Здравствуйте.

...Не могу потому что, не могу найти доки. Поиск по сайту циски наводит меня только вот на такие статьи
http://www.cisco.com/en/US/docs/ios/12_2sb/feature/guide/vrf...

http://www.cisco.com/en/US/docs/optical/15000r9_0/ethernet/4...

подробностей никаких.
Мне не понятно что будет если на роутере где действeет обычная маршрутизация без всяких VRF создать всетаки VRF и прикрепить к одному интерфейсу/сабинтерфейсу, будет ли работать прежняя традиционая маршрутизация или надо весь роутер переводить на VRF. Можно ли использовать VRF не для VPN

(config-vrf)#?
    route-target Specify Target VPN Extended Communities

нужен ли мне вообще route-target export/inmport

Для чего мне это нужно.
У меня есть роутер. На роутере транковый порт к свитчу. На свитче по виланам разложены сети. На роутере для каждой сети есть свой гетвей. Теперь появилась сеть которая должна быть полность изолирована от всех остальных, но получать интернет через роутер.

Хочу вынести эту сеть в отдельный вилан, закрыть его в VRF со своей собственной таблицей маршрутизации и настроить НАТ в VRF.

Свободного оборудования нет, что бы потестить. На продакшине играться не зная последствий, последнее дело.

Где бы почитать более развернуто про этот VRF?
Ну или если не сложно выши коментарии по некоторым командам. Таким например как:
1) rd
2) route-target
3) export/import (я так понял это просто фильтр какие маршруты нужны, а какие фильтровать)

Спасибо.

• хочу использовать VRF но не могу.,del23, 17:17 , 14-Май-10
  • хочу использовать VRF но не могу.,airo, 17:52 , 14-Май-10
    • хочу использовать VRF но не могу.,GolDi, 17:58 , 14-Май-10
      • хочу использовать VRF но не могу.,airo, 18:00 , 14-Май-10
• хочу использовать VRF но не могу.,sTALK_specTrum, 05:09 , 15-Май-10
  • хочу использовать VRF но не могу.,airo, 10:02 , 17-Май-10
    • хочу использовать VRF но не могу.,fantom, 10:24 , 17-Май-10
• хочу использовать VRF но не могу.,airo, 11:54 , 17-Май-10
• хочу использовать VRF но не могу.,airo, 12:32 , 18-Май-10
  • хочу использовать VRF но не могу.,KiM, 13:13 , 18-Май-10
    • хочу использовать VRF но не могу.,airo, 16:06 , 18-Май-10
      • хочу использовать VRF но не могу.,KiM, 08:37 , 19-Май-10
        • хочу использовать VRF но не могу.,airo, 11:28 , 19-Май-10
          • хочу использовать VRF но не могу.,KiM, 09:43 , 20-Май-10
            • хочу использовать VRF но не могу.,sTALK_specTrum, 10:11 , 20-Май-10
            • хочу использовать VRF но не могу.,fantom, 15:38 , 20-Май-10

Создай ACL запрещающую прохождение трафика из всей сети в ту которую хочешь изолировать и обратно да и повесь его на подинтерфейс.... зачем тебе заморачиваться с VRF ?!

>Создай ACL запрещающую прохождение трафика из всей сети в ту которую хочешь
>изолировать и обратно да и повесь его на подинтерфейс.... зачем тебе
>заморачиваться с VRF ?!

Хочу красивое решение.
К тому же наверное существует шанс что поменять ИП на который АЦЛ действовать не будет.
Короче хочу полной изоляции.

VRF мне в принципе подходит?

>>Создай ACL запрещающую прохождение трафика из всей сети в ту которую хочешь
>>изолировать и обратно да и повесь его на подинтерфейс.... зачем тебе
>>заморачиваться с VRF ?!
>
>Хочу красивое решение.
>К тому же наверное существует шанс что поменять ИП на который АЦЛ
>действовать не будет.
>Короче хочу полной изоляции.
>
>VRF мне в принципе подходит?

Информации полно, как пример
http://www.opennet.me/openforum/vsluhforumID6/13980.html

>Информации полно, как пример
>http://www.opennet.me/openforum/vsluhforumID6/13980.html

а где там про:

....
Где бы почитать более развернуто про этот VRF?
Ну или если не сложно выши коментарии по некоторым командам. Таким например как:
1) rd
2) route-target
3) export/import (я так понял это просто фильтр какие маршруты нужны, а какие фильтровать)

примеров конфигурации я нашел их действительно полно.

>Для чего мне это нужно.
>У меня есть роутер. На роутере транковый порт к свитчу. На свитче
>по виланам разложены сети. На роутере для каждой сети есть свой
>гетвей. Теперь появилась сеть которая должна быть полность изолирована от всех
>остальных, но получать интернет через роутер.

Земляк, для этой задачи VRF не подойдёт. Представить всё можно по аналогии с VLAN'ами. Как на коммутаторе каждый VLAN - это как бы отдельный свич, никак с другими не связанный, так и на маршрутизаторе VRF - это отдельный независимый роутер со своими интерфейсами, маршрутами и другими причиндалами. Я использую VRF, чтобы "распилить" одну железку на несколько роутеров, стоящих в разных точках сети. Например граничные роутеры к разным провам, плюс роутеры к сетям других филиалов, всё такое.

>Земляк, для этой задачи VRF не подойдёт.

ну вот я и хочу выделить одну сеточку что бы она не видела другие сеточки но получала интернет. Вопрос только как сделать интернет если интерфейс провайдера будет не в VRF. Как импортировать маршруты другого VRF, я наверное знаю (ну или думаю что знаю). А вот как импортировать не VRF..? :(

>>Земляк, для этой задачи VRF не подойдёт.
>
>ну вот я и хочу выделить одну сеточку что бы она не
>видела другие сеточки но получала интернет. Вопрос только как сделать интернет
>если интерфейс провайдера будет не в VRF. Как импортировать маршруты другого
>VRF, я наверное знаю (ну или думаю что знаю). А вот
>как импортировать не VRF..? :(

1. Поместить инетовский интерфейс тоже в VRF.
2. www.cisco.com и читать про route leaking.

интернет----10.10.10.1----------10.10.10.2---R0 МОЙ РОУТЕР----Fa0/0.50 VRF сеть 20.20.20.1--------клиент 20.20.20.2
ip vrf jail
description jail_for_client
больше мне не надо так как обмен маршрутами через статику.

роутер R0 имеет статический дефаул ip route 0.0.0.0 0.0.0.0 10.10.10.1

теперь добавляем дефаул для vrf клиентов
ip route vrf jail 0.0.0.0 0.0.0.0 10.10.10.1 global

теперь обратный маршрут
ip route 20.20.20.0 255.255.255.0 Fa0/0.50

и если сейчас я сделаю
R0#ping vrf jail 77.88.21.3

я запингую ya.ru

Это только для того что бы виртуальный роутер jail увидел интернет. НАТ это следующий шаг.
Я правильно все понял?

есть некоторый прогресс.
для теста сделал такую схему.

                      R0 роутер---192.168.0.150------192.168.0.1 Linux
VRF 192.168.55.1------------|

ip route vrf jail 192.168.0.0 255.255.255.0 192.168.0.1 global
ip route 192.168.55.0 255.255.255.0 GigabitEthernet0/0.75 192.168.55.1

делаю #ping vrf jail 192.168.0.1

на линуксе включаю tcpdump и вижу
11:47:37.352610 192.168.55.1 > 192.168.0.1: icmp: echo request
11:47:39.349916 192.168.55.1 > 192.168.0.1: icmp: echo request
11:47:41.349869 192.168.55.1 > 192.168.0.1: icmp: echo request
11:47:43.350259 192.168.55.1 > 192.168.0.1: icmp: echo request
11:47:45.349810 192.168.55.1 > 192.168.0.1: icmp: echo request

тоесть из VRF`a пакеты доходят до пункта назначения и прошу заметить что интерфейс 192.168.0.150 не находиться в VRF.
проблема с обратным путем пакета. Тоесть вот этот маршрут не работает ip route 192.168.55.0 255.255.255.0 GigabitEthernet0/0.75 192.168.55.1

он не работает даже на самомо маршрутизаторе если сделать
#ping 192.168.55.1
соответственно с линукса пинг на 192.168.55.1 тоже не проходит
хотя трейс показывает:

  traceroute 192.168.55.1
traceroute to 192.168.55.1 (192.168.55.1), 30 hops max, 38 byte packets
  1 192.168.0.150 (192.168.0.150) 0.983 ms 1.637 ms 0.902 ms
  2 *

пакет доходит до R0 а дальше....

>[оверквотинг удален]
>#ping 192.168.55.1
>соответственно с линукса пинг на 192.168.55.1 тоже не проходит
>хотя трейс показывает:
>
>  traceroute 192.168.55.1
>traceroute to 192.168.55.1 (192.168.55.1), 30 hops max, 38 byte packets
>  1 192.168.0.150 (192.168.0.150) 0.983 ms 1.637 ms 0.902 ms
>  2 *
>
>пакет доходит до R0 а дальше....

мошть вначале почитать про mpls, а только потом обратится к vrf;)))

вот дока если верить которой, все должно работать без mpls
раздел "Route Leaking from a Global Routing Table into a VRF and Route
Leaking from a VRF into a Global Routing Table"

http://www.cisco.com/application/pdf/paws/47807/routeleaking...

>вот дока если верить которой, все должно работать без mpls
>раздел "Route Leaking from a Global Routing Table into a VRF and
>Route
>Leaking from a VRF into a Global Routing Table"
>
>http://www.cisco.com/application/pdf/paws/47807/routeleaking...

чтобы быстрее понять как работает vrf, проще узнать как работает mpls.

зы я в курсе что оно работает без mpls

>чтобы быстрее понять как работает vrf, проще узнать как работает mpls.

верю на слово :)
меня всегда интересовал MPLS просто руки до него не доходили, просто не знал как применить на практике у себя в сети.

Частично VRF у меня заработал. Помогли люди. Хотя почему-то изначально таже конфигурация в  чисто моем исполнении не работала.

>>чтобы быстрее понять как работает vrf, проще узнать как работает mpls.
>
>верю на слово :)
>меня всегда интересовал MPLS просто руки до него не доходили, просто не
>знал как применить на практике у себя в сети.
>
>Частично VRF у меня заработал. Помогли люди. Хотя почему-то изначально таже конфигурация
>в  чисто моем исполнении не работала.

route-leaking ЗЛО!!!!! попомни мои слова

Ой, братие, чой-то вы не в ту тундру ушли...

Изначально цель была, как я понимаю, организовать просто отдельную изолированную сеть. Типа классической DMZ... И далее мы видим, как благое желание "сделать красиво" выродилось в реализацию "через ass автогеном".  =)_)  Нет, конечно, в порядке эксперимента прокачать своё кунг-фу новым vrf-до - дело святое, но...  ;)

Ну не понимаю я красоты в виртуальном роутере с одним-единственным интерфейсом.
То есть достаточно было создать ещё один подынтерфейс с dot1Q и как бы всё.

А сделать красиво и сертифицированно - бери две ASA в failover'e и рисуй там аклы-наты-вланы.  =)))

>>>чтобы быстрее понять как работает vrf, проще узнать как работает mpls.
>>
>>верю на слово :)
>>меня всегда интересовал MPLS просто руки до него не доходили, просто не
>>знал как применить на практике у себя в сети.
>>
>>Частично VRF у меня заработал. Помогли люди. Хотя почему-то изначально таже конфигурация
>>в  чисто моем исполнении не работала.
>
>route-leaking ЗЛО!!!!! попомни мои слова

Вещи не бывают злыми или добрыми - все зависит от того, кто и как их использует.