День добрый. Есть указанное в сабже оборудование и задача запустить поддержку VPN. В ходе настройки были созданы VRF'ы, привешены на кабельные подынтерфейсы, в качестве протокола распространения маршрутной информации мужду VRF используется BGP, НО (!) - схема сети достаточно проста - uBR выступает в роли PE-маршрутизатора для клиентов и маршрутизатора для управляющей VPN (все проходит через один FastEthernet), 3745 над ним выполняет роль граничного маршрутизатора (PE-маршрутизатора для провайдера по схемам и териминологии Cisco). В связи с простотой, маршрутизация внутри сети построена на статических маршрутах. Отсюда:
вопрос №1 - возможна-ли вообще реализация MPLS-VPN при такой организации сети (грубо говоря - в пределах одного маршрутизатора). Если да то
вопрос №2 - как добиться попадания в VRF статических или connected-маршрутов из основной таблицы маршрутизации.
>День добрый. Есть указанное в сабже оборудование и задача запустить поддержку VPN.
>В ходе настройки были созданы VRF'ы, привешены на кабельные подынтерфейсы, в
>качестве протокола распространения маршрутной информации мужду VRF используется BGP, НО (!)
>- схема сети достаточно проста - uBR выступает в роли PE-маршрутизатора
>для клиентов и маршрутизатора для управляющей VPN (все проходит через один
>FastEthernet), 3745 над ним выполняет роль граничного маршрутизатора (PE-маршрутизатора для провайдера
>по схемам и териминологии Cisco). В связи с простотой, маршрутизация внутри
>сети построена на статических маршрутах. Отсюда:
>вопрос №1 - возможна-ли вообще реализация MPLS-VPN при такой организации сети (грубо
>говоря - в пределах одного маршрутизатора).
да
Если да то
>вопрос №2 - как добиться попадания в VRF статических или connected-маршрутов из
>основной таблицы маршрутизации.
а зачем из основной?
ip route vrf ...насчет connected и одного интерфейса сложнее. Думаю, без subif & dot1q не обойтись. А в остальном, mpls ip на интерфейсе ( сабинтерфейсе).
[..skipped..]
>>вопрос №1 - возможна-ли вообще реализация MPLS-VPN при такой организации сети (грубо
>>говоря - в пределах одного маршрутизатора).
>да
> Если да то
>>вопрос №2 - как добиться попадания в VRF статических или connected-маршрутов из
>>основной таблицы маршрутизации.
>а зачем из основной?
>ip route vrf ...
>
Дело в том, что к серверам управления ведет connected-маршрут, и при попытке прописать его как статический в VRF пакеты уходят в никуда...
>насчет connected и одного интерфейса сложнее. Думаю, без subif & dot1q не
>обойтись. А в остальном, mpls ip на интерфейсе ( сабинтерфейсе).Еще одна проблема - dot1q не поддерживается версией IOS, иначе было-бы проще реализоватть VPN на базе него. А subif - это, в смысле на Ethernet? Если да, то можно чуть-чуть подробнее, просто на живую не до экспериментов - клиентам же не объяснишь... :)
Если "сервера управления" находятся не в данном VRF, то в статическом маршруте нужно в конце ставить global.
>Если "сервера управления" находятся не в данном VRF, то в статическом маршруте
>нужно в конце ставить global.Не помогло. Сетка из VRF'а не пингуется, и маршрут не попал в остальные VRF. redistribute static в bgp address-family указано...
>[..skipped..]
>>>вопрос №1 - возможна-ли вообще реализация MPLS-VPN при такой организации сети (грубо
>>>говоря - в пределах одного маршрутизатора).
>>да
>> Если да то
>>>вопрос №2 - как добиться попадания в VRF статических или connected-маршрутов из
>>>основной таблицы маршрутизации.
>>а зачем из основной?
>>ip route vrf ...
>>
>Дело в том, что к серверам управления ведет connected-маршрут, и при попытке
>прописать его как статический в VRF пакеты уходят в никуда...
>>насчет connected и одного интерфейса сложнее. Думаю, без subif & dot1q не
>>обойтись. А в остальном, mpls ip на интерфейсе ( сабинтерфейсе).
>
>Еще одна проблема - dot1q не поддерживается версией IOS, иначе было-бы проще
>реализоватть VPN на базе него. А subif - это, в смысле
>на Ethernet? Если да, то можно чуть-чуть подробнее, просто на живую
>не до экспериментов - клиентам же не объяснишь... :)int f0/0.1
enc dot1q 150 (150-й влан)
ip addr xxxxxxxx
mpls ipСработает, если другой конец езернета понимает VLANs
[..skipped..]
>>
>>Еще одна проблема - dot1q не поддерживается версией IOS, иначе было-бы проще
>>реализоватть VPN на базе него. А subif - это, в смысле
>>на Ethernet? Если да, то можно чуть-чуть подробнее, просто на живую
>>не до экспериментов - клиентам же не объяснишь... :)
>
>int f0/0.1
>enc dot1q 150 (150-й влан)
>ip addr xxxxxxxx
>mpls ip
>
>Сработает, если другой конец езернета понимает VLANsТакое уже пробовал, увы... Команда encoding не поддерживается IOS'ом. Ее просто нет. Поэто из множества решений и осталось только MPLS-VPN.
Tak kak u tebia odin router, tebe po idee MPLS ne nuzhen...
>Такое уже пробовал, увы... Команда encoding не поддерживается IOS'ом. Ее просто нет.
>Поэто из множества решений и осталось только MPLS-VPN.
Упс! комманда-то encapsulation dot1q!
Насколько я знаю, MPLS на37хх - это enterprise+, а уж там-то точно .1q есть.как вариант policy routing не рассматривал?
[..skipped..]
>
>Упс! комманда-то encapsulation dot1q!Упс, ай эм сорри. За..ся с товарищем об мпег3 :)
>Насколько я знаю, MPLS на37хх - это enterprise+, а уж там-то точно
>.1q есть.Там-то да, но ВЛАНирование надо заводить для кабельных клиентов, а их обслуживает юБРб, ИОС которого команду encapsulation, l2−vpn−service и т.п. не понимает категорически. Есть вариант использовать его как мост между кабельной сетью (клиентами) и 3745-ым, а все разделение осуществлять уже там, но сие решение далеко не самое удачное, учитывая то, что схема в ближайшее время может инвертироваться - 3745-ый уйдет под юБР как маршрутизатор для дополнительной CMTS, а юБР возмет на себя еще и функции пограничника.
>
>как вариант policy routing не рассматривал?Упоминания встречал, но пока нет...