vrf-lite, need info - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 18-06-2008 à 12:05:33
une VRF c'est une instance virtuelle de routage, en gros un routeur virtuel.
Tu mets les interface vlans que tu veux dedans, ex :
VRF 1 : interface vlan 10 et 11
VRF 2 : interface vlan 20 et 21
ben tu as un routeur avec deux interfaces vlans (10/11) et un autre routeur avec les interfaces vlans 20 et 21 dans le même châssis physique.
Marsh Posté le 18-06-2008 à 21:53:15
Ouai j'avais compris cette partie la, c'est pas trop dur.
Par contre ce que je souhaitais savoir c'est si il y avait moyen de faire communiquer des VRF entre elles.
Ex: une VRF pour un accès guest (vlan a) qui ne donne accès qu'a l'internet (le port d'interco avec le routeur fai dans le vlan b)
Une vrf pour le restant de mes vlans (voix, data etc d e f g h etc)
La question que je me pose c'est comment je peux rendre cet accès internet dispo pour ma 2eme vrf sachant que je l'ai deja utilisé dans la 1ere. Il faut bien que mes vrf puissent communiquer ou alors que je mette le vlan b aussi dans la 2eme vrf (mais alors quand le routeur recoit des trames de l'accès internet comment peut-il savoir quelle vrf il doit utiliser..?)
Je trouve le concept plutot puissant et bien mieux que les acl a 3 balles, surtout que ca permet le recouvrement de plan d'adressage sur un meme LAN ce qui ma foi est assez fort.
Question subsidiaire, a part cisco y'en a d'autres qui font dans le meme style ou pour le moment ce sont les seuls?
Marsh Posté le 18-06-2008 à 22:52:59
non, tout le monde fait de la VRF (juniper entre autres).
Par contre pour faire communiquer des VRF entre elles, t'es obligé de bridger par un device externe deux vlans et de changer les mac address sur les interface vlans.
Marsh Posté le 19-06-2008 à 22:01:06
Si je comprends bien il faut que je crée sur un equipement L2 un bridge group avec 2 interfaces physiques (une dans chaque vlan) ?
Quand tu dis que je dois changer les mac adress il s'agit desquelles? Et question con, ya des commandes pour changer manuellement les mac sur un switch..? C'est pas que ca soit dur mais ca m'étonne que ce soit possible
Merci pour les infos en tout cas
Marsh Posté le 20-06-2008 à 11:01:30
oui on peut changer les mac address des ports et des niterfaces vlans sur les switchs cisco
Marsh Posté le 23-06-2008 à 13:53:11
dreamer18 a écrit : non, tout le monde fait de la VRF (juniper entre autres). |
Il existe d'autres techniques qui permettent d'introduire un ou des points de routage inter-VRF.
1) en créant une VRF supplémentaire et en tirant des tunnels GRE depuis toutes les VRF vers cette nouvelle VRF (pour transporter les routes que tu veux injecter dans cette nouvelle VRF),
2) en utilisant la technique de "Route leaking" avec iBGP (l'intérêt c'est que t'as pas besoin de neighbors BGP, tout se passe localement sur le même routeur).
Mais qui dit routage inter-VRF dit filtrage pour la sécu... Et là les choses se corsent si tu veux introduire de la redondance en terme de routage et de filtrage inter-VRF. Notamment, l'utilisation de boîtes style Cisco ASA configurées en "stateful failover" imposent de déployer du routage assymétrique, ça doit donc être maquetté de façon décente :-)
Steph
Marsh Posté le 23-06-2008 à 17:20:39
yep, j'ai préféré ne pas rentrer dans la seconde solution
Marsh Posté le 18-06-2008 à 11:51:30
Le sujet m'interesse mais j'ai du mal a trouver une bonne doc
Je cherche un truc avec un exemple concret (subnets vlan etc) qui explique comment ca fonctionne. Sur le papier ca m'a l'air bien sympa mais j'aimerai me faire une idée plus précise. Je précises bien qu'il s'agit de vrf lite, la vrf pure mpls c'est pas ce que je cherche.
Merci d'avance