The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
policy-routing для трафика маршрутизатора, !*! Sergey Bogdanov, 30-Май-12, 11:47  [смотреть все]
Дано:

маршрутизатор Cisco 2801
2 wan (1 lan)

1й wan  - смотрит в сеть Большого провайдера, там маршрут по умолчанию 0/0, через него же подключается бОльшая часть внешних клиентов

2й wan - смотрит в сеть Малого провайдера, ч/з него прописаны статические маршруты до нескольких внешних стат. адресов

                        
Б-internet 0/0 - МСЭ -  /1       \
                                     | Router | -- lan
М-internet x/x - МСЭ -  \2       /


Надо:
подключиться к маршрутизатору ч/з 2й wan (из сети Малого пров-ра) с динамического адреса про протоколу VPN (конкретный протокол пока не принципиален, но наиболее вероятны Виндовые клиенты, т.е. РРТР).
Получается, что дефолтный маршрут - это один интерфейс, а организовать надо подключение с динамического адреса ч/з другой интерфейс.

Маршрутизацию по адресу клиента использовать нельзя (зная, например, подсети Малого пров-ра) (т.к. есть клиенты, которые из сети того же провайдера ходят ч/з 1й wan по основному маршруту)
Через этот машрутизатор уже ходят транзитом РРТР пакеты.

На мой взгляд, из признаков, по которым можно определить next hop для ответного VPN пакета, можно использовать только РРТР и тот факт, что ответный пакет формирует сам маршрутизатор.

Допустим, РРТР пакет, адресованный маршрутизатору, прилетает ч/з 2й WAN на ip=loopback1.
Как его отправить обратно в ту же сторону (в сторону нужного шлюза)?

Ответить | Сообщить модератору
  • policy-routing для трафика маршрутизатора, !*! AlexDv, 17:45 , 30-Май-12 (1)
    >[оверквотинг удален]
    > с динамического адреса ч/з другой интерфейс.
    > Маршрутизацию по адресу клиента использовать нельзя (зная, например, подсети Малого пров-ра)
    > (т.к. есть клиенты, которые из сети того же провайдера ходят ч/з
    > 1й wan по основному маршруту)
    > Через этот машрутизатор уже ходят транзитом РРТР пакеты.
    > На мой взгляд, из признаков, по которым можно определить next hop для
    > ответного VPN пакета, можно использовать только РРТР и тот факт, что
    > ответный пакет формирует сам маршрутизатор.
    > Допустим, РРТР пакет, адресованный маршрутизатору, прилетает ч/з 2й WAN на ip=loopback1.
    > Как его отправить обратно в ту же сторону (в сторону нужного шлюза)?

    А ничего делать не надо. У меня схема похожая, PPTP работает через любой интерфейс.


    Ответить | Сообщить модератору
  • policy-routing для трафика маршрутизатора, !*! KostyaK, 01:53 , 31-Май-12 (2) +1
    ip local policy route-map BLABLABLA

    должно помочь...

    Ответить | Сообщить модератору
  • policy-routing для трафика маршрутизатора, !*! Gromophon, 05:34 , 31-Май-12 (3)
    >[оверквотинг удален]
    > с динамического адреса ч/з другой интерфейс.
    > Маршрутизацию по адресу клиента использовать нельзя (зная, например, подсети Малого пров-ра)
    > (т.к. есть клиенты, которые из сети того же провайдера ходят ч/з
    > 1й wan по основному маршруту)
    > Через этот машрутизатор уже ходят транзитом РРТР пакеты.
    > На мой взгляд, из признаков, по которым можно определить next hop для
    > ответного VPN пакета, можно использовать только РРТР и тот факт, что
    > ответный пакет формирует сам маршрутизатор.
    > Допустим, РРТР пакет, адресованный маршрутизатору, прилетает ч/з 2й WAN на ip=loopback1.
    > Как его отправить обратно в ту же сторону (в сторону нужного шлюза)?

    vrf вам в помощь, если умрет интерфейс через который настроен дефолтный маршрут, работать ничего не будет, а два дефолтных маршрута через разные интерфейсы не работает одновременно, local policy не работает при шифровании


    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру