+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Подключен VRF, утечка маршрутов.

Подключен VRF, утечка маршрутов., RouterOS

simaskkk

Guest

26.02.2013 16:13:00

Привет, я могу пинговать локальные интерфейсы, которые назначены разным VRF'ам на роутере Mikrotik (RB750 6.00rc11). Это проблема для меня, потому что IP-адрес, который представляет локальный интерфейс в одном VRF, представляет собой другой хост в другом VRF, однако он всегда маршрутизируется к локальному интерфейсу, независимо от того, что я делаю. Это "фишка задуманная" или баг?

hzdrus

Guest

08.12.2014 17:53:00

Я тоже наткнулся на эту проблему. Трафик всегда идёт на локально назначенному адресу, даже если он находится в другой таблице маршрутизации/VRF. Это серьёзная проблема, так как возникают сложности, когда у вас есть VRF с перекрывающимися IP-адресами. По сути, это делает функциональность MPLS L3VPN на Mikrotik практически бесполезной. Нашёл такое объяснение на русском языке, которое подробно описывает проблему: http://net-labs.in/2014/07/19/vrf-l3vpn-в-mikrotik-routeros-defective-by-design/. Буду рад любым предложениям/советам. Подтверждено на RouterOS 6.23, 6.19 и 5.22.

Mendesvel Guest	#3 0 09.07.2015 14:24:00 Эта проблема решена? У нас всё ещё наблюдается утечка между VRF-ами при работе с L3VPN. Тестировали на CCR1036-8G-2S+: RouterOS v6.30 (fw:3.24), RouterOS v6.27 (fw:3.22). Пожалуйста, дайте обратную связь!

resetsa Guest	#4 0 10.07.2015 06:23:00 Смотри предыдущее сообщение. Эта проблема намеренная, mk пообещал исправить проблему дизайна в 7.x. Жду…

Mendesvel

Guest

10.07.2015 09:50:00

Спасибо, @resetsa. Я действительно хотел увидеть, чтобы член сообщества Mikrotik подтвердил это. Итак, все продукты Mikrotik RouterOS, включая новейший CCR1072-1G-8+, страдают от этой "проблемы по замыслу", хорошо задокументированной в том конкретном посте на русском. Там написано: "правило PBR 0 (0: from all lookup local) в старых версиях ядра Linux (<2.6.33) нельзя удалить, что ограничивает возможность реализации VRF-ов на основе таблиц маршрутизации Linux, как это делается у Cisco, Juniper и т.д." Получается, если у меня среда production и нужен роутер, который умеет VRF на базе L3VPN MPLS (плотность делать VPLS не нужна), то можно сразу забыть про продукты Mikrotik? Это верно? Есть ли кто-нибудь из участников Mikrotik Forum, кто хотел бы прокомментировать это?

mrz Guest	#6 0 10.07.2015 10:43:00 RouterOS v7 получит полностью изолированные VRF, к сожалению, внести эти изменения в ROS v6 мы не можем.

nz_monkey

Guest

10.07.2015 11:53:00

Вы все еще можете использовать VRF-based L3VPN в RouterOS v6. Ограничение в том, что нельзя иметь интерфейсы с перекрывающимися диапазонами на одном роутере. То есть, 192.168.0.0/24 может существовать в нескольких L3VPN, но не может существовать на нескольких интерфейсах на одном роутере, сохраняя при этом изоляцию.

StubArea51

Guest

11.07.2015 00:07:00

Ну и если подружишься с 100.64.0.0/12 для транзита и лупбэков, то все проблемы с перекрытиями RFC1918 исчезнут. Однако, с точки зрения безопасности, неплохо бы обеспечить полную изоляцию, особенно учитывая, сколько в этом году пишут о Cisco в связи с недавней уязвимостью VRF DDoS в большинстве версий IOS. Это не совсем одно и то же, но это подчеркивает необходимость повышенного внимания к безопасности и тестированию при разработке кода для VRF. Проблема Cisco VRF здесь: http://www.securityweek.com/cisco-fixes-dos-vulnerabilities-ios-software

nz_monkey Guest	#9 0 12.07.2015 00:45:00 Отличная идея, я никогда об этом не думал, мы всегда просто использовали публичные IP-адреса из нашего распределения APNIC для loopbacks и link nets, поэтому проблем никогда не возникало.

StubArea51

Guest

#10

12.07.2015 14:05:00

Спасибо! С тех пор как я начал использовать CGN пространство в качестве альтернативы частным IP-адресам, я заметил это и в некоторых более крупных сетях. Передачи Level3 MPLS используют 100.64.x.x/30. Однако при работе с Verizon для их MPLS-соединений, они повторно используют публичные IP-адреса из своего ARIN-диапазона внутри VRF клиента. Я думаю, что любой из этих подходов вполне валиден, я просто склоняюсь к CGN при проектировании MPLS-сети для провайдера, потому что она так хорошо масштабируется.

Mendesvel Guest	#11 0 13.07.2015 14:46:00 Спасибо за отзыв, @mrz. Планируется ли какая-нибудь бета-тестирование? Можно ли подать заявку на участие? Спасибо.

normis Guest	#12 0 14.07.2015 09:32:00 Пока нет, но v7beta выйдет позже в этом году.

Mendesvel

Guest

#13

14.07.2015 14:54:00

Спасибо, Normis, за обратную связь. Mikrotik, возможно, разрабатывает программу бета-тестирования для клиентов, готовых проверить v7. У нас много устройств, особенно CCR, и мы хотели бы как можно скорее протестировать полный набор функций L3VPN MPLS. Еще раз спасибо.

StubArea51 Guest	#14 0 14.07.2015 20:17:00 Нам бы тоже хотелось поучаствовать в альфа/бета-программе v7. У нас большая лаборатория Mikrotik с множеством разных CCR, роутеров/access points.

nz_monkey

Guest

#15

15.07.2015 22:15:00

Нас интересует тестирование бета-версий v7, мы готовы подписать любое необходимое NDA и предоставить Mikrotik удаленный доступ к тестовым устройствам. У нас также есть довольно большая тестовая лаборатория с CCR1036, CCR1016, CCR1009, RB1200, RB1100AHx2, ASR1002, SRX240. Можем помочь в тестировании: BGP/OSPF/RIP VRF MPLS L3VPN L2VPN IPv6 любых изменений/добавлений атрибутов RADIUS.

Vitis Guest	#16 0 13.02.2018 10:06:00 Привет, Нормис! Мы уже давно ждем решения этой проблемы. Ты обещал выпустить первую бета-версию микротик v7 два года назад. Когда можно ожидать полной функциональности VRF в микротике? Спасибо за ответ. Vitis

JimmyNyholm Guest	#17 0 18.02.2018 12:58:00 Мы уже приехали?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры