“Front door VRF” reprezinta o metoda prin care putem separa rutele unui provider de servicii de rutele din LAN-ul nostru. Este o tehnica utila in special in configuratii DMVPN unde tunelele sunt create peste internet.
Putem privi conexiunea providerului ca pe un curier care transporta un colet. Pe noi ne intereseaza ca acest curier sa ne livreze pachetul pana la usa, dar nu tinem in mod special sa ii facem un tur al apartamentului. Metoda mentionata mai sus ne ajuta sa fim siguri ca cel care a livrat pachetul are acces doar “pana la usa”.
Putem privi conexiunea providerului ca pe un curier care transporta un colet. Pe noi ne intereseaza ca acest curier sa ne livreze pachetul pana la usa, dar nu tinem in mod special sa ii facem un tur al apartamentului. Metoda mentionata mai sus ne ajuta sa fim siguri ca cel care a livrat pachetul are acces doar “pana la usa”.
Configurarea consta in definirea unui VRF pe CPE, in care sa plasam interfata spre provider si o ruta catre destinatia viitorului tunel. VRF-ul creat are semnificatie locala. Pe CPE-ul unde vom configura capatul tunelului, putem defini un alt VRF.
Topologia arata in felul urmator:
Configuratie Site A
Configuram VRF-ul local
(config)#ip vrf VRF_A
(config-vrf)#rd 1:1
(config-vrf)#route-target both 1:1
Configuram interfata spre provider si o plasam in VRF-ul creat mai sus
(config)#interface Fastethernet 0/0
(config-if)#ip vrf forwarding VRF_A
(config-if)#ip address 12.1.2.2 255.255.255.252
Configuram o ruta in VRF spre destinatia viitorului tunel
(config)#ip route vrf VRF_A 23.2.3.0 255.255.255.252 12.1.2.1
Configuram interfata tunel
(config)#interface Tunnel 13
(config-if)#ip address 31.1.3.0 255.255.255.254
(config-if)#tunnel source 12.1.2.2
(config-if)#tunnel destination 23.2.3.2
Daca vom verifica tabela de rutare globala vom observa ca nu avem o ruta catre destinatia tunelului nou creat.
In schimb, avem ruta din VRF. Este necesar deci, sa ii “spunem” interfetei tunel unde sa caute o ruta catre destinatia specificata. Facem acest lucru folosind comanda “tunnel vrf”.
(config-if)#tunnel vrf VRF_A
Configuratie Site B
(config)#ip vrf VRF_B
(config-vrf)#rd 2:2
(config-vrf)#route-target both 2:2
(config)#interface Fastethernet 1/1
(config-if)#ip vrf forwarding VRF_B
(config-if)#ip address 23.2.3.2 255.255.255.252
(config)#ip route vrf VRF_B 12.1.2.0 255.255.255.252 23.2.3.1
Configuram interfata tunel
(config)#interface Tunnel 31
(config-if)#ip address 31.1.3.1 255.255.255.254
(config-if)#tunnel source 23.2.3.2
(config-if)#tunnel destination 12.1.2.2
(config-if)#tunnel vrf VRF_B
In acest moment tunelul GRE este up / up si putem sa rutam intre viitoarele LAN-uri prin el, iar traficul poate fi protejat configurand IPsec.
Configuram VRF-ul local
(config)#ip vrf VRF_A
(config-vrf)#rd 1:1
(config-vrf)#route-target both 1:1
Configuram interfata spre provider si o plasam in VRF-ul creat mai sus
(config)#interface Fastethernet 0/0
(config-if)#ip vrf forwarding VRF_A
(config-if)#ip address 12.1.2.2 255.255.255.252
Configuram o ruta in VRF spre destinatia viitorului tunel
(config)#ip route vrf VRF_A 23.2.3.0 255.255.255.252 12.1.2.1
Configuram interfata tunel
(config)#interface Tunnel 13
(config-if)#ip address 31.1.3.0 255.255.255.254
(config-if)#tunnel source 12.1.2.2
(config-if)#tunnel destination 23.2.3.2
Daca vom verifica tabela de rutare globala vom observa ca nu avem o ruta catre destinatia tunelului nou creat.
In schimb, avem ruta din VRF. Este necesar deci, sa ii “spunem” interfetei tunel unde sa caute o ruta catre destinatia specificata. Facem acest lucru folosind comanda “tunnel vrf”.
(config-if)#tunnel vrf VRF_A
Configuratie Site B
(config)#ip vrf VRF_B
(config-vrf)#rd 2:2
(config-vrf)#route-target both 2:2
(config)#interface Fastethernet 1/1
(config-if)#ip vrf forwarding VRF_B
(config-if)#ip address 23.2.3.2 255.255.255.252
(config)#ip route vrf VRF_B 12.1.2.0 255.255.255.252 23.2.3.1
Configuram interfata tunel
(config)#interface Tunnel 31
(config-if)#ip address 31.1.3.1 255.255.255.254
(config-if)#tunnel source 23.2.3.2
(config-if)#tunnel destination 12.1.2.2
(config-if)#tunnel vrf VRF_B
In acest moment tunelul GRE este up / up si putem sa rutam intre viitoarele LAN-uri prin el, iar traficul poate fi protejat configurand IPsec.
De mentionat este faptul ca intr-un astfel de setup nu putem configura optiunea keepalive pe tunel si este necesar sa configuram alte mecanisme de monitorizare.
Am pus mai jos un printscreen din documentatia Cisco in acest sens. Articolul complet il puteti accesa aici.
Am pus mai jos un printscreen din documentatia Cisco in acest sens. Articolul complet il puteti accesa aici.
Sper ca acest articol sa va fie util.
Toate bune! :)
Toate bune! :)
Niciun comentariu :
Trimiteți un comentariu