Left, Right, Center Left, Center, Right Center, Left, Right

Академия

Мы -- официальная сетевая академия Cisco (ID: 20027250)

Хочешь сказать спасибо?

Нравится наш проект?

Хотите нас поддержать (сказать "спасибо")?

Можете воспользоваться для этого следующими кошельками webmoney

R432847347204

Z150172555537

Подписка на новости

Вопрос недели

В какое время Вам будет удобно заниматься?



 

Вход в систему







Забыли пароль?
Регистрация

Про виртуальные сети (часть 11). Технология F VRF: что, как и зачем?

Статьи

В нашем цикле статей про виртуальные сети мы обсудили уже довольно много различных технологий и протоколов, их особенностей функционирования и настройки в виртуальных сетях. Однако еще больше нам предстоит обсудить, так как мы находим все больше новой информации о виртуальных сетях, которой хотим с Вами поделиться.

В данной статье мы поведем речь о стыке виртуальных и реальных сетей, а именно о технологии F FRW (Front VRF). Есть еще одна технология, которая называется I VRF, но о ней мы говорить отдельно не будем, так как она не многим отличается от данной технологии. Итак, технология F VRF предполагает концепцию построения сети, где часть интерфейсов находиться в глобальной таблице маршрутизации, а часть в VRF. Причем та часть, которая находиться в таблице виртуального маршрутизатора VRF, смотрит во внешнюю сеть. Вот что думает сам производитель Cisco Systems по этому поводу.

 

Прежде всего изобразим общий вид, как выглядит сеть с применением технологии F VRF (именно такую логику мы будем настраивать в данной статье):

Концепция – это, конечно, хорошо. Но, прежде всего, необходимо оценить, какие нам преимущества предоставляет данная технология. Самое главное преимущество, о котором говорит Cisco,– это безопасность. Мы видим, что таблица маршрутизации, в которой находиться внешний интерфейс не будет содержать информации о внутренней сети. Поэтому атака, совершаемая из вне на внутреннюю сеть компании на основе таблицы маршрутизации будет неуспешной: пакетам просто не будет возможности идти дальше. Есть еще одно преимущество в разрезе нашей тематики виртуальных сетей, о котором Cisco не говорит явно, но о нем мы расскажем в конце статьи, после рассмотрения настройки сети.

Физическую топологию мы используем стандартную для данного примера, а логическая топология выглядит следующим образом:

Возможно, если Вы только начали изучать наш цикл статей о виртуальных сетях, Вы заметите, что такие номера VLAN уже использовались. На самом деле, мы уже не ставим цель собрать как можно больше технологий, работающих параллельно на одной сети. Мы рассматриваем с Вами отдельные инструменты, которые работают в виртуальной среде, и которые Вы можете внедрить в свою сеть. К примеру, протоколы маршрутизации в данной статье мы будем рассматривать не виртуализированны. Как их виртуализировать, об этом Вы сможете прочитать в предыдущих статьях.

Опишем кейс для данной топологии (возможно, в нем Вы узнаете себя :-) ): Компания хочет организовать Site-to-site VPN между своими офисами, при этом реализовать поддержку мультикастинга, и сделать подключение максимально защищенным. В качестве протокола динамической маршрутизации в компании используется разработка Cisco – EIGRP. Два сайта компании, между которыми планируется создание VPN:

1) Сайт А / Маршрутизаторы MLS1, R1

2) Сайт Б / Маршрутизаторы R4, R5

Маршрутизаторы R2, R3 – сеть ISP (Internet Service Provider). Начнем настройку с MLS1, так как она наиболее простая (настройка R5 будет на 100% идентичной, разница будет только в IP адресах):


MLS1#sh run
!
vlan 2
name 2
!
interface Loopback0
ip address 10.0.1.1 255.255.255.0
!
interface FastEthernet0/3
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2
switchport mode trunk
switchport nonegotiate
!
interface Vlan2
ip address 10.0.0.2 255.255.255.0
!
router eigrp 1
passive-interface default
no passive-interface Vlan2
network 10.0.0.0
auto-summary
!
End

Придерживаясь рекомендаций Cisco мы отключаем по умолчанию установку EIGRP соседства на всех интерфейсах и включаем ее только на необходимых нам. В остальном конфиг абсолютно прост и понятен.

Теперь настроим провайдерскую часть сети. Так как фокус нашей статьи не установлен на работу ISP сети, то для простоты мы настроим там протокол OSPF в качестве IGP. Пример конфига с R2:


R2#sh run
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.3
encapsulation dot1Q 3
ip address 1.1.1.1 255.255.255.254
ip ospf hello-interval 1
no snmp trap link-status
!
interface FastEthernet0/0.4
encapsulation dot1Q 4
ip address 2.2.2.0 255.255.255.254
ip ospf hello-interval 1
no snmp trap link-status
!
router ospf 1
log-adjacency-changes
network 1.1.1.1 0.0.0.0 area 0
network 2.2.2.0 0.0.0.0 area 0
!
!
end

В данном случае следует обратить внимание на измененные таймеры OSPF. По умолчанию Hello timer для любого Ethernet интерфейса в OSPF – 10 секунд, и Dead timer – 40 секунд. В нашем случае, мы изменили значение таймера Hello до 1 секунды (Dead – 4 секунды) для уменьшения время сходимости протокола OSPF, что критично для сетей ISP. А использую на уровне настройки интерфейса команду «ip ospf dead-interval minimal hello-multiplier number» можно получить время сходимости OSPF меньше секунды. Minimal означает, что dead interval будет равен 1 секунде, а hello-multiplier - сколько hello пакетов будет отправлено за эту 1 секунду.

Следующая, и главная, наша задача – настройка маршрутизаторов R1 и R4. Интерфейс, который относится к локальной сети, должен находиться в глобальной таблице маршрутизации, а интерфейс, которым локальная сеть подключается к сети провайдера, должен находиться в таблице маршрутизации виртуального маршрутизатора A (настройку будем показывать на R1, так как на R4 настройка будет абсолютно аналогичная, за исключением IP адресов):


R1#sh ru
!
ip vrf A
rd 1000:1
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.2
encapsulation dot1Q 2
ip address 10.0.0.1 255.255.255.0
!
interface FastEthernet0/0.3
encapsulation dot1Q 3
ip vrf forwarding A
ip address 1.1.1.0 255.255.255.254
ip ospf hello-interval 1
!

Таймеры протокола динамической маршрутизации OSPF можно настраивать до того, как настроен сам протокол. Теперь настроим сами протоколы динамической маршрутизации. Начнем с EIGRP:


R1#sh ru
!
router eigrp 1
passive-interface default
no passive-interface FastEthernet0/0.2
no passive-interface Tunnel0
network 10.0.0.0
auto-summary
!

Настройка интерфейса Tunnel0 будет приведена дальше. …И продолжим OSPF:


R1#sh ru
!
router ospf 1 vrf A
router-id 1.1.1.0
log-adjacency-changes
capability vrf-lite
network 1.1.1.0 0.0.0.0 area 0
!

Те, кто давно с нами и читали весь цикл наших статей о виртуальных сетях, понимают дополнительные команды в настройке OSPF. Если у Вас есть вопросы, то рекомендуем Вам обратиться к статье про виртуализированный OSPF.

Собственно, сама транспортная инфраструктура у нас готова, остается реализовать VPN сервис. В одной из предыдущих статей, где мы рассматривали VPN в виртуальной сети, мы делали уточнение, что при настройке туннеля один и тот же vrf должен быть у самого туннеля и у интерфейса, через который он строится. То есть один и тот же vrf должен быть указан в «tunnel vrf A» и «ip forwarding vrf A» в параметрах настройки туннеля. Сейчас мы будем нарушать это правило, потому что у нас другая технология:


R1#sh ru
!
interface Tunnel0
ip address 10.100.0.0 255.255.255.254
tunnel source 1.1.1.0
tunnel destination 3.3.3.1
tunnel vrf A
!

Команда «tunnel vrf A» показывает в какой таблице маршрутизации нам искать IP-адреса, указанные в качестве источника и назначения туннеля.

VPN туннель без шифрования в наше неспокойное время вызовет кривую ухмылку у большинства людей, которые что-то понимают в передаче данных. Поэтому мы добавим шифрование (детальная его настройка и разбора параметров приведена в указанной выше ссылке про VPN):


R1#sh ru
!
crypto keyring inet vrf A
pre-shared-key address 3.3.3.1 key nlclruby
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
crypto isakmp profile OUT
vrf A
keyring inet
match identity address 3.3.3.1 255.255.255.255 A
!
!
crypto ipsec transform-set OUT_SET esp-aes 256 esp-sha-hmac
!
crypto ipsec profile tunnel_protect
set transform-set OUT_SET
!
!
interface Tunnel0
tunnel protection ipsec profile tunnel_protect shared
!

И дабы еще усилить нашу безопасность, мы настроем аутентификацию для протокола маршрутизации EIGRP на интерфейсе Tunnel0 (кто-то может нас посчитать параноиками, но только не отдел информационной безопасности):


R1#sh ru
!
key chain ei
key 0
key-string network-lab.ru
key 1
key-string cisco-lab.by
!
!
interface Tunnel0
ip authentication mode eigrp 1 md5
ip authentication key-chain eigrp 1 ei
!

На этом все, настройка кейса завершена, трафик передается как внутри локальных сетей, так и между ними, все сотрудники компании, включая высшее руководство, довольны и счастливы.

В качестве вывода данной статьи отметим преимущество такого подхода, которое обещали рассказать Вам в начале статьи. Подход разделения таблиц маршрутизации для разных сетей позволяет объединять между собой географически распределенные виртуальные сети в одну глобальную виртуальную сеть, имея при этом только одну точку подключения к внешней сети (Интернет). Выглядит это все следующим образом:

Полный конфиг для данной статьи Вы найдете тут.

До новых встреч, друзья! Удачи!

Пожалуйста, зарегистрируйтесь или войдите в систему для добавления комментариев к этой статье.
Share to Facebook Share to Twitter Share to Linkedin Share to Myspace Share to Google 
.