Добрый день господа форумчане!Вот столкнулся с такой проблеммой.Есть корпоративная сеть.Сеть развернута на обширной территории (офисы по стране).В каждом офисе имеется роутер.Задача состоит в том, что на безе действующей сети,необходимо создать отдельную закрытую сеть с отдельным роутером в гл.офисе и Catalyst 2960 в региональных офисах.Вопрос-
как правильно настроить маршрутизацию на главном роутере и роутерах региональных офисов так,чтоб сеть была не доступна из существующей сети и в то же время могла использовать её ресурсы (WEB,FTP)?
> Добрый день господа форумчане!Вот столкнулся с такой проблеммой.Есть корпоративная сеть.Сеть
> развернута на обширной территории (офисы по стране).В каждом офисе имеется роутер.Задача
> состоит в том, что на безе действующей сети,необходимо создать отдельную закрытую
> сеть с отдельным роутером в гл.офисе и Catalyst 2960 в региональных
> офисах.Вопрос-
> как правильно настроить маршрутизацию на главном роутере и роутерах региональных офисов
> так,чтоб сеть была не доступна из существующей сети и в то
> же время могла использовать её ресурсы (WEB,FTP)?VRF + MPLS_VPN
To fantom
Спасибо за отклик!Но если можно,то пожалуйста по конкретней,на основе одного рег. офиса приведите пример настроек или опишите порядок настройки.Так как я в этом деле только начинаю разбираться.
> To fantom
> Спасибо за отклик!Но если можно,то пожалуйста по конкретней,на основе одного рег. офиса
> приведите пример настроек или опишите порядок настройки.
>Так как я в этом
> деле только начинаю разбираться.Из вашего первоначального описания можно сделать вывод, что на каждом офисе есть управляемый свич+ роутер.
1. На управляемых свичах в каждом офисе создаете VLAN (или несколько, по необходимости), и терминируете их на соответствующем офисном роутере.
2. На роутере создаете vrf и все эти VLAN интерфейсы помещаете в этот VRF.
На пальцах - VRF это вроде виртуального роутера, у него таблица маршрутизации изолирована и интерфейсы внутри одного VRF изолированы от прочих интерфейсов.
3. На центральном офисе собираете все это в кучку (например с помощью MPLS VPN) и даете или не даете доступ куда надо/ненадо согластно своему усмотрению.
1 офис
--------ip vrf Ofis_1
rd 101:1
route-target export 101:1
route-target import 101:100interface GigabitEthernet0/0.101
description LAN_Ofis_1
encapsulation dot1Q 101
ip vrf forwarding Ofis_1
ip address 10.10.0.1 255.255.255.0
ip verify unicast reverse-path allow-self-ping
no ip redirects
no ip unreachables
no ip proxy-arp
no ip mroute-cache
no snmp trap link-status
no cdp enableГлавн.Офис
----------ip vrf Glavn
rd 101:100
route-target export 101:100
route-target import 101:1interface GigabitEthernet0/0.101
description LAN_Glavn
encapsulation dot1Q 101
ip vrf forwarding Glavn
ip address 10.20.0.1 255.255.255.0
ip verify unicast reverse-path allow-self-ping
no ip redirects
no ip unreachables
no ip proxy-arp
no ip mroute-cache
no snmp trap link-status
no cdp enable=====================================
Основа.
Для организации MPLS, нужно поднять какой нибудь динамический протокол.
Я делал на BGP поверх OSPF (fantom, приветствую ;) ) Можно и без BGP.
Т.е. линковые сети, которые смотрят офис - головной офис, + поднять loopback -> объявлять в OSPF. Когда OSPF сойдется можно прописывать в OSPF:address-family ipv4 vrf Glavn
redistribute connected
no auto-summary
no synchronization
exit-address-familyаналогично в Офисе (поменяв имя на Ofis_1)
MPLS будет поднят. Чтоб запулить из офиса какую нибудь "левую" сеть, можно поднять еще один vrf но с другими RD, и добавить в импорт/экспорт, тем самым поймав ее например в головном офисе без какой либо лишней маршрутизации.
To Fantom & Semop
Большое спасибо за помощь!Будем пробовать.Позже отпишусь.
> Т.е. линковые сети, которые смотрят офис - головной офис, + поднять loopback
> -> объявлять в OSPF. Когда OSPF сойдется можно прописывать в OSPF:
> address-family ipv4 vrf Glavn
> redistribute connected
> no auto-summary
> no synchronization
> exit-address-familyВ оспф нету address-family.
Надо отдельный процесс на каждый врф создавать