The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Как при помощи route-map отфильтровать GRE траффик?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Как при помощи route-map отфильтровать GRE траффик?"  
Сообщение от sergjack email(??) on 06-Фев-07, 14:59 
Есть два маршрутизатора А и Б
Каждый присоединен к интернет двумя интерфейсами. Между собой маршрутизаторы связаны парой туннелей.

Маршрутизатор А

int fa0/1.102
ip add 1.2.3.4 255.255.255.252


int fa0/1.103
ip add 2.3.4.5 255.255.255.252

int tun0
ip add 172.16.0.1 255.255.255.0
tun source fa0/1.102
tun dest 3.4.5.6

int tun1
ip add 172.16.1.1 255.255.255.0
tun source fa0/1.103
tun dest 4.5.6.7

ip route 0.0.0.0 0.0.0.0 1.2.3.3


Маршрутизатор Б

int fa0/1.102
ip add 3.4.5.6 255.255.255.252


int fa0/1.103
ip add 4.5.6.7 255.255.255.252

int tun0
ip add 172.16.0.1 255.255.255.0
tun source fa0/1.102
tun dest 1.2.3.4

int tun1
ip add 172.16.1.1 255.255.255.0
tun source fa0/1.103
tun dest 2.3.4.5

ip route 0.0.0.0 0.0.0.0 3.4.5.6

Соответственно по одному дефолтному маршруту.

Необходимо, чтобы tun1 взаимодействовал именно по второму провайдеру.
Вариант с прописыванием статических маршрутов не подходит.
Есть свои мысли по поводу policy routing, но не хочу пока озвучивать, чтобы не сбивать с толку, хочу услышать свежих мыслей.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Как при помощи route-map отфильтровать GRE траффик?"  
Сообщение от fantom (??) on 06-Фев-07, 20:56 
А чем статика неподходит?
ip route 2.3.4.5 255.255.255.255 <IPвторого прова>
Ну или роут-мап.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Как при помощи route-map отфильтровать GRE траффик?"  
Сообщение от sergjack email(??) on 06-Фев-07, 22:38 
>А чем статика неподходит?
>ip route 2.3.4.5 255.255.255.255 <IPвторого прова>
>Ну или роут-мап.

Статика не подходит тем, что в реальности все чуть посложнее.
Используется DMVPN и таких удаленных маршрутизаторов за 30 штук
Плюс у удаленных маршрутизаторов достаточно часто меняются IP адреса, так что статика - не решение.

Вот я и бьюсь над роут-мапой, которая если пакет имеет source адрес одного провайдера, то отправлять пакет на next-hop одного, если другого - то на next-hop другого.
Роут мапу я прикрутил как ip local policy route-map, и создается впечатление, что все работает (трейс правильно ходит, туннели поднимаются), до тех пор, пока не падает один из провайдеров.
Просто то ли пакеты не подпадают под local policy, то ли при формировании GRE пакета ему уже надо обязательно знать на какой next-hop его надо отправить.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Как при помощи route-map отфильтровать GRE траффик?"  
Сообщение от fantom (??) on 07-Фев-07, 11:41 
А если падает один из провайдеров, отваливается ВСЕ или только линк, через него ходящий?

Кроме того, обратные маршруты совпадают или нет? если пакет ушел на провайдера 1 есть ли уверенность что ответ придет тоже через провайдера 1 а не провайдера 2????

Что показывают трейсы с другой стороны туннеля?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Как при помощи route-map отфильтровать GRE траффик?"  
Сообщение от sergjack email(??) on 07-Фев-07, 12:10 
>А если падает один из провайдеров, отваливается ВСЕ или только линк, через
>него ходящий?
>
>Кроме того, обратные маршруты совпадают или нет? если пакет ушел на провайдера
>1 есть ли уверенность что ответ придет тоже через провайдера 1
>а не провайдера 2????
>
>Что показывают трейсы с другой стороны туннеля?


Если роут-мапы прикручены с обеих сторон - то все работает правильно.
Трэйсы с указанием соответствующенго source интерфейса идут правильно.
На сам маршрутизатор можно попасть по внешнему IP через любого из провайдеров, даже если вообще убрать ip route 0.0.0.0 0.0.0.0

А вот с GRE что-то не так. Толи они не подпадают под локальную политику или в момент формирования пакета маршрутизатору уже нужно знать, куда пакет отправить.

Вот мой вариант:

ip local policy route-map isp

route-map isp permit 10
match ip address bcl
set interface GigabitEthernet0/1.20
set ip next-hop 1.2.3.4

!
route-map isp permit 20
match ip address smart
set interface GigabitEthernet0/1
set ip next-hop 2.3.4.5

ip access-list extended bcl
permit ip 1.2.3.2 0.0.0.3 any

ip access-list extended smart
permit ip 2.3.4.4 0.0.0.3 any

При этом циска доступна извне (могу попасть телнетом) и по адресу 1.2.3.4 и по адресу 2.3.4.5 даже при отстутствии DG или одного из провайдеров.
Кроме того, устанавливаются IPSEC и ISAKMP туннели, а вот траффик внутри туннелей не идет.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру