRF. Pro zjednodušení zde můžeme přidat všechny připojené sítě. S1(config)# router ospf 1 vrf A S1(config-ospf)# network 0.0.0.0 255.255.255.255 area 0 S1(config)# router ospf 1 vrf B S1(config-ospf)# network 0.0.0.0 255.255.255.255 area 0 S1(config)# router ospf 1 vrf C S1(config-ospf)# network 0.0.0.0 255.255.255.255 area 0 S2(config)# router ospf 1 vrf A S2(config-ospf)# network 0.0.0.0 255.255.255.255 area 0 S2(config-ospf)# passive-interface Vlan1 S2(config)# router ospf 1 vrf B S2(config-ospf)# network 0.0.0.0 255.255.255.255 area 0 S2(config-ospf)# passive-interface Vlan2 S3(config)# router ospf 1 vrf B S3(config-ospf)# network 0.0.0.0 255.255.255.255 area 0 S3(config-ospf)# passive-interface Vlan3 S3(config)# router ospf 1 vrf C S3(config-ospf)# network 0.0.0.0 255.255.255.255 area 0 S3(config-ospf)# passive-interface Vlan4 prosinec 2010 11/13

3.7 Nastavení MP-BGP MP-BGP je použit pro distribuci routovacích informací mezi jednotlivými VRF. Pro identifikaci RouterID vytvoříme pomocný interface Loopback0. S1(config)# interface loopback0 S1(config-if)# ip address 192.0.2.1 255.255.255.255 S1(config)#router bgp 10 S1(config-router)# no synchronization S1(config-router)# bgp log-neighbor-changes S1(config-router)# no auto-summary S1(config-router)# address-family ipv4 vrf A S1(config-router-af)# redistribute connected S1(config-router-af)# redistribute ospf 1 vrf A S1(config-router-af)# no synchronization S1(config-router-af)# exit-address-family S1(config-router)# address-family ipv4 vrf B S1(config-router-af)# redistribute connected S1(config-router-af)# redistribute ospf 2 vrf B S1(config-router-af)# no synchronization S1(config-router-af)# exit-address-family S1(config-router)# address-family ipv4 vrf C S1(config-router-af)# redistribute connected S1(config-router-af)# redistribute ospf 3 vrf C S1(config-router-af)# no synchronization S1(config-router-af)# exit-address-family S1(config-router)# address-family ipv4 vrf VOIP S1(config-router-af)# redistribute connected S1(config-router-af)# no synchronization S1(config-router-af)# exit-address-family 3.8 Propojení směrovacích tabulek Pro propojeni routovacích informací je potřeba poslední krok, nastavit route target import a export. S1(config)# ip vrf A S1(config-vrf)# route-target export 10:1 S1(config-vrf)# route-target import 10:99 S1(config)# ip vrf B S1(config-vrf)# route-target export 10:2 S1(config-vrf)# route-target import 10:99 S1(config)# ip vrf VOIP S1(config-vrf)# route-target export 10:99 S1(config-vrf)# route-target import 10:1 S1(config-vrf)# route-target import 10:2 3.9 Závěr Nyní je celá konfigurace dokončená. Všichni zákazníci jsou připojeni přes své poskytovatele a pouze zákazníci A a B mají přístup k VOIP službám. Každý L3 switch se chová jako jednotlivé zařízení z pohledu zákazníků. prosinec 2010 12/13

3.10 Použitá literatura a zdroje [1] - http://www.cisco.com/en/us/docs/ios/12_2sb/12_2sba/feature/guide/vrflite.html [2] - http://www.cisco.com/en/us/docs/switches/lan/catalyst4500/12.2/25ew/ configuration/guide/vrf.pdf [3] - http://packetlife.net/blog/2009/apr/30/intro-vrf-lite/ prosinec 2010 13/13

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář