Vrf and ASA5525

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
clark
n00b
Messaggi: 16
Iscritto il: gio 25 mar , 2010 9:32 am

Hi all,
attached you can find the scenario for which I need your help.
On Catalyst 4500 I have two vlans, for my two office network services. For each vlan I created a VRF Lite routing. Then I have other two vlans to interface with firewall.
My Issue is that I can't ping Access Box 172.28.2.1 from PC 172.27.1.109.
All the traffic has to pass throw the firewall, but it seems that it's not so, since if I perform a tracert from the PC 172.27.1.109 it stops at 172.27.1.1, that is its gateway, and not at firewall interface 172.105.1.4 as I would like to be.

Following are the configuration of the 4510 Core Switch:

ip vrf BN_A
description "vrf backbone A"
!
interface GigabitEthernet2/7
description --- Link to ASA_BN_A ---
switchport trunk allowed vlan 104
switchport mode trunk
spanning-tree portfast trunk
!
interface GigabitEthernet2/46
description --- Link to ASA COM ---
switchport trunk allowed vlan 105
switchport mode trunk
spanning-tree portfast trunk
!
interface GigabitEthernet3/9
description -- Link to Switch 172.27.65.1 ---
switchport trunk allowed vlan 10
switchport mode trunk
!
interface Vlan10
description --- NET_A ---
ip vrf forwarding BN_A
ip address 172.27.65.254
!
interface Vlan100
description --- VLAN Management ---
ip vrf forwarding omega
ip address 172.27.1.1 255.255.255.0
!
interface Vlan105
description --- VLAN Management to FW ---
ip vrf forwarding omega
ip address 172.105.1.2 255.255.255.0
!
ip route vrf BN_A 0.0.0.0 0.0.0.0 172.104.1.4
ip route vrf BN_A 172.28.2.0 255.255.255.0 172.27.65.2
ip route vrf omega 172.18.0.0 255.255.255.0 172.105.1.4
ip route vrf omega 172.20.0.0 255.255.255.0 172.105.1.4
ip route vrf omega 172.26.0.0 255.255.255.0 172.105.1.4
ip route vrf omega 172.27.65.0 255.255.255.0 172.105.1.4
ip route vrf omega 172.28.2.0 255.255.255.0 172.105.1.4

I hope you will help me.
Tell me if you need something else to study the case.
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
clark
n00b
Messaggi: 16
Iscritto il: gio 25 mar , 2010 9:32 am

Ciao a tutti,
in allegato (il file dello scenario si trova come allegato del post precedente; questa è solo una traduzione del precedente) potete trovare lo scenario per il quale ho bisogno del vostro aiuto.
Sul Catalyst 4500 ho due VLAN, per le mie due di reti di ufficio. Per ogni VLAN ho creato un routing VRF Lite.
Vi sono poi altre due VLAN per l'interfaccia con un firewall ASA.
Il mio problema è che non riesco ad effettuare un ping verso un Access Box con IP 172.28.2.1 dal PC 172.27.1.109.
Tutto il traffico deve passare attraverso il firewall, ma sembra che non sia così, poiché se effettuo un tracert dal PC 172.27.1.109 questo si ferma a 172.27.1.1, e non sulla interfaccia 172.105.1.4 del firewall, come dovrebbe essere. Credo che ci sia qualche problema nella configurazione del VRF Lite ma non capisco cosa.
Di seguito la configurazione del 4510. Se avete bisogno di altre configurazioni fatemi sapere.
Spero mi sappiate aiutare.
Grazie in anticipo.

ip vrf BN_A
description "vrf backbone A"
!
interface GigabitEthernet2/7
description --- Link to ASA_BN_A ---
switchport trunk allowed vlan 104
switchport mode trunk
spanning-tree portfast trunk
!
interface GigabitEthernet2/46
description --- Link to ASA COM ---
switchport trunk allowed vlan 105
switchport mode trunk
spanning-tree portfast trunk
!
interface GigabitEthernet3/9
description -- Link to Switch 172.27.65.1 ---
switchport trunk allowed vlan 10
switchport mode trunk
!
interface Vlan10
description --- NET_A ---
ip vrf forwarding BN_A
ip address 172.27.65.254
!
interface Vlan100
description --- VLAN Management ---
ip vrf forwarding omega
ip address 172.27.1.1 255.255.255.0
!
interface Vlan105
description --- VLAN Management to FW ---
ip vrf forwarding omega
ip address 172.105.1.2 255.255.255.0
!
ip route vrf BN_A 0.0.0.0 0.0.0.0 172.104.1.4
ip route vrf BN_A 172.28.2.0 255.255.255.0 172.27.65.2
ip route vrf omega 172.18.0.0 255.255.255.0 172.105.1.4
ip route vrf omega 172.20.0.0 255.255.255.0 172.105.1.4
ip route vrf omega 172.26.0.0 255.255.255.0 172.105.1.4
ip route vrf omega 172.27.65.0 255.255.255.0 172.105.1.4
ip route vrf omega 172.28.2.0 255.255.255.0 172.105.1.4
Avatar utente
perteghella
Cisco enlightened user
Messaggi: 135
Iscritto il: mar 20 mar , 2007 10:54 am
Località: Reggio Emilia
Contatta:

Lo schema che hai postato e la configurazione non sono allineati
Controlla la vrf Omega e ip in vlan 105, fai anche uno show ip route vrf
Giovanni Perteghella
CCAI e CCSI#32156 Trainer (R&S, DataCenter, Collaboration, Wireless) - VCI VMware Trainer
Rispondi