Come si traccia una rete che passa piu VRF ?

[kobaiachi]

premesso che non ho documentazione di rete con un piano di indirizzamento.

ogni tanto mi capita di dover tracciare delle subnet quando la rete è tutta interna ad un VRF mi va bene e uso "show ip route VRF o traceroute VRF", a volte pero capita che la rete da un VRF che magari è definita con un nome nello strato di core viene annunciata nello strato di distribuzione con un altro nome VRF quando mi capita questo non so che fare .
A quanto ho capito dovrei tracciare l'interfaccia su cui atterro quando arrivo su quel router e vedere che VRF sono definite su quell interfaccia però non so se ho inteso bene, e sopratutto quali comandi devo usare ?

Un grazie di cuore a chi vorrà rispondermi .

Un Saluto

Koba

[kobaiachi]

accidenti 21 letture e manco una risposta .....

dai ragazzi Please un aiutino


Mi trovo a dover deingegnerizzare una rete con con 50-100 VPN MPLS non c'e uno schema di rete ne alcuna documentazione sulle configurazioni delle macchine, ogni tabella di routing dei VRF sono pagine e pagine tra rotte che possono andare dalle E2 di OSPF a ISIS a BGP .
me trovo pop infrastrutturali dove si fa nat su sorgente e destinazione per fare comunicarel le reti delle VRF in Overlapping il tutto in ambiente multivendor dove dai un cisco passi a uno juniper o ad un eterasys per poi finire magari su qualche firewall ceck-point, Netscreen, fortigate o cisco.

me sta venendo voglia di dissezzionarla sta rete pezzo dopo pezzo ma è un casino .........
qualsiasi consiglio e aiuto e bene accetto e MOOOOLTO GRADITO .

[Rizio]

Purtroppo le leggiamo tutti perchè siamo curiosi di una risposta
La struttura di cui parli non è comune e di conseguenza anche le persone che ci hanno già messo le mani e ti possono aiutare concretamente non sono tante.

Venendo ai suggerimenti da ignorante, io personalmente al posto tuo proverei a cercare dei software (tipo Openview o altri simili) per eseguire la ricorstruzione mappale della rete. Non credo ci sarà nulla di gratuito però magari il costo in questo caso vale la candela.

Nel vagabondare per esempio avevo trovato una distribuzione linux (limitata nella versione free e completa pagando) che faceva analisi proattiva della sicurezza della rete, magari ha anche altri strumenti che potrebbero aiutarti nella "ricostruzione" di ogni singolo VRF. La distribuzione si chiamava Alienvault.

Purtroppo non mi viene in mente altro per ora, in caso non mancherò di postarti quello che mi passa per la testa.

Ciao
Rizio

[kobaiachi]

Rizio Grazie della risposta, purtroppo non posso installare macchine in rete.
io qui faccio solo firewall ma per riuscire a fare il mio lavoro devo capire su quali firewall abilitare le regole e quindi spesso devo tracciarle ma è un casino.

[kobaiachi]

Un utile comando che ho trovato alla fine è show ip bgp vpnv4 . nel caso in cui si conosce la vrf nativa bisogna solo indicare il rd ed il comando diventa show ip bgp vpnv4 rd 10:1 inidirizzo ip .

nel caso non si conosca la vrf nativa al posto di rd va messo il parametro all .

dall output si puo risalire al/ai route reflector che la annunciano ed ai relativi PE che annunciano la rotta nelle relative VRF a seconda poi dell output si vanno a verificare i diversi PE ed i relativi FW .

tutto questo vale solo nel caso in cui la rete sia basata su MP-IBGP se invece la rete avesse avuto una configurazione dove ogni pop annunciava le reti verso gli altri pop mediante l'uso di MP-EBGP e delle confederazioni BGP allora il comando sopra elencato diventa inutile perche non restituisce il PE di origine ma solo il route reflector interno al POP stesso .

Un anno per capire questo ..........

[Rizio]

Un utile comando che ho trovato alla fine è show ip bgp vpnv4 . nel caso in cui si conosce la vrf nativa bisogna solo indicare il rd ed il comando diventa show ip bgp vpnv4 rd 10:1 inidirizzo ip

[...cut...]

Un anno per capire questo ..........

Beh, almeno ci sei arrivato in fondo dai. Speriamo che sia utile anche ad altri.

Rizio