技术 | 全局和VRF的相互泄露
2019-07-23阅读 9830
编辑 | 排版 | 制图 | 测试 | ©瑞哥
此文用时0小时48分钟,原创不易,坚持更不易,希望我的每一份劳动成果都可以得到大家的一个【在看】
从全局路由表到 VRF 的路由泄漏和从 VRF 到全局路由表的路由泄漏
此配置描述从全局路由表到 VRF 的路由泄漏和从 VRF 到全局路由表的路由泄漏。
网络图
此配置使用以下网络设置:
配置
在本示例中,从全局路由表访问位于 VRF 中的网络管理系统 (NMS) 工作站。提供商边缘 (PE) 路由器和提供商 (P) 路由器必须将 NetFlow 信息导出到 VRF 中的 NMS 工作站 (10.0.2.2)。可通过 PE-4 上的 VRF 接口访问 10.0.2.2。
为了从全局表访问 10.0.2.0/30,在 PE-4 上引入了从 VRF 接口指向 10.0.2.0/30 的静态路由。然后通过内部网关协议 (IGP) 将此静态路由重新分配到所有 PE 和 P 路由器。这可确保所有 PE 和 P 路由器都可通过 PE-4 访问 10.0.2.0/30。
还添加了静态 VRF 路由。该静态 VRF 路由指向全局网络中将数据流发送到此 NMS 工作站的子网。如果不添加此路由,PE-4 会丢弃在 VRF 接口上接收到的 NMS 工作站中的数据流;并且 PE-4 会将 ICMP:host unreachable rcv 消息发送到 NMS 工作站。
本部分使用以下配置:
· PE-4
PE-4
!
ip cef
!
ip vrf V**2
rd 200:1
route-target export 200:1
route-target import 200:1
!
interface Serial1/0
ip address 10.1.2.5 255.255.255.252
no ip directed-broadcast
!
interface Serial2/0
ip vrf forwarding V**2
ip address 10.0.2.1 255.255.255.0
no ip directed-broadcast
!
ip classless
ip route 10.0.2.0 255.255.255.252 Serial2/0
ip route vrf V**2 10.1.2.4 255.255.255.252 Serial1/0
现在可以将静态路由重新分配到要在网络范围内通告的任何 IGP。VRF 接口是 LAN 接口(例如,以太网)时同样适用。这种情况下的确切配置命令是:
ip route 10.0.2.0 255.255.255.252 Ethernet2/0 10.0.2.2
注意: 在接口名称后配置的 IP 地址仅由地址解析协议 (ARP) 用于了解要解析的地址。
注意: 对于 4500 系列交换机,必须在 VRF 表中为相应的下一跳地址配置静态 ARP 条目。
注意: 默认情况下,Cisco IOS® 软件认为静态 VRF 路由已配置。这可能会损害安全性,因为它可能引入不同 VRF 之间的路由泄漏。可以使用 no ip route static inter-vrf 命令防止安装此类静态 VRF 路由。
验证
此部分提供信息确认您的配置适当地工作。
命令输出解释程序工具(仅限注册用户)支持某些 show 命令,使用此工具可以查看对 show 命令输出的分析。
· show ip route 10.0.2.0 — 显示指定的 IP 地址路由条目。
· show ip route vrf V**2 10.1.2.4 — 显示指定的 IP 地址 VRF 路由条目。
PE-4# show ip route 10.0.2.0
Routing entry for 10.0.2.0/30
Known via "static", distance 1, metric 0 (connected)
Routing Descriptor Blocks:
* directly connected, via Serial2/0
Route metric is 0, traffic share count is 1
PE-4# show ip route vrf V**2 10.1.2.4
Routing entry for 10.1.2.4/30
Known via "static", distance 1, metric 0 (connected)
Redistributing via bgp 1
Advertised by bgp 1
Routing Descriptor Blocks:
* directly connected, via Serial1/0
Route metric is 0, traffic share count is 1
不同 VRF 之间的路由泄漏
此配置描述不同 VRF 之间的路由泄漏。
网络图
此配置使用以下网络图:
配置
不能将两个静态路由配置为在 VRF 之间通告每个前缀,因为不支持此方法 — 路由器将不路由数据包。为了实现 VRF 之间的路由泄漏,必须使用路由目标的导入功能并对路由器启用边界网关协议 (BGP)。不需要 BGP 邻居。
本部分使用以下配置:
· PE-4
PE-4
!
ip vrf V**1
rd 100:1
route-target export 100:1
route-target import 100:1
route-target import 200:1
!
ip vrf V**2
rd 200:1
route-target export 200:1
route-target import 200:1
route-target import 100:1
!
interface Serial1/0
ip vrf forwarding V**1
ip address 10.1.2.5 255.255.255.252
no ip directed-broadcast
!
interface Serial2/0
ip vrf forwarding V**2
ip address 10.0.2.1 255.255.255.0
no ip directed-broadcast
router bgp 1
!
address-family ipv4 vrf V**2
redistribute connected
!
address-family ipv4 vrf V**1
redistribute connected
!
验证
本部分提供的信息可用于对配置进行故障排除。
命令输出解释程序工具(仅限注册用户)支持某些 show 命令,使用此工具可以查看对 show 命令输出的分析。
· show ip bgp V**v4 all — 显示通过 BGP 了解的所有 V**v4 前缀。
PE-4# show ip bgp V**v4 all
BGP table version is 13, local router ID is 7.0.0.4
Status codes: s suppressed, d damped, h history, * valid,
> best, i - internal, r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 100:1 (default for vrf V**1)
*> 10.0.2.0/24 0.0.0.0 0 32768 ?
*> 10.1.2.4/30 0.0.0.0 0 32768 ?
Route Distinguisher: 200:1 (default for vrf V**2)
*> 10.0.2.0/24 0.0.0.0 0 32768 ?
*> 10.1.2.4/30 0.0.0.0 0 32768 ?
注意: 在 VRF 之间泄漏路由的另一方式是将 PE-4 路由器上的两个以太网接口连接在一起并将每个以太网接口与一个 VRF 相关联。还必须在 VRF 表中为相应下一跳地址配置静态 ARP 条目。然而,不建议对 VRF 之间的路由泄漏使用此解决方案;建议使用的解决方案是前面所述的 BGP 技术。
本文分享自微信公众号 - 网络技术联盟站(it666lmz),作者:夏轩
原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。
原始发表时间:2019-05-25
本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。0daybank
文章评论