泄漏多个VRF的默认路由，同时保持VRF彼此隔离

Question

我正在一个基于CiscoNexus3k的平台上进行配置，并试图将不同的内容隔离到不同的VRF中，这些VRF不应该相互交谈。

其中一些VRF具有RFC1918地址，但需要能够到达internet，因此我们设置了一个名为nat的VRF，其中NAT网关发布了默认路由广告。我们需要这些网关，因为这种特殊的Nexus模型不支持NAT本身。

它设置BGP以泄漏从vrf nat到vrf blue的默认路由。相反，当然，因为返回数据包需要能够到达vrf blue中的主机。效果很好。

现在我想为vrf red做同样的事情，但是如果我将0.0.0.0/0从vrf nat泄漏到vrf red，vrf red中的主机将能够通过默认路由通过vrf nat路由到vrf blue中的主机。反之亦然。

我看到的关于多个具有共同共享vrf的vrf的示例，通过过滤正在重新分发/宣布的前缀，在红色和蓝色之间保持隔离。这对我没有帮助，因为我想向vrf red和vrf blue宣布整个D12和D13。

是否有好的方法来做到这一点，或者我是否需要放弃共享NAT vrf的概念，并在所有的NAT vrf中提供NAT网关接口？

Answer 1

原来，这是可能的:)

首先，我们很难将默认路由从OSPF重新分配到用于路由泄漏工作的BGP实例。因此，我最终在(router bgp 65000 > vrf nat > address-family ipv4 unicast)中做了一个“just”。

但是，当我设法将默认路由从OSPF重新分发到vrf时，vrf blue和vrf red的路由表的结果看起来与静态方法相同，但行为不同。在这种情况下，交换机足够聪明，不会实际将数据包从vrf red转发到vrf blue，反之亦然，尽管路由表建议这样做。

Answer 2

在流量到达防火墙或类似的设备之前，您必须将VRF保持独立。这可能意味着每个VRF都有单独的NAT设备。