- IP local policy на cisco 2811,
 oleg.matroskin, 11:21 , 13-Дек-11 (1)>[оверквотинг удален]
> set ip next-hop y.y.y.y
> к нему acl
> ip access-list extended RostToOut
> permit ip host IP_Addr_f0/0/0.2 any
> применяем
> ip local policy route-map LOCAL
> И что интересно туннель поднимается, вроде все хорошо только данные не ходят
> Убираем local policy, вместо него прописываем статически конкретные маршруты на концы туннелей,
> туннель создается, данные по нему ходят. В чем собака порылась, как
> прописать роут-мапу чтобы все было хорошо и данные ходили?http://www.certification.ru/cgi-bin/forum.cgi?action=thread&...
- IP local policy на cisco 2811, Gromophon, 05:23 , 14-Дек-11 (2)
Спасибо за пример, случай похожий, но не совсем то, там по туннелю данные ходят при локал пбр, а у меня не ходят, даже если с туннеля снимаю шифрование, то есть при всем при том сам туннель создается, то есть локал пбр отрабатывает, после создания туннеля если добавить статически маршрут на внешний ип интерфейса удаленного роутера, то вуаля - все ходит, или вобще без локал пбр, но со статикой. Короче, то ходит, то не ходит, качаю более свежий иос, посмотрим, что там. Сейчас стоит C2800NM-ADVENTERPRISEK9_IVS-M, Version 15.0(1)M4.
В указанной ссылке решение похоже не найдено, кроме подозрения на баг в самом иосе, вот и у меня такие же мысли закрадываются>> И что интересно туннель поднимается, вроде все хорошо только данные не ходят
>> Убираем local policy, вместо него прописываем статически конкретные маршруты на концы туннелей,
>> туннель создается, данные по нему ходят. В чем собака порылась, как
>> прописать роут-мапу чтобы все было хорошо и данные ходили?
> http://www.certification.ru/cgi-bin/forum.cgi?action=thread&...
- IP local policy на cisco 2811, Gromophon, 05:28 , 14-Дек-11 (3)
>[оверквотинг удален]
> вуаля - все ходит, или вобще без локал пбр, но со
> статикой. Короче, то ходит, то не ходит, качаю более свежий иос,
> посмотрим, что там. Сейчас стоит C2800NM-ADVENTERPRISEK9_IVS-M, Version 15.0(1)M4.
> В указанной ссылке решение похоже не найдено, кроме подозрения на баг в
> самом иосе, вот и у меня такие же мысли закрадываются
>>> И что интересно туннель поднимается, вроде все хорошо только данные не ходят
>>> Убираем local policy, вместо него прописываем статически конкретные маршруты на концы туннелей,
>>> туннель создается, данные по нему ходят. В чем собака порылась, как
>>> прописать роут-мапу чтобы все было хорошо и данные ходили?
>> http://www.certification.ru/cgi-bin/forum.cgi?action=thread&... забыл добавить, туннель не гре, про который пишут, что известный баг цисок
tunnel mode ipsec ipv4
когда убирал шифрование выставлял
tunnel mode ipip все так же было туннель создается, но данные по нему не ходят
- IP local policy на cisco 2811, BJ, 15:51 , 20-Дек-11 (4)
"local policy" вообще в туннелями не работает. Ни с ipsec, ни с ipip и gre.
Это не баг, а закономерное свойство архитектуры.
- IP local policy на cisco 2811, Николай_kv, 19:57 , 20-Дек-11 (5)
> "local policy" вообще в туннелями не работает. Ни с ipsec, ни с
> ipip и gre.
> Это не баг, а закономерное свойство архитектуры.2 BJ +1 :) конструкция ip local policy применяеться к трафику который originated самой циской.
- IP local policy на cisco 2811, Gromophon, 02:41 , 21-Дек-11 (6)
>> "local policy" вообще в туннелями не работает. Ни с ipsec, ни с
>> ipip и gre.
>> Это не баг, а закономерное свойство архитектуры.
> 2 BJ +1 :)
> конструкция ip local policy применяеться к трафику который originated самой циской.ясно, тогда как разрешить такую задачу, с трафиком, который должен быть и туннелем, и генерится самой циской, кроме статики, vrf, или может есть что-то еще?
- IP local policy на cisco 2811, Gromophon, 02:46 , 21-Дек-11 (7)
>>> "local policy" вообще в туннелями не работает. Ни с ipsec, ни с
>>> ipip и gre.
>>> Это не баг, а закономерное свойство архитектуры.
>> 2 BJ +1 :)
>> конструкция ip local policy применяеться к трафику который originated самой циской.
> ясно, тогда как разрешить такую задачу, с трафиком, который должен быть и
> туннелем, и генерится самой циской, кроме статики, vrf, или может есть
> что-то еще?например, похожая ситуация, vpdn (L2TP, PPTP), который должен работать с двух внешних интерфейсов, с одного понятно как, а со второго, два дефолтных маршрута с одинаковыми метриками не работают, или в момент создания канала, должна автоматом появляться статика на удаленный хост, если так - то как это реализуется?
- IP local policy на cisco 2811, zxc, 04:48 , 21-Дек-11 (8)
> ясно, тогда как разрешить такую задачу, с трафиком, который должен быть и
> туннелем, и генерится самой циской, кроме статики, vrf, или может есть
> что-то еще?Для теннелей можно использовать tunnel route-via INTERFACE mandatory.
Для локальной cisco -- статика + sla. Но самое полноценное решение -- раскидать все подключения по VRF. Пример: !
ip vrf DSV
description DSV
!
ip vrf TTK
description TTK
!
!
interface Loopback11
description VRF TTK, OSPF
ip address 192.168.0.1 255.255.255.255
!
interface Loopback12
description VRF TTK, OSPF
ip address 192.168.0.2 255.255.255.255
!
interface Loopback21
description VRF DSV, OSPF
ip address 192.168.0.3 255.255.255.255
!
interface Loopback22
description VRF DSV, OSPF
ip address 192.168.0.4 255.255.255.255
!
interface Tunnel0
description DSV-DSV
ip address 10.0.0.42 255.255.255.252
ip mtu 1400
ip ospf cost 20
ip ospf 20 area 0
tunnel source Dialer0
tunnel destination xx.xx.xx.xx
tunnel key 10
tunnel vrf DSV
!
interface Tunnel1
description TTK-DSV
ip address 10.0.0.46 255.255.255.252
ip mtu 1400
ip ospf cost 10
ip ospf 20 area 0
tunnel source FastEthernet0/1.2
tunnel destination xx.xx.xx.xx
tunnel key 11
tunnel vrf TTK
!
interface Tunnel2
description DSV-RT
ip address 10.0.0.50 255.255.255.252
ip mtu 1400
ip ospf cost 40
ip ospf 20 area 0
tunnel source Dialer0
tunnel destination yy.yy.yy.yy
tunnel key 12
tunnel vrf DSV
!
interface Tunnel3
description TTK-RT
ip address 10.0.0.54 255.255.255.252
ip mtu 1400
ip ospf cost 30
ip ospf 20 area 0
tunnel source FastEthernet0/1.2
tunnel destination YY.YY.YY.YY
tunnel key 13
tunnel vrf TTK
!
interface Tunnel4
description WHS
ip address 10.6.0.1 255.255.255.252
ip mtu 1400
ip ospf cost 10
ip ospf 20 area 0
tunnel source Dialer0
tunnel destination сс.сс.сс.сс
tunnel route-via Dialer0 mandatory
tunnel vrf DSV
!
interface Tunnel11
description VRF TTK, OSPF
ip address 192.168.0.9 255.255.255.252
tunnel source Loopback11
tunnel destination 192.168.0.2
!
interface Tunnel12
description VRF TTK, OSPF
ip vrf forwarding TTK
ip address 192.168.0.10 255.255.255.252
ip nat inside
ip virtual-reassembly
tunnel source Loopback12
tunnel destination 192.168.0.1
!
interface Tunnel21
description VRF DSV, OSPF
ip address 192.168.0.13 255.255.255.252
tunnel source Loopback21
tunnel destination 192.168.0.4
!
interface Tunnel22
description VRF DSV, OSPF
ip vrf forwarding DSV
ip address 192.168.0.14 255.255.255.252
ip nat inside
ip virtual-reassembly
tunnel source Loopback22
tunnel destination 192.168.0.3
! !
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.1
encapsulation dot1Q 1 native
ip address 10.0.6.1 255.255.255.0
!
interface FastEthernet0/0.10
description LAN
encapsulation dot1Q 10
ip address 192.168.78.1 255.255.255.0
ip directed-broadcast
ip accounting output-packets
ip flow ingress
ip flow egress
ip tcp adjust-mss 1428
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/1.2
description TTK
encapsulation dot1Q 2
ip vrf forwarding TTK
ip address zz.zz.zz.zz 255.255.255.252
ip nat outside
ip virtual-reassembly
!
interface FastEthernet0/1.3
description DSV xDSL
encapsulation dot1Q 3
ip vrf forwarding DSV
ip nat outside
ip nat enable
ip virtual-reassembly
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Dialer0
mtu 1492
ip vrf forwarding DSV
ip address negotiated
ip nat outside
ip nat enable
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
dialer-group 1
ppp authentication chap callin
ppp chap hostname XXXXXXXXXXXXX
ppp chap password 0 XXXXXXXXXXX
!
router ospf 2 vrf DSV
log-adjacency-changes
passive-interface default
no passive-interface Tunnel22
network 192.168.0.12 0.0.0.3 area 0
default-information originate
!
router ospf 1 vrf TTK
log-adjacency-changes
passive-interface default
network 192.168.0.8 0.0.0.3 area 0
default-information originate metric 110 metric-type 1
!
router ospf 20
router-id 192.168.78.1
log-adjacency-changes
passive-interface default
no passive-interface Tunnel0
no passive-interface Tunnel1
no passive-interface Tunnel2
no passive-interface Tunnel3
no passive-interface Tunnel4
network 10.0.0.40 0.0.0.3 area 0
network 10.0.0.44 0.0.0.3 area 0
network 10.0.0.48 0.0.0.3 area 0
network 10.0.0.52 0.0.0.3 area 0
network 10.0.6.0 0.0.0.255 area 0
network 192.168.78.0 0.0.0.255 area 0
!
router ospf 10
log-adjacency-changes
redistribute connected
passive-interface default
no passive-interface Tunnel11
no passive-interface Tunnel21
network 192.168.0.8 0.0.0.3 area 0
network 192.168.0.12 0.0.0.3 area 0
!
ip route vrf DSV 0.0.0.0 0.0.0.0 Dialer0
ip route vrf TTK 0.0.0.0 0.0.0.0 ZZ.ZZ.ZZ.132
!
ip nat translation tcp-timeout 240
ip nat translation udp-timeout 60
ip nat inside source list NAT interface Dialer0 vrf DSV overload
ip nat inside source list NAT interface FastEthernet0/1.2 vrf TTK overload
!
ip access-list extended NAT
deny ip 192.168.78.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 192.168.78.0 0.0.0.255 any
permit ip 192.168.0.0 0.0.0.255 any
!
- IP local policy на cisco 2811, Gromophon, 10:46 , 21-Дек-11 (9)
>[оверквотинг удален]
> ip nat translation tcp-timeout 240
> ip nat translation udp-timeout 60
> ip nat inside source list NAT interface Dialer0 vrf DSV overload
> ip nat inside source list NAT interface FastEthernet0/1.2 vrf TTK overload
> !
> ip access-list extended NAT
> deny ip 192.168.78.0 0.0.0.255 192.168.0.0 0.0.255.255
> permit ip 192.168.78.0 0.0.0.255 any
> permit ip 192.168.0.0 0.0.0.255 any
> !да, спасибо за столь подробный конфиг
кстати tunnel route-via INTERFACE mandatory на ipsec туннеле не работает,
работает только, так как указано тут http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_trsel.html
От шифрования отказываться как-то совсем уж нехорошо, даже странно, что вот так как-то вот недореализовано у циски, до последнего отказывался от vrf, но видно, что придется делать, других вариантов как бы нет значит, кроме статики, но при большом количестве туннелей статика не вариант ес-но. Основная надежда была все-таки на pbr. Еще все-таки как зарезервировать vpdn на двух внешних провов?
- IP local policy на cisco 2811, zxc, 13:05 , 21-Дек-11 (10)
Еще все-таки как зарезервировать vpdn на
> двух внешних провов?У меня на этом приведенном выше конфиге терминация работает на все адреса VRF
Настройки VPDN ничем не отличаются, если бы они были сделаны без VRF.
!
vpdn-group 2
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 2
!
interface Virtual-Template2
ip address 192.168.254.1 255.255.255.0
ip nat inside
ip virtual-reassembly
peer default ip address dhcp-pool VPDN
ppp encrypt mppe auto
ppp authentication ms-chap-v2
Если есть желание, можете попробовать команду
vpn vrf DSV
которая доступна в режиме настройки vpdn-group
Сам не пробовал, так как без этого вроде бы работает.
- IP local policy на cisco 2811, zxc, 13:07 , 21-Дек-11 (11)
> Если есть желание, можете попробовать команду
> vpn vrf DSV
> которая доступна в режиме настройки vpdn-group
> Сам не пробовал, так как без этого вроде бы работает.Вернее, создать несколько vpdn-group и указать в каждом свой
vpn vrf .....
- IP local policy на cisco 2811, kopic, 11:21 , 22-Дек-11 (12)
Я сделал вот так.
2 роутера 2801 с обоих сторонcrypto isakmp key * address XXX.XXX.XXX.XXX
crypto isakmp key * address YYY.YYY.YYY.YYY crypto map nolan 10 ipsec-isakmp
description Moscow
set peer XXX.XXX.XXX.XXX
set peer YYY.YYY.YYY.YYY
set transform-set to_msk
match address 104 crypto map nolan2 10 ipsec-isakmp
description Moscow
set peer XXX.XXX.XXX.XXX
set peer YYY.YYY.YYY.YYY
set transform-set to_msk
match address 104 interface FastEthernet0/0
description outside
crypto map nolan
interface FastEthernet0/1
description inside$ETH-LAN$
crypto map nolan2 ip route 0.0.0.0 0.0.0.0 prov1 track 101
ip route 0.0.0.0 0.0.0.0 prov2 254 track 101 rtr 1 reachability ip sla 1
icmp-echo prov1
threshold 3
frequency 5
ip sla schedule 1 life forever start-time now С другой стороны тоже самое.
Всегда работает 1 туннель из четырех.
Спер конфиг с примера ASA5505 :)
- IP local policy на cisco 2811, Gromophon, 15:12 , 22-Дек-11 (13)
>[оверквотинг удален]
> ip route 0.0.0.0 0.0.0.0 prov2 254
> track 101 rtr 1 reachability
> ip sla 1
> icmp-echo prov1
> threshold 3
> frequency 5
> ip sla schedule 1 life forever start-time now
> С другой стороны тоже самое.
> Всегда работает 1 туннель из четырех.
> Спер конфиг с примера ASA5505 :) не, так не пойдет
|
Версия для распечатки
IP local policy на cisco 2811, 
