将默认路由泄漏到多个 VRF,同时保持 VRF 彼此隔离

网络工程 纳特 BGP cisco-nx-os VRF精简版
2022-02-14 17:08:55

我正在基于 Cisco Nexus 3k 的平台上进行配置,并尝试将不同的东西隔离到不同的 VRF 中,这些 VRF 应该无法相互通信。

其中一些 VRF 具有 RFC1918 寻址,但需要能够访问 Internet,因此我们设置了一个适当调用的 VRF nat,其中 NAT 网关通告默认路由。我们需要这些网关,因为这种特殊型号的 Nexus 本身不支持 NAT。

它设置 BGP 将默认路由从 泄漏vrf natvrf blue当然,反之亦然,因为返回的数据包需要能够到达vrf blue. 这很好用。

现在我想做同样的事情,但如果我tovrf red泄漏,主机将能够通过默认路由路由到达主机。反之亦然。0.0.0.0/0vrf natvrf redvrf redvrf bluevrf nat

我见过的所有具有公共共享 vrf 的多个 vrf 示例都通过过滤正在重新分配/宣布的前缀来保持红色和蓝色之间的隔离。这对我没有帮助,因为我想向0.0.0.0/0全部宣布vrf redvrf blue

有没有一种好的方法可以做到这一点,或者我是否需要放弃共享 NAT vrf 的概念并在所有 natted VRF 中提供 NAT 网关接口?

2个回答

事实证明,这可能的:)

起初,我们很难将默认路由从 OSPF 重新分配到用于路由泄漏工作的 BGP 实例。所以我最终“只是”做了一个network 0.0.0.0/0in ( router bgp 65000> vrf nat> address-family ipv4 unicast)。

但是当我设法将默认路由从 OSPF 重新分配到 vrf 时,路由表的结果vrf blue看起来vrf red 静态方法相同,但行为不同。在这种情况下,交换机足够智能,即使路由表表明它会实际转发数据包,vrf red反之亦然vrf blue

您必须将 VRF 分开,直到流量到达防火墙或类似设备。这可能意味着每个 VRF 都有单独的 NAT 设备。

其它你可能感兴趣的问题
上一篇网络交换机同时客户端到客户端的速度? 下一篇服务器如何知道如何响应 UDP 数据包?