Niewidoczna trasa w VRF oraz podwójny default gateway na ASA

Problemy związane z routingiem
Wiadomość
Autor
h33ren
member
member
Posty: 49
Rejestracja: 15 paź 2017, 13:46

Niewidoczna trasa w VRF oraz podwójny default gateway na ASA

#1

#1 Post autor: h33ren »

Witam,

Panowie, pracuję na systemie VSS z kilkoma VRF-ami (używamy VRF Lite). Poniżej rysunek scenariusza z którym obecnie walczę.

Obrazek -> http://jednostki-wojskowe.pl/images/scenario1.jpg (nie wiem dlaczego nie działa mimo znaczników IMG.)

Mam 2 VRF-y

- Outside , który jest naszym domyślnym z ISP i tamtędy przepływa cały praktycznie ruch internetowy. Między firewallem ASA a tym VRF mam VLAN 10 który ma skonfigurowaną sieć XX.XX.56.192/27 między tymi urządzeniami. Domyślna trasa 0.0.0.0/0 jest na firewallu ustawiona statycznie i wskazuje na IP VRF-u XX.XX.56.194 , a od ISP otrzymujemy domyślną trasę 0.0.0.0/0 przez BGP pomiędzy VRF Outside a ISP. No i tu wszystko działa jak należy.

- Outside-2, i tu jest cały problem obecnie, jest to połączenie z innym ISP, przez którego ma płynąć ruch do internetu ale tylko z wybranej sieci. I tylko z tego VRF-u. Pomiędzy tym VRF a tym ISP jest sieć XX.XX.27.104/30. Ten ISP wysyła nam poprzez BGP trasę 0.0.0.0/0 , a my jemu robimy announce trasy do XX.XX.27.112/28, którą od ISP otrzymaliśmy podsieć publiczną XX.XX.27.112/28.

No i teraz mam problem, bo ja z tej podsieci "wyciąłem" sobie mniejszą podsieć XX.XX.27.112/30 celem połączenia VRF Outside-2 <-> Firewall. Utworzyłem na firewallu VLAN 30 i odpowiednio taki sam VLAN na VSS z adresem IP. Łączności pomiędzy VRF a Firewallem jest , PING działa.

Natomiast problem jest w tym że pingując adres firewall'a z internetu nie działa. Ping na VRF działa. Czyli tak jak by ruch dochodził do VRF a potem nie wie jak iść dalej.

Druga sprawa że ja za firewallem chcę mieć tą sieć XX.XX.27.112/28, tylko jak to zrobić ? Nie mam zbytnio innych publicznych adresów które mógł bym wykorzystać do zrobienia połączenia pomiędzy VRF a firewallem. Dlatego chciałem wykorzystać cząstkę tej sieci do tego. A np. zrobić announce do podsieci XX.XX.27.120/29 , bo to by mnie też urządzało, jak bym tą podsieć miał za firewallem i ją tylko podawał przez BGP.

No i trzecia sprawa jak ja mam skonfigurować default route na firewallu, żeby z tego interfejsu ruch szedł przez ten VRF Outside-2 ?

Co do konfiguracji. To chyba najważniejsza część to VRF Outside-2.

Kod: Zaznacz cały

ip vrf Outside-2
 description Outside-2
 rd 65501:120

router bgp XXXX8
 bgp router-id XX.XX.52.157
 no bgp default ipv4-unicast
 bgp log-neighbor-changes
 neighbor 2001:XXXX:2001::XXD remote-as XXXX0
 neighbor 2001:XXXX:2001::XX1 remote-as XXXX0

 address-family ipv4 vrf Outside-2
  redistribute static
  neighbor XX.XXX.27.105 remote-as XXXX4
  neighbor XX.XXX.27.105 password 7 XXXXXXXXXXXXXXXXE0C19
  neighbor XX.XXX.27.105 activate
  neighbor XX.XXX.27.105 weight 500
  neighbor XX.XXX.27.105 prefix-list XXX->XX-UNICAST-DEFGW in
  neighbor XX.XXX.27.105 prefix-list XX->XXX-UNICAST out
  no synchronization
  network XX.XXX.27.112 mask 255.255.255.240
 exit-address-family

ip route vrf Outside-2 XX.XXX.27.112 255.255.255.240 Null0 250
ip route vrf Outside-2 XX.XXX.27.120 255.255.255.248 XX.XXX.27.113

ip prefix-list XXX->XX-UNICAST-DEFGW seq 5 permit 0.0.0.0/0
!
ip prefix-list XX->XXX-UNICAST seq 5 permit XX.XXX.27.112/28
A tak wygląda tablica rutowania na tym VRF.

Kod: Zaznacz cały

vss#sh ip route vrf Outside-2

Routing Table: Outside-2
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is XX.XXX.27.105 to network 0.0.0.0

     XX.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C       XX.XXX.27.104/30 is directly connected, GigabitEthernet1/8/40.2227
C       XX.XXX.27.96/30 is directly connected, GigabitEthernet1/8/40.2127
C       XX.XXX.27.112/30 is directly connected, Vlan30
S       XX.XXX.27.112/28 is directly connected, Null0
     172.16.0.0/24 is subnetted, 1 subnets
C       172.16.66.0 is directly connected, Vlan166
     10.0.0.0/24 is subnetted, 1 subnets
B       10.30.16.0 [20/0] via XX.XXX.27.97, 1w1d
B*   0.0.0.0/0 [20/0] via XX.XXX.27.105, 1d08h
Dodam że na tym VRF jest jeszcze drugi VLAN przez który otrzymujemy trasy do ich sieci lokalnej stąd te inne IP w tablicy.

Z góry dziękuję za pomoc.
CCNA R&S | CCNA Sec

ODPOWIEDZ