https://ns.opennet.ru/openforum/vsluhforumID6/23871.html Добрый день!<br><br>Есть нетривиальная задача, надеюсь послушать ваши мысли.<br>Дано:<br>Cisco ISG с аутентификацией по IP-адресу и один интерфейс за которым в routed сети находятся несколько корпоративных абонентов. <br>Корпоративные абоненты должны иметь свой личный default route и поэтому решено поместить их каждого в свой VRF.<br>Проблема того что весь трафик приходит на один интрефейс можно было бы решить с помощью vrf selection типа:<br><br>interface GigabitEthernet0/0/1.125<br> description TO_SUBSCRIBERS<br> encapsulation dot1Q 125<br> ip vrf receive Subscriber1<br> ip vrf receive Subscriber2<br> ip vrf receive Subscriber3<br> ip address 192.168.16.17 255.255.255.248<br> ip policy route-map ASTRA-3-VPN<br><br>...вот только на таком интерфейсе с PBR не работает функционал ISG.<br><br>Немножко подумав настроил Dynamic VRF Selection выдавая атрибут VRF через запрос в радиус, получилось:<br><br><br>interface GigabitEthernet0/0/1.125<br> description TO_SUBSCRIBERS<br> encapsulation dot1Q 125<br> ip address 192.168.16.17 255.255.255.248<br> service-policy typ https://ns.opennet.ru/openforum/vsluhforumID6/23871.html#9 Mon, 29 Nov 2021 08:30:06 GMT &gt;[оверквотинг удален]<br>&gt;&gt; ip address 213.33.186.134 255.255.255.252 <br>&gt;&gt; ip route vrf beeline 0.0.0.0 0.0.0.0 213.33.186.133 <br>&gt;&gt; Radius : <br>&gt;&gt; Cisco-AVPair += 'ip:vrf-id=beeline' <br>&gt;&gt; все работает но трафик из интернета не возвращается через интерфейс multiservice1 к <br>&gt;&gt; абоненту...<br>&gt;&gt; эта команда работает: <br>&gt;&gt; ping vrf beeline "ip абонента"...(трафик уходит с IP-адреса интерфейса multiservice1 ) <br>&gt;&gt; что я сделал не так?<br>&gt;&gt; Спасибо <br><br>Нет,<br><br>VRF Transfer работает только с PPP или с IP session/DHCP.<br>я не использую dhcp.<br><br>Я решил это с помощью статических VRF<br> https://ns.opennet.ru/openforum/vsluhforumID6/23871.html#8 Mon, 29 Nov 2021 08:09:35 GMT Вам удалось решить эту проблему?<br><br>&gt;[оверквотинг удален]<br>&gt; ip address 213.33.186.134 255.255.255.252 <br>&gt; ip route vrf beeline 0.0.0.0 0.0.0.0 213.33.186.133 <br>&gt; Radius : <br>&gt; Cisco-AVPair += 'ip:vrf-id=beeline' <br>&gt; все работает но трафик из интернета не возвращается через интерфейс multiservice1 к <br>&gt; абоненту...<br>&gt; эта команда работает: <br>&gt; ping vrf beeline "ip абонента"...(трафик уходит с IP-адреса интерфейса multiservice1 ) <br>&gt; что я сделал не так?<br>&gt; Спасибо <br><br> https://ns.opennet.ru/openforum/vsluhforumID6/23871.html#7 Fri, 09 Oct 2020 15:44:55 GMT <br>Здравствуйте,<br>Я настроил это так:<br><br>interface GigabitEthernet1/0.501<br> description TO_SUBSCRIBERS<br> encapsulation dot1Q 501<br> ip address 10.200.100.1 255.255.255.252<br> service-policy type control IPOE_COSTUMERS<br> ip subscriber routed<br> initiator unclassified ip-address<br><br>interface multiservice1<br> ip vrf forwarding beeline<br> ip address 10.10.100.1 255.255.255.252<br> no keepalive<br><br>interface GigabitEthernet2/0.401<br> description Beeline<br> encapsulation dot1Q 401<br> ip vrf forwarding beeline<br> ip address 213.33.186.134 255.255.255.252<br><br>ip route vrf beeline 0.0.0.0 0.0.0.0 213.33.186.133<br><br>Radius :<br><br>Cisco-AVPair += 'ip:vrf-id=beeline'<br><br>все работает но трафик из интернета не возвращается через интерфейс multiservice1 к абоненту...<br><br>эта команда работает: <br><br>ping vrf beeline "ip абонента"...(трафик уходит с IP-адреса интерфейса multiservice1 )<br><br>что я сделал не так?<br><br>Спасибо<br><br><br> https://ns.opennet.ru/openforum/vsluhforumID6/23871.html#6 Fri, 22 Jun 2012 07:01:41 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Полиси роутинг на следующем хопе мне сейчас отчасти уже помогает, но лишь <br>&gt;&gt; отчасти, потому как выходные абонентские интерфейсы не всегда находятся в пределах <br>&gt;&gt; досягаемости next-hop, есть те, что по другую сторону mpls облака, и <br>&gt;&gt; маршрутизировать такой трафик в MPLS L3VPN - идеальный вариант.<br>&gt;&gt; А что не получилось с "серой сетью", не заработал PBR на Interface <br>&gt;&gt; multiservice?<br>&gt; PBR на Interface multiservice заработал, не заработала network session.<br>&gt;&gt; Правильно ли я понял, что могу указывать VRF-ID не в профайле абонента <br>&gt;&gt; а в сервис-полиси, который так же повешу на абонента?<br>&gt; А сымысл, если VRF ID прилетает из радиуса?<br><br>Сделал у себя аналогичную конструкцию:<br><br>policy-map type service VPN<br> ip vrf forwarding VPN<br> sg-service-type primary<br><br>Сервис VPN прописал в профайле абонента. Вижу прежнюю картину... Subscriber session поднимается только per host но не per subnet. Попытка указать маску подсети абонента приводит к тому что сервис просто не применятеся : https://ns.opennet.ru/openforum/vsluhforumID6/23871.html#5 Mon, 18 Jun 2012 14:12:22 GMT &gt;[оверквотинг удален]<br>&gt;&gt; вашу задачу и схему подключения.<br>&gt; Правильно ли я понял, что могу указывать VRF-ID не в профайле абонента <br>&gt; а в сервис-полиси, который так же повешу на абонента? Если да, <br>&gt; то это хороший вариант.<br>&gt; Полиси роутинг на следующем хопе мне сейчас отчасти уже помогает, но лишь <br>&gt; отчасти, потому как выходные абонентские интерфейсы не всегда находятся в пределах <br>&gt; досягаемости next-hop, есть те, что по другую сторону mpls облака, и <br>&gt; маршрутизировать такой трафик в MPLS L3VPN - идеальный вариант.<br>&gt; А что не получилось с "серой сетью", не заработал PBR на Interface <br>&gt; multiservice?<br><br>PBR на Interface multiservice заработал, не заработала network session.<br><br>&gt; Правильно ли я понял, что могу указывать VRF-ID не в профайле абонента <br>&gt; а в сервис-полиси, который так же повешу на абонента?<br><br>А сымысл, если VRF ID прилетает из радиуса?<br><br> https://ns.opennet.ru/openforum/vsluhforumID6/23871.html#4 Mon, 18 Jun 2012 12:53:59 GMT &gt; Я делал подобную схему, вот мой конфиг: <br>&gt; http://tsolodov.blogspot.com/2011/09/bras-cisco-asr-1002-isg.html <br>&gt; Для серой сети, да обломчик вышел, но для реальных кастомеров я делал <br>&gt; network session.<br>&gt; Вы же можете обходиться без VRF, просто делая policy-route на следующем хопе, <br>&gt; и то, если бы у меня была ваша ситуация, я бы <br>&gt; вообще обошелся без VRF, хотя возможно я до конца не понимаю <br>&gt; вашу задачу и схему подключения.<br><br>Правильно ли я понял, что могу указывать VRF-ID не в профайле абонента а в сервис-полиси, который так же повешу на абонента? Если да, то это хороший вариант. <br>А что не получилось с "серой сетью", не заработал PBR на Interface multiservice?<br><br>Полиси роутинг на следующем хопе мне сейчас отчасти уже помогает, но лишь отчасти, потому как выходные абонентские интерфейсы не всегда находятся в пределах досягаемости next-hop, есть те, что по другую сторону mpls облака, и маршрутизировать такой трафик в MPLS L3VPN - идеальный вариант.<br><br> https://ns.opennet.ru/openforum/vsluhforumID6/23871.html#3 Mon, 18 Jun 2012 12:03:22 GMT &gt; Можно подробнее описать зачем вы хотите засунуть в разыне VRF?<br><br>В разные VRF хочу засунуть затем, чтобы трафик каждого из корпоративных абонентов попадал в свой выходной интерфейс, а не шёл по общему дефолту. То есть можно было бы сделать классический PBR с source routing, если бы это было возможно...<br><br><br><br> https://ns.opennet.ru/openforum/vsluhforumID6/23871.html#2 Thu, 14 Jun 2012 11:34:34 GMT Я делал подобную схему, вот мой конфиг:<br>http://tsolodov.blogspot.com/2011/09/bras-cisco-asr-1002-isg.html<br><br><br>Для серой сети, да обломчик вышел, но для реальных кастомеров я делал network session. <br><br>Вы же можете обходиться без VRF, просто делая policy-route на следующем хопе, и то, если бы у меня была ваша ситуация, я бы вообще обошелся без VRF, хотя возможно я до конца не понимаю вашу задачу и схему подключения. <br> https://ns.opennet.ru/openforum/vsluhforumID6/23871.html#1 Thu, 14 Jun 2012 11:09:37 GMT Можно подробнее описать зачем вы хотите засунуть в разыне VRF?<br>