Двама доставчици едновременно или двойна ISP с VRF на Cisco, част 2

Двама доставчици едновременно или двойна ISP с VRF на Cisco, част 2

Добър ден! В това писание, аз бях вдъхновен от статия в HunterXXI двама доставчици едновременно или Dual ISP с VRF на Cisco. Аз се интересувам от, да проучи и да се приложат на практика. Бих искал да сподели своя опит в изпълнението на Dual ISP на Cisco с истински ISP използвайки два едновременно и дори балансиране на натоварването.

Демо схема:


Двама доставчици едновременно или двойна ISP с VRF на Cisco, част 2


Всички етапи се провеждат при 1921 Cisco IOS версия 15.5 (3) М3 с вграден EHWIC-4ESG.


  • Портове GigabitEthernet0 / 0 и GigabitEthernet0 / 1 използва за свързване на ISP.
  • Пристанища GigabitEthernet0 / 0/0 и GigabitEthernet0 / 0/1 ТРУПА конфигуриран и свързан с превключвателите.
  • За да работите с локалната мрежа използва VLAN интерфейси.
  • В тази схема се предоставят три местно IP мрежа 192.168.100.0/24 да VLAN 100, 101 и VLAN 192.168.101.0/24 192.168.102.0/24 VLAN 102.
  • Най-VLAN 100 и 101 от този пример ще има връзка между тях 101, но няма да имат достъп до Интернет, както и VLAN 102 ще имат достъп до интернет само.

Така замислена да покаже възможността за импортиране / експортиране между VRF.

Останалите физически портове не са засегнати, но не се прави нищо, за да ги предпази да използват по свое усмотрение.

конфигурация VRF

Технологии Cisco Express Forwarding (CEF) - трябва да бъдат включени за VRF.

Конфигуриране на VRF за ISP

Имайте предвид, че конфигурацията не се внася 65000 101, който се определя на VLAN 101. Така виртуални маршрутизатори isp1 ISP2 и няма да има път към мрежата 192.168.101.0/24

Настройка на VRF за VLAN

Отново, обърнете внимание на VRF 101, който не споделя маршрути в ISP, но комуникира с VRF 100.

интерфейси конфигурация

Vlan1 не се използва, интерфейсът има смисъл да деактивирате.

конфигурация BGP

Всеки от BGP адрес семейство регулира поотделно за VRF и преразпределя свързани маршрути (преразпределя свързан). Ние ще имаме два пътя по подразбиране, от една страна през VRF ISP1 и втори през ISP2. Параметър максимално пътеки 2 позволява внесени в VRF 100 и 102, както на маршрута по подразбиране.

Тя ще изглежда така:


Cisco маршрутизатори автоматично балансиране на трафика по маршрути в една и съща посока с една и съща стойност.

В isp1 и ISP2 необходимо VRF, в допълнение към разпространявате свързан, позволи разпространявате статичен и неизпълнение информация произход, която ще прехвърли шлюза по подразбиране към други VRF. Може да забележите, че разпространявате статично извършва чрез BGP_Filter на маршрут-карта. Това е само от изискванията за естетичен вид VRF таблици за маршрутизация, определени в безжичната мрежа, която би маршрути до 8.8.8.8 и 80.80.80.80 не попадат в таблици за маршрутизация на VRF 100 и 102.

Конфигуриране на маршрута


Продължете да изберете маршрута. Една от особеностите на работа с VRF, което усложнява конфигурацията, е необходимостта да се определи всичко в определена VRF.



  • маркер - ще ни помогне да се филтрират предаването в местната VRF само тези маршрути
  • песен - указва кой орган е отговорен за експлоатацията на маршрута

С помощта на този маршрут-карта и да се прилага към VRF за доставчика на интернет, се преразпределят само маршрути с етикет, а останалата част ще остане само в рамките на VRF ISP.

NAT Setup


За NAT операция трябва да очертае отвътре, отвън интерфейси. Както отвън, ние определяме интерфейсите, които са свързани ISP, IP Нат извън команда. Всички други интерфейси, които принадлежат към LAN определят като вътре IP Нат вътре команда.

Трябва да създадете две маршрут-карта-и, които се определят isp1 и ISP2 интерфейси


NAT правила трябва да бъдат определени за всяка VRF през всеки ISP. Тъй като това състояние VLAN 101 не разполага с достъп до Интернет след това правилата посочват няма нужда от него, и дори ако си точка - няма да работи, защото няма маршрута.

Cisco има много разновидности на NAT. В Cisco терминология, която ние използваме, се нарича Dynamic NAT с претоварване или PAT.

Какво ви трябва, за които ще работи NAT?


  1. За определяне на вътрешни и външни интерфейси
  2. Посочва се, че искаме да преведат
  3. Посочете какво искаме да излъчва
  4. даде възможност на излъчване

В NAT конфигурация достатъчно просто да се създаде достъп списък, който идентифицира локалната мрежа и да прилага правилото за превод.


По този начин, ние се уточни, че / какво и включват излъчва, че се изпълняват всички необходими изисквания.

Тази настройка е проста конфигурация, очевидно е и разбираемо, без повече подробности.

Правило, което ние използваме в нашата конфигурация не е толкова очевидно. Както е известно, маршрут-карта isp1 определя GigabitEthernet0 / 0 интерфейс. Ако перифразираме отбор получава нещо като


Оказва се, че трябва да излъчи източник на трафик, които GigabitEthernet0 / 0?

За да се разбере това, е необходимо да се потопите в механизма на пакет вътре в рутера.


  • Трафик, което идва на интерфейс, който е маркиран, като от вътрешната страна не е предмет на превода. Той обозначени като вероятно излъчва.
  • Следващата стъпка на това лечение е нейното маршрутизиране на трафика според таблицата за маршрутизация или PBR.
  • Ако в съответствие с движението на масата се качва на интерфейс, който е маркиран, като излизам от излъчването му.
  • Ако трафикът получава да не излъчва извън не се среща на интерфейса.

Грешка е да се мисли, можете да, можете да направите маршрут-карта LAN интерфейс мач Vlan100. Използвайте това като NAT на IP вътрешен източник маршрут-карта LAN и т.н.

За да избегнете това, което трябва да се разбере мисълта, че това правило превод се задейства, когато трафикът е вече на външния интерфейс и съответства на интерфейса, когато това движение е без олово никъде.

Създаване SLA

Не се изисква специална конфигурация не е налице, проверите наличността на 80.80.80.80 8.8.8.8 ICMP възли и рутери от всеки доставчик ISP VRF.

Setting песен

В таблицата за маршрутизация е с маршрут IP маршрут VRF isp1 0.0.0.0 0.0.0.0 198.51.100.2 етикет 100 писта 100, която е свързана към пистата 100.

път 1000

Този обект има по подразбиране изключено състояние.
В тази конфигурация на обекта е необходимо, за да може да принуди доставчика на интернет, за да забраните един, и не го свържете. За тази песен през 1000, за да добавите към обекта 100 или 200. Въз основа на булевата и, ако е един от обектите за установяване на целия обект се счита НАДОЛУ.

Конфигуриране EEM


EEM - Embedded Event Manager ви позволява да автоматизирате действията в съответствие с определени събития.

В този случай, когато един от доставчика на интернет, вече няма да работи, той ще бъде изтрит от таблицата за маршрутизация. Но правилата NAT превод ще останат. Поради това, вече установена връзка на потребителя ще се мотае, докато, докато NAT превод се изчиства от изчакване.

За да се ускори този процес, трябва да изчистите NAT маса команда ясно IP Нат превод * и най-добре е да се направи това автоматично.


Ако предметите 100 или 200 ще отидат в състояние на DOWN команди, които ще се изпълняват по реда на тяхното действие.

съвети и трикове


Искам да спомена още няколко функции, за да работят с VRF.

Напр NTP конфигурация:


Благодарение на използването на всяко VRF мрежа операции трябва да се отнасят до един виртуален рутер, това се дължи на факта, че когато се задават конфигурация и стартирате маршрута SHOW IP, вие няма да видите никакви записи в таблицата за маршрутизация.

Предимствата на тази конфигурация бих искал да се отнасят своята гъвкавост. Човек може лесно да извлече VLAN чрез един ISP, а другият през второто.

Недостатъците, и това е въпрос за изискана аудитория, пада, когато един от доставчика на интернет услуги, които изчистват IP NAT преводи * команда прекрати всички връзки до и включително работата с ISP. Опитът показва, че в случаите, когато доставчикът пада - потребителите не забелязват "почивка" или не е от решаващо значение.

Ако някой знае как да се чисти на маса предавания частично - аз съм благодарен.


Не забравяйте да деактивирате NAT превод в частния подмрежа.

Двама доставчици едновременно или двойна ISP с VRF на Cisco, част 2

VRF Предна врата. Друг пример от практиката
Здравейте Habr! За VPN конфигурация във връзка с VRF на Cisco, има много статии в Интернет. Налице е добър мамят лист за IPsec VPN конфигурация под формата на карти за шифроване и VTI-тунелите заедно с VRF. Тази статия е пример Habra DMVPN с VRF. VRF позволява по-голяма гъвкавост при настройката на оборудването и възможностите за използването му много

Двама доставчици едновременно или двойна ISP с VRF на Cisco, част 2

Балансиране на трафика между две NAT на различни доставчици на един физически лица.
В класическата схема на свързване на две ISP към рутер, то е възможно да се използват само два канала за NATirovaniya местни клиенти с балансиране на натоварването, не само за feylovera в случай на повреда на един от доставчиците.

Двама доставчици едновременно или двойна ISP с VRF на Cisco, част 2

Двама доставчици едновременно или Dual ISP с VRF на Cisco
Здравейте Налице е универсално решение за свързване на няколко доставчици, IP SLA + песен. Решението е лесен за разбиране и лесни за управление. Но когато става дума за едновременното използване на две или повече комуникационни канали на технологията в най-чистата му форма не е подходяща. Искам да споделя опита си. На сайтове с множество доставчици I

Двама доставчици едновременно или двойна ISP с VRF на Cisco, част 2

Един клиент, две стаи, четири и осем комуникации доставчик
Един клиент поиска да се направи връзка между кабинета си и склада е постоянна и безопасна. Като сме направили и какво работи и какво не.

Двама доставчици едновременно или двойна ISP с VRF на Cisco, част 2

Премахване на асиметрична маршрутизация в Juniper SRX
В тази статия ще опиша как да се използват естествените инструменти Juniper SRX може да бъде много лесно и елегантно razrulit някои досадни схема за маршрутизация. Той ще се фокусира върху използването на виртуалната рутера, или по-точно, от гледна точка на Juniper, маршрутизация инстанция виртуална-рутер. Проблем може да се обобщи по следния начин: има два или