MPLS VPN Central Service dwoch kliento z tym samym IP

[martino76]

Witam,

Tak sobie labuje tego MPLS i chcialem sobie przelabowac scenariusz, gdzie dwoch klientow ma miec dostep do jakiejs uslugi w ISP.

Zakladajac teoretycznie, ze dwoch klientow ma overlaping IP i maja 2 identyczne hosty z tym samym IP, zalozmy ze klienckie maszyny maja IP 7.7.7.7/32 i musza miec dostep do uslugi kotrej IP jest 1.1.1.1/32.

Powiedzmy, ze ISP dostaje po VPNv4 oba adresy klienckie 7.7.7.7/32 jeden ma RD 100:3 a drugi 100:2. Oba te adrssy so importowane do VRF, ktory ma RD 100:1. Tak jak ponizej.

Kod: Zaznacz cały

R2#sh bgp vpnv4 unicast rd 100:1 7.7.7.7/32
BGP routing table entry for 100:1:7.7.7.7/32, version 6
Paths: (2 available, best #2, table VPN_A)
  Not advertised to any peer
  Refresh Epoch 4
  Local, imported path from 100:3:7.7.7.7/32 (global)
    5.5.5.5 (metric 21) from 5.5.5.5 (5.5.5.5)
      Origin incomplete, metric 1, localpref 100, valid, internal
      Extended Community: RT:100:8
      mpls labels in/out nolabel/513
      rx pathid: 0, tx pathid: 0
  Refresh Epoch 2
  Local, imported path from 100:2:7.7.7.7/32 (global)
    4.4.4.4 (metric 11) from 4.4.4.4 (4.4.4.4)
      Origin incomplete, metric 1, localpref 100, valid, internal, best
      Extended Community: RT:100:7
      mpls labels in/out nolabel/411
      rx pathid: 0, tx pathid: 0x0

Nastepnie VPNv4 adresy so propagowane do VRF i wysylane do ISP, gdzie dziala sobie usluga na 1.1.1.1/32.

W takim przypadku jak powyzej, tylko jeden prefix bedzie wyslany do ISP, a mianowicie ten z miejszym kosztem IGP do BGP next-hop. W moim przypadku jest to trasa od next-hop 4.4.4.4

Kod: Zaznacz cały

R1#sh ip route rip 
      7.0.0.0/32 is subnetted, 1 subnets
R        7.7.7.7 [120/2] via 10.1.2.2, 00:00:23, Ethernet0/0

Kiedy robie pinga od klienta gdzie next-hop jest 5.5.5.5, dostaje timeout poniewaz odpowiedz idzie do drugiego klienta, ktorego IP zostal wybrany jako best-path.

Kod: Zaznacz cały

R8#ping 1.1.1.1 source 7.7.7.7
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 7.7.7.7 
.

To odpowiedz od ISP gdzie dziala usluga, dostaje klient, ktorego adres zostale wybrane przez BGP prcess selction jako best route.

Kod: Zaznacz cały

R7#
*Oct 30 12:56:45.139: ICMP: echo reply rcvd, src 1.1.1.1, dst 7.7.7.7, topology BASE, dscp 0 topoid 0
R7#
*Oct 30 12:56:47.142: ICMP: echo reply rcvd, src 1.1.1.1, dst 7.7.7.7, topology BASE, dscp 0 topoid 0

Jest to jasne i zrozumiale. Ale teoretycznie rozwazajac, taka sytuacje moze miec miejsce kiedy dwoch klientow ma overlaping IP i te samy adresy lub sieci probuja dostac sie do tej samej uslugi w ISP.

Moje pytanie jest takie, czy w takim przypadku to ISP namawia albo wymusza zmiane adresacji u jednego z klientow, a moze robi dla jednego jakis NAT.

Takie hipotetyczne rozwazanie

Pozdr,

[martino76]

Chyba znalazlem odpowiedz na moje pytanie link

[ormek]

dobry przykład procesu myślowego. postawić post i na końcu, po zebraniu wszystkich informacji do kupy znaleźć sobie samemu odpowiedź ;]

[horac]

Jest to jasne i zrozumiale. Ale teoretycznie rozwazajac, taka sytuacje moze miec miejsce kiedy dwoch klientow ma overlaping IP i te samy adresy lub sieci probuja dostac sie do tej samej uslugi w ISP.

Moje pytanie jest takie, czy w takim przypadku to ISP namawia albo wymusza zmiane adresacji u jednego z klientow, a moze robi dla jednego jakis NAT.

To zalezy, jednym z rozwiazan jest VRF-aware NAT na routerze PE ktory jest last-hop do uslug wspoldzielonych. Wtedy potrzebujes z na tym PE miec skonfigurowane VRFy obu klientow i zaciagnac przez RT prefixy. Wtedy bedziesz mial dwie osobne tablice routingu. Nastepnie robisz 2 aclki dla tej samej adresacji klienta i natujesz per vrf. No i oczywiscie routing poustawiac z vrfow do nex-hop gdzie sa serwisy wspoldzielone.

Innym razem, ISP moze NAtowac na swoim routerze PE podlaczonym do CE, tyle ze to mniej skalowalne rozwiazanie.