Je pense que vous êtes nombreux à être surpris de la quantité de type d’interfaces qui existent sur nos routeurs… Un “sh interfaces ?” retourne un peu moins d’une centaine de lignes! Parmi celles présentes sur les ASR1000 et les ISR4000 vous avez peut-être déjà vu “vasileft” et “vasiright”… Que sont ces interfaces? A quoi servent-elles?
Les interfaces VASI (comme VRF-Aware Software Infrastructure), disponibles depuis longtemps sur ASR1000, sont maintenant sur la gamme d’accès ISR4000 et permettent simplement de connecter entre elles des VRF tout en appliquant des services (firewall, NAT…) C’est très pratique pour segmenter un réseau tout en offrant simplement des services partagés.
Les interfaces vasileft X et vasiright X (X étant un identifiant de 1 à 1000) d’un routeur sont directement connectées entre elles, exactement comme si un câble était branché entre les 2. Inutile de refaire certaines atrocités que l’on a pu voir par le passé: on s’abstiendra de connecter des patchs entre 2 interfaces physiques d’un même équipement!
Rien de plus simple donc avec ces interfaces VASI de faire communiquer 2 VRF d’un même routeur: il suffit de placer la vasileft dans la première VRF et la vasiright dans la seconde. En configurant le routage qui va bien les 2 vont communiquer. Et bien sûr, vous n’aurez pas oublié de mettre en oeuvre les configurations nécessaires pour contrôler le trafic échangé sinon à quoi bon faire des VRF? 🙂
Généralement on a surtout ce type de besoins sur des plateformes d’agrégation. Mais j’ai récemment utilisé ces interfaces VASI pour un client qui avait sur chaque site un ISR 4000 avec une interface Internet dans une “frontdoor VRF” et un VLAN guest dans une VRF dédiée. Je devais faire communiquer les 2 tout en activant du NAT…
Voici les 2 interfaces qui devaient communiquer… Je vous épargne la définition des VRF.
interface GigabitEthernet0/0/0 vrf forwarding INTERNET ip address 1.1.1.1 255.255.255.252 ! interface GigabitEthernet0/0/1 vrf forwarding GUEST ip address 192.168.0.1 255.255.255.0
Impossible de faire du NAT ou d’activer le zone base firewall entre ces 2 interfaces qui sont dans des VRF différentes. Pour les faire communiquer j’ai tout simplement créé mon circuit virtuel (VASI) qui a “interconnecté” ces 2 VRF. J’ai placé la VASIleft dans la VRF GUEST et la VASIright dans la VRF INTERNET. Bien sûr pour les faire communiquer j’ai mis leurs IP dans le même subnet.
interface vasileft100 vrf forwarding GUEST ip address 192.168.1.1 255.255.255.252 ! interface vasiright100 vrf forwarding INTERNET ip address 192.168.1.2 255.255.255.252
Il m’a suffit de rajouter les routes dans chaque VRF pour rediriger le trafic sur nos interfaces VASI et permettre de faire communiquer les VRF.
ip route vrf GUEST 0.0.0.0 0.0.0.0 vasileft100 192.168.1.2 ip route vrf INTERNET 192.168.0.0 255.255.255.0 vasiright100 192.168.1.1
Dernière étape, rajouter le NAT dans la VRF INTERNET, entre les interfaces vasiright100 et Gi0/0/0 avec un overload simple sur l’IP de l’interface Internet.
interface vasiright100 ip nat inside ! interface GigabitEthernet0/0/0 ip nat outside ! ip access-list standard GUEST-PREFIX permit 192.168.0.0 0.0.0.255 ! ip nat inside source list GUEST-PREFIX interface GigabitEthernet0/0/0 vrf INTERNET overload
Le même principe peut être repris pour la mise en place du zone based firewall de l’IOS-XE. Pour ceux qui chercheraient encore les NVI sur ISR4000, oubliez et concentrez-vous sur les interfaces VASI!
2 Comments
Super article merci, trés clair !
…et comme je sais que tout ceux qui vont lire cet excellent article vont se poser la question , est-ce que VASI peut interconnecter des VRF dual-stack et activer le Zone-Based FireWall pour IPv6 ( on parle bien sur pas de NAT avec IPv6 ) …et bien la réponse est bien sur oui !!! ca marche aussi avec les protocoles modernes comme IPv6 et c est même documenter ici :
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_zbf/configuration/xe-16/sec-data-zbf-xe-16-book/sec-fw-ipv6-vasi.html