vrf
TRANSCRIPT
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 1
Titulo: Inter VRF Routing
Introducción a VRF Lite
Gracias A: Luis Eduardo Ochaeta
BMSN Track – Lección 1 de 1
v5
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 2
BMSN
• Recomendación• Introducción• Escenario• Configuración Básica• Configuración VRF• Prueba de funcionamiento• Comandos de verificación• Conclusiones
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 3
Recomendación
Siguiendo las siguientes recomendaciones Ud puede hacer un mejor uso de su tiempo de estudio
Mantenga sus notas y respuestas para todo su trabajo con este material en un lugar, para una referencia rápidaCuando ud tome un examen de prueba, escriba sus respuestas, estudios han demostrado que esto aumenta significativamente la retención, incluso si no se ha visto la información original nuevamenteEs necesario practicar los comandos y configuraciones en un laboratorio con el equipo adecuadoUtilice esta presentación como un material de apoyo, y no como un material exclusivo para el estudio de este capítuloNo presente el examen del capitulo, sí Ud no ha terminado los laboratorios del capituloSi se presenta algún problema, comuníquese con su instructor
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 4
BMSN
Recomendación• Introducción• Escenario• Configuración Básica• Configuración VRF• Prueba de funcionamiento• Comandos de verificación• Conclusiones
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 5
Introducción
VRFs, o VPN Routing and Forwarding, estan comunmente asociadas a MPLS
En algunas redes la encapsulacion MPLS es usada para aislar el tráfico entre clientes de un proveedor de servicios en tablas de enrutamientos independientes (VRF)
Muy comun encontrar BGP para facilitar el tráfico en estos esquemas de redistribucion y exportación de rutas desde y hacia inter-conectividad entre VRFs de proveedores de servicios
Unque, la configuracion de VRF no es del todo dependiente de MPLS, los dos componentes trabajan muy bien de forma conjunta
Dentro de la terminología de Cisco, el desarrollo de VRFs sin MPLS es conocido como VRF lite
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 6
BMSN
Recomendación Introducción• Escenario• Configuración Básica• Configuración VRF• Prueba de funcionamiento• Comandos de verificación• Conclusiones
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 7
Escenario
Enlaces troncales802.1Q
Si fuera un trafico de red generico, no habria problema en que el administrador ruteara el acceso al internet por cualquiera de las dos salidas disponibles, el problema es que la red de la izquierda pertenece a un cliente del proveedor y la red de la derecha es la red corporativa del proveedor.Obviamente la adcion de un acceso al internet «back door» abre un agujero de seguridad.La solucion puede ser crear dos segmentos de enrutamiento dentro de la misma infraestructura fisica de la red con el objetivo de aislar los dos segmentos, uno del otro.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 8
BMSN
Recomendación Introducción Escenario• Configuración Básica• Configuración VRF• Prueba de funcionamiento• Comandos de verificación• Conclusiones
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 9
Configuración básica
Enlaces troncales802.1Q
Interface Fastethernet 2/1Description Enlace Troncal hacia clientesNo ip add!Interface Fastethernet 2/1.10Encapsulation dot1q 10Ip add 10.0.0.1 255.0.0.0no shutdown
Interface Fastethernet 2/1.20Encapsulation dot1q 20Ip add 20.0.0.1 255.0.0.0no shutdown
Interface Fastethernet 2/1.30Encapsulation dot1q 30Ip add 30.0.0.1 255.0.0.0no shutdown
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 10
BMSN
Recomendación Introducción Escenario Configuración Básica• Configuración VRF• Prueba de funcionamiento• Comandos de verificación• Conclusiones
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 11
La solución
VRF Lite es simple:Cada interface del Router (física o virtual) pertenece a un VRF
A menos que mapas de importación/exportación sean aplicados, rutas (por lo tanto «paquetes») no pueden ir de una VRF a otra, muy parecido a como trabajan las VLANs en capa 2
Los paquetes que ingresan en una VRF 1 únicamente pueden seguir reglas de la tabla 1, como veremos en un momento en esta presentación
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 12
Configuración inicial
R1# show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static routeo - ODR, P - periodic downloaded static route
Gateway of last resort is not set
192.168.13.0/30 is subnetted, 1 subnets C 192.168.13.0 is directly connected, FastEthernet2/1.20
10.0.0.0/30 is subnetted, 3 subnets C 10.0.13.0 is directly connected, FastEthernet2/1.10 C 10.0.0.0 is directly connected, FastEthernet1/1
192.168.0.0/30 is subnetted, 1 subnets C 192.168.0.0 is directly connected, serial1/0
Comencemos con los VRFs
Comenzamos creando las VRFsBlue y Red
R1(config)# ip vrf BLUER1(config-vrf)# description Trusted TrafficR1(config-vrf)# ip vrf REDR1(config-vrf)# description Guest Traffic
Agregamos la interface a la VRF REDR1(config)# int serial1/0R1(config-if)# ip vrf forwarding RED
OJO% Interface Serial1/0 IP address 192.168.0.2 removed due to enabling VRF RED
El IOS quita la IP previamente configurada en esta interface porque ahora pertenece a una VRF, a continuación hay que configurar la IP
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 13
…continuación
R1# show run interface serial 1/0Building configuration...Current configuration : 137 bytes!interface Serial1/0description RXip vrf forwarding REDip address 192.168.0.2 255.255.255.252duplex autospeed autoend
Miremos la tabla de enrutamiento
R1# show ip route[...]
192.168.12.0/30 is subnetted, 1 subnets C 192.168.12.0 is directly connected, FastEthernet2/0.20
192.168.13.0/30 is subnetted, 1 subnets C 192.168.13.0 is directly connected, FastEthernet2/1.20
10.0.0.0/30 is subnetted, 3 subnets C 10.0.12.0 is directly connected, FastEthernet2/0.10 C 10.0.13.0 is directly connected, FastEthernet2/1.10 C 10.0.0.0 is directly connected, FastEthernet1/1
La ruta 192.168.0.0/30 se ha ido de la tabla global
R1# show ip route vrf RED[...]
192.168.0.0/30 is subnetted, 1 subnets C 192.168.0.0 is directly connected, Serial1/0
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 14
…la configuración Completa
interface Serial1/0description RXip vrf forwarding REDip address 192.168.0.2 255.255.255.252!interface FastEthernet1/1description FWip vrf forwarding BLUEip address 10.0.0.2 255.255.255.252!interface FastEthernet2/0description R2no ip address!interface FastEthernet2/0.10encapsulation dot1Q 10ip vrf forwarding BLUEip address 10.0.12.1 255.255.255.252!interface FastEthernet2/0.20encapsulation dot1Q 20ip vrf forwarding REDip address 192.168.12.1 255.255.255.252!
interface FastEthernet2/1description R3no ip address!interface FastEthernet2/1.10encapsulation dot1Q 10ip vrf forwarding BLUEip address 10.0.13.1 255.255.255.252!interface FastEthernet2/1.20encapsulation dot1Q 20ip vrf forwarding REDip address 192.168.13.1 255.255.255.252
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 15
…Las tablas de enrutamiento
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 16
Por ultimo el protocolo de enrutamiento y rutas por defecto en cada VRF
R1(config)# router ospf 1 vrf BLUER1(config-router)# router-id 0.0.1.1R1(config-router)# network 10.0.0.0 0.0.255.255 area 0R1(config-router)# router ospf 2 vrf REDR1(config-router)# router-id 0.0.1.2R1(config-router)# network 192.168.0.0 0.0.255.255 area 0
R1(config)# ip route vrf BLUE 0.0.0.0 0.0.0.0 10.0.0.1R1(config)# ip route vrf RED 0.0.0.0 0.0.0.0 192.168.0.1
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 17
Como quedarían las tablas de enrutamiento
R1# show ip route vrf BLUE[...]
10.0.0.0/8 is variably subnetted, 7 subnets, 2 masks C 10.0.12.0/30 is directly connected, FastEthernet2/0.10 C 10.0.13.0/30 is directly connected, FastEthernet2/1.10 O 10.0.2.0/24 [110/2] via 10.0.12.2, 00:04:52, FastEthernet2/0.10 O 10.0.3.0/24 [110/2] via 10.0.13.2, 00:04:52, FastEthernet2/1.10 C 10.0.0.0/30 is directly connected, FastEthernet1/1 O 10.0.1.0/24 [110/2] via 10.0.12.2, 00:04:52, FastEthernet2/0.10 O 10.0.23.0/30[110/2] via 10.0.13.2, 00:04:52, FastEthernet2/1.10 [110/2] via 10.0.12.2, 00:04:52, FastEthernet2/0.10S* 0.0.0.0/0 [1/0] via 10.0.0.1
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 18
Como quedarían las tablas de enrutamiento
R1# show ip route vrf RED[...]
192.168.12.0/30 is subnetted, 1 subnets C 192.168.12.0 is directly connected, FastEthernet2/0.20192.168.13.0/30 is subnetted, 1 subnets C 192.168.13.0 is directly connected, FastEthernet2/1.20192.168.23.0/30 is subnetted, 1 subnets O 192.168.23.0 [110/2] via 192.168.13.2, 00:04:16, FastEthernet2/1.20 [110/2] via 192.168.12.2, 00:04:16, FastEthernet2/0.20192.168.0.0/30 is subnetted, 1 subnets C 192.168.0.0 is directly connected, FastEthernet1/0 O 192.168.1.0/24 [110/2] via 192.168.12.2, 00:04:16, FastEthernet2/0.20 O 192.168.2.0/24 [110/2] via 192.168.12.2, 00:04:16, FastEthernet2/0.20 O 192.168.3.0/24 [110/2] via 192.168.13.2, 00:04:17, FastEthernet2/1.20S* 0.0.0.0/0 [1/0] via 192.168.0.1
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 19
Tiene alguna pregunta?
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 20
The Human Network:
Changing the way we Work, Live, Play, and Learn.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 21
http://netacad.galileo.edu