The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
ip policy routing, !*! telsek, 26-Июн-08, 15:19  [смотреть все]
Уважаемые гуру, подскажите как сделать так

                                     Интернет  
               Интернет                |    
                   |                firewall2 (1.1.1.2)
                   |                /
                firewall1(1.1.1.1) /
                   |              /
                   |-------------/
                   |            
               Router Cisco 2600
                 /       \
                /         \
              LAN1        LAN2

чтобы пакеты из сети LAN1 уходили через firewall1, а пакеты из сети LAN2 через firewall2
Заранее спасибо.

Ответить | Сообщить модератору
  • ip policy routing, !*! CrAzOiD, 15:24 , 26-Июн-08 (1)
    >[оверквотинг удален]
    >            
    >    /      
    >  \
    >            
    >  LAN1        LAN2
    >
    >
    >чтобы пакеты из сети LAN1 уходили через firewall1, а пакеты из сети
    >LAN2 через firewall2
    >Заранее спасибо.

    route-map Map1 permit 10
    match ip address ACL1
    set ip next-hop xxx.xxx.xxx.xxx

    это для недефолтного маршрута

    если оба маршрута недефолтных, тогда второй route-map рисуешь аналогично

    Ответить | Сообщить модератору
    • ip policy routing, !*! telsek, 15:50 , 26-Июн-08 (2)
      Не сосвем понял....

      200.0.1.1 - дефолт gw ISP1
      200.0.1.65 - gw ISP2

      Вот я добавил

      route-map mymap permit 10
      match ip address 10
      set ip next-hop 200.0.1.65

      access-list 10 permit 172.30.24.0 0.0.0.255
      access-list 10 deny   any

      172.30.24.0 - это та подсеть которая должна выходить в инет через gw2 (200.0.1.65)

      А на какой интерфейс вешать mymap?

      ip policy route-map mymap


      Привожу полный конфиг.

      version 12.4
      no service pad
      service timestamps debug datetime msec
      service timestamps log datetime msec
      service password-encryption
      !
      hostname R1-Ij1
      !
      boot-start-marker
      boot-end-marker
      !
      logging buffered 4096 informational
      no logging console
      enable secret 5 xxxxxxxxxxxxxxxxxx
      !
      no aaa new-model
      no network-clock-participate slot 1
      no network-clock-participate wic 0
      ip wccp web-cache
      no ip cef
      !
      !
      ip dhcp relay information option
      !
      !
      ip flow-cache timeout active 1
      no ip domain lookup
      ip name-server 172.30.30.1
      ip name-server 200.0.1.1
      !
      !
      !
      !
      !
      !
      !
      !
      !
      !
      !
      !
      !
      !
      username xxxx privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxx
      !
      !
      !
      !
      !
      !
      !
      interface FastEthernet0/0
      no ip address
      speed 100
      full-duplex
      !
      interface FastEthernet0/0.1
      description VLAN1 - management VLAN
      encapsulation dot1Q 1 native
      ip address 172.30.31.254 255.255.255.0
      no ip redirects
      !
      interface FastEthernet0/0.2
      description VLAN2 - test1
      encapsulation dot1Q 2
      ip address 172.30.24.254 255.255.255.0
      ip helper-address 172.30.30.1
      no ip redirects
      !
      interface FastEthernet0/0.3
      description VLAN3 - test2
      encapsulation dot1Q 3
      ip address 172.30.25.254 255.255.255.0
      ip helper-address 172.30.30.1
      !
      !
      interface FastEthernet0/0.17
      description description VLAN17- test3
      encapsulation dot1Q 17
      ip address 172.30.30.254 255.255.255.0
      !
      interface FastEthernet0/1
      description INTERNET
      ip address 200.0.1.79 255.255.240.0
      no ip redirects
      ip wccp web-cache redirect out
      ip route-cache flow
      duplex auto
      speed auto
      !
      ip route 0.0.0.0 0.0.0.0 200.0.1.1
      !
      !
      no ip http server
      ip http secure-server
      !
      !
      logging trap notifications
      logging 172.30.30.3
      access-list 10 permit 172.30.24.0 0.0.0.255
      access-list 10 deny   any
      snmp-server community public RO 1
      snmp-server ifindex persist
      !
      route-map mymap permit 10
      match ip address 10
      set ip next-hop 200.0.1.65
      !
      !
      !
      control-plane
      !
      !
      !
      !
      !
      !
      !
      !
      !
      !
      line con 0
      line aux 0
      line vty 0 4
      !
      !
      end

      Ответить | Сообщить модератору
      • ip policy routing, !*! sn, 16:03 , 26-Июн-08 (3)
        >Привожу полный конфиг.

        ...
        >!
        >interface FastEthernet0/0.2
        > description VLAN2 - test1
        > encapsulation dot1Q 2
        > ip address 172.30.24.254 255.255.255.0

        ip policy route-map mymap

        > ip helper-address 172.30.30.1
        > no ip redirects

        ...
        >route-map mymap permit 10
        > match ip address 10
        > set ip next-hop 200.0.1.65

        ....
        >end

        Вполне возможно, что match ip address 10 и 10 акцеслист не нужны в вашем случае

        Ответить | Сообщить модератору
        • ip policy routing, !*! SergTel, 22:29 , 26-Июн-08 (4)
          >[оверквотинг удален]
          >...
          >>route-map mymap permit 10
          >> match ip address 10
          >> set ip next-hop 200.0.1.65
          >
          >....
          >>end
          >
          >Вполне возможно, что match ip address 10 и 10 акцеслист не нужны
          >в вашем случае

          не тут просто set next-hop
          ACL И match не нужны

          Ответить | Сообщить модератору
          • ip policy routing, !*! telsek, 12:22 , 27-Июн-08 (5)
            >[оверквотинг удален]
            >>> set ip next-hop 200.0.1.65
            >>
            >>....
            >>>end
            >>
            >>Вполне возможно, что match ip address 10 и 10 акцеслист не нужны
            >>в вашем случае
            >
            >не тут просто set next-hop
            >ACL И match не нужны

            Ага, в моем случае было достаточно:

            interface FastEthernet0/0.2
            description VLAN2 - test1
            encapsulation dot1Q 2
            ip address 172.30.24.254 255.255.255.0
            ip helper-address 172.30.30.1
            no ip redirects
            ip policy route-map mymap

            route-map testmap permit 10
            set ip default next-hop 200.0.1.65


            Всем огромное спасибо!!!!!!!

            Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру