タグ付けされた質問 「vrf」

VRF、VLAN、サブネットについて基本的な知識があります。VLANはL2で動作し、サブネットとVRF（Lite）はL3で動作することを理解しています。私が理解していないのは、セグメンテーションをほとんど気にかけているのに、どちらを選ぶかということです。 私が2台のデバイスしか持っておらず、それらが互いに対話できるようにしたくないが、インターネットにアクセスできるようにしたいとします。 VLAN ネットワークに1つのスイッチと1つのルーターしかない場合を想像してください。私は次のようにすることができます： デバイス1 => VLAN 1 デバイス2 => VLAN 2 インターネット=> VLAN 3 次に、それらが会話するのを防ぐために、vlan 1とvlan 3の間のトラフィック、およびvlan 2とvlan 3の間のトラフィックを許可しますが、vlan 1とvlan 2の間を流れるすべてのトラフィックをドロップします=>セグメンテーションOK 。 サブネット ネットワークに2つのスイッチと1つのルーターがあるとします。私は次のようにすることができます： サブネット1 =>スイッチ1 =>デバイス1 サブネット2 =>スイッチ2 =>デバイス2 次に、VLANで行ったように、サブネット1とサブネット2の間を流れるすべてのパケットをドロップできます。=>セグメンテーションOK。 VRF 複数のスイッチと1つのルーターがあるとします。私は次のようにすることができます： VRF 1 =>デバイス1 VRF 2 =>デバイス2 明示的に何も防止する必要はありません。デフォルトでは、2つのVRFは相互に通信できません。=>セグメンテーションOK。 3つのうち他の利点はありますか？推奨される方法は何ですか？なぜ3つを組み合わせるのですか？他に何を見逃しましたか？ 編集 3つのオプション、特にVLAN（個別のサブネットを使用している可能性がある）とVRFセグメンテーションを比較する答えを本当に探しています。

10 vlan  subnet  vrf  vrf-lite 

VMがシミュレーションスイートを実行しているVMware環境があります。使用されているソフトウェアには、ハードコードされたIPアドレス（約10〜15個のVM）があり、このソフトウェアの複数のインスタンスをそれぞれ異なる分散ポートグループで実行しています。したがって、SIM1 VMセットにはVLAN10に192.168.1.0/24があり、SIM2にはVLAN20に192.168.1.0/24があります。 これは問題なく機能し、SIM1 VMがSIM2 VMと通信する必要はありません。新しい要件が出てきたので、進行状況をリモートで監視し、マシンの物理セットからデータを管理および共有できるようにする必要があります。管理PCは、Catalyst ciscoスイッチに接続されたVLAN200に存在します。 Distributed Switchに4x10gbeアップリンクがあります。私はそれらをいくつかのCisco 10gbeルーターに対して実行し（どのモデルがこれを実行するのか正確にはわかりませんが、VMへの10gbe接続を維持したい）、そのインターフェースをゲートウェイとして使用し、各仮想VLANのサブインターフェースでVRFを使用し、各仮想NATを仮想機械。したがって、SIM1 machine1にはIP 192.168.1.2があり、これは公に10.0.10.2にNAT変換します。4番目のオクテットはプライベートvm IPに一致し、3番目のオクテットはVLANに一致します。したがって、SIM2 machine1（192.168.1.2）は10.0.20.2にNAT変換します。管理側は、別のポートのサブインターフェイスであり、グローバルまたは共有VRFに存在することもできます。SIM2 machine1を管理するには、10.0.20.2を使用できるはずです。VRFとNAT間の共有ルートが機能していた場合。 私はGNS3で同様のものを構築しようとし始めて、すぐに圧倒されました。だから私は私のデザインが健全であるか、問題を処理する別のより健全な方法があるかどうかを確認したいと思います。またはこれを達成する方法についてのヒントやアドバイスはありますか？ ありがとう！ 編集：図を追加しました： つまり、SIM1-S1は10.0.10.2にNAT変換し、SIM1-S2は10.0.10.3にNAT変換します。SIM2-S1は10.0.20.2にNAT変換し、SIM2-S2は10.0.20.3にNAT変換します。 ...

8 cisco  vlan  nat  vrf 

OS 3.4.1を搭載した新しいSupervisor7を入手しました。tacacsを使用して認証を構成しようとしていますが、それを機能させる方法を理解できません。この構成は他のスイッチでも機能しますが、この4500では機能しません。 aaa new-model username cisco privilege 15 secret 5 $1$qLGb$VQ7BdaJEpzGFqPeC979Uh1 tacacs-server host 10.4.25.8 key ourKeyIsSecret aaa authentication login default group tacacs+ local line vty 0 15 login authen default フォールバックパスワードでのみログインできます。スイッチはtacacsに接続しようとさえしていません。 誰か助けてもらえますか？

7 cisco  cisco-catalyst  aaa  vrf  tacacs 

ゲストネットワークでdhcp snoopingとダイナミックARPインスペクションを有効にする方法を理解しようとしていますが、少し混乱しています... ここに状況があります： ハブアンドスポークトポロジがあり、メインコアスイッチが複数のレイヤ3 /ディストリビューションスイッチに接続しています。エッジスイッチはすべて、ゲストVLAN 10でゲストネットワークトラフィックを伝送します。そのトラフィックは、VRFを介してレイヤー3の残りのネットワークから分離されます。各ディストリビューションスイッチとメインコアの間には、異なるゲストネットワークVLAN、vlan 8xxがあります。アクセスレイヤスイッチはCisco 2960Sで、コア/ディストリビューションスイッチは4507です。 dhcpサーバーはメインコアに接続します。 VLAN 10でdhcpスヌーピングを有効にし、トランクインターフェイスを信頼できるインターフェイスとして設定する必要があることはわかっていますが、混乱しているのは、vrfに渡されるディストリビューションレイヤーです。VRFゲストVLAN（8xx）でもスヌーピングを有効にする必要がありますか？

7 cisco  security  dhcp  vrf  dhcp-snooping 

リモートDCの単一のCisco IOSデバイスで、OOB接続がラックに配信されています（Cat5eの長さは別のオンサイトプロバイダーラックから自分のラックにあり、建物から出入りするさまざまなルートがあります）。インターネットへのL3接続、/ 29が配信されます。 TelnetまたはSSHを介したVTYアクセスは、通常、アクセスリストによってオンネットデバイスに制限され、IPはネットワーク/ ASに対してローカルです。このリモートルータは、コアネットワークに戻る長距離イーサネット回線を備えたPoPにあります。OOB接続は、緊急時にオフネットデバイス（リンク切れ、IGPの停止など）によって使用され、接続は世界中のIPまたは自律システムから送信される可能性があります。 デバイスがOOB接続プロバイダーからのパブリックIPで構成されたOOBインターフェイスを使用して以下のように構成されていると理論付けた場合、 Interface Fa0/2 Descriptioc OOB Connection ip address 5.5.5.1 255.255.255.248 ! line vty 0 4 access-class 10 ! access-list 10 remark ACL-ON-NET-MANAGEMENT-IPS access-list 10 permit 10.0.0.0 0.0.0.255 私の質問は本当に重要な2つです。 デバイスでL3メルトダウンが発生し、IGPが崩壊または類似しているためにトラフィックをPoPからルーティングできないシナリオを処理するにはどうすればよいですか。ルーティングテーブルが空になり、ローカルに接続されたルートのみが含まれるようになりました。休暇中にホテルのWi-fiからOOB IPに接続した場合、IGPが崩壊してデバイスがピアを失った場合、トラフィックはリモートIPに戻るルートを持ちません。 OOBインターフェイスFa0 / 2をVRFに配置し、割り当てられた/ 29内のOOBプロバイダーゲートウェイアドレスを介して静的0/0ルートを追加できます。vtyステートメントを次のように変更できます。 access-class 10 in vrf-also VRFインターフェイスからの管理アクセスを許可しますが、これは私のACLと競合します。ACLに0/0を追加して、ACLを持つポイントを削除する必要があります。ACLをそのまま維持できますが、OOBインターフェイスに接続するときに、どのIPも接続できるようにできますか？ おそらく、ルートマップを使用して、OOBインターフェイスから入ってくるトラフィックをそのゲートウェイ経由でルーティングする方法を教えてください。または、VRFを使用せず、メトリック254のデフォルトテーブルに0.0.0.0/0ルートを追加し、OOBインターフェイスにそのインターフェイスのIPからのTCP 22からのトラフィックのみを許可するアウトバウンドACLを追加します（したがって、SSH管理トラフィック）。そうすれば、管理トラフィックのみが許可されますか？ここにアイデアがあるので迷っています。

7 cisco  router  acl  oob  vrf