The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Route-map где SRC сама циска."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"Route-map где SRC сама циска."  +/
Сообщение от gintonic (ok) on 03-Мрт-11, 11:06 
Помогите разобраться.
Мне надо чтобы трафик который генерирует сама циска (VPN) ходил только через определённый интерфейс, только к одному провайдеру, а не по дефолту.
Конфиг такой:
interface GigabitEthernet0/0.2
encapsulation dot1Q 2
ip address 82.222.222.214 255.255.255.252
no ip unreachables
ip flow ingress
ip policy route-map VPNtoSklad
no cdp enable
crypto map Sklad

access-list 167 permit ip host 82.222.222.214 host 87.233.2.57
access-list 167 deny  ip any any

route-map VPNtoSklad permit 5
match ip address 167
set ip next-hop 82.222.222.213

делаю:
ping 87.233.2.57 source GigabitEthernet0/0.2
пинг проходит...
затем смотрю:
sh access-list 167
и получаю:
Extended IP access list 167
    10 permit ip host 82.222.222.214 host 87.233.2.57
    20 deny ip any any (2365681 matches)
Т.е. ничего в него не попадает.
Почему?
Да, знаю что на интерфейсе ещё криптомап висит, но он же должен применяться после рутмапа..

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Route-map где SRC сама циска."  +/
Сообщение от Николай (??) on 03-Мрт-11, 11:41 
для отбора трафика который генериться циской используйте ip local policy
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Route-map где SRC сама циска."  +/
Сообщение от gintonic (ok) on 03-Мрт-11, 13:29 
> для отбора трафика который генериться циской используйте ip local policy

Я так попробовал, пакеты стали попадать а ACL, но не все.
Наверное тут и правда дело  в криптомапе...Но тут не всё просто, т.к. с той стороны стои комп с Windows и с ним через  тунельный интерфейс не настроить (ну или настроить, но как я не знаю)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Route-map где SRC сама циска."  +/
Сообщение от Myxa (??) on 03-Мрт-11, 13:13 
Через стандартные IPSEC туннели PBR не работает и работать не будет, т.к crypto map срабатывает после всего, в том числе и после роутинга. При этом все next-hop, назначенные на этапе маршрутизации, игнорируются. Трафик распределяется crypto map-ом по peer-ам в соответствии с Crypto ACL.

Выход: использовать GRE+IPSEC, т.к. распределение трафика делается именно роутингом на нужный туннельный интерфейс. Соответственно, можно будет использовать PBR.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Route-map где SRC сама циска."  +/
Сообщение от gintonic (ok) on 03-Мрт-11, 13:45 
> Через стандартные IPSEC туннели PBR не работает и работать не будет, т.к
> crypto map срабатывает после всего, в том числе и после роутинга.
> При этом все next-hop, назначенные на этапе маршрутизации, игнорируются. Трафик распределяется
> crypto map-ом по peer-ам в соответствии с Crypto ACL.
> Выход: использовать GRE+IPSEC, т.к. распределение трафика делается именно роутингом на
> нужный туннельный интерфейс. Соответственно, можно будет использовать PBR.

Моя проблема решилась бы, если бы можно было настроить стандартный IPSEC туннель через внутренний интерфейс циски, но сколько я не бился у меня не получилось.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Route-map где SRC сама циска."  +/
Сообщение от BJ (ok) on 03-Мрт-11, 20:13 
Я бы через туннель решил задачу.

crypto isakmp key QWERTY address 87.233.2.57
crypto ipsec transform-set P2P esp-aes comp-lzs
crypto ipsec profile P2P
set transform-set P2P

ip route 87.233.2.57 255.255.255.255 82.222.222.213

int tu111
ip addr 1.1.1.1 255.255.255.252
tunnel source 82.222.222.214
tunnel destination 87.233.2.57
tunnel mode ipsec ipv4
tunnel protection ipsec profile P2P

ну и на той стороне симметрично. Весь полезный трафик просто заворачивать ip route xx xx Tu111, нет гемороя с крипто-мапами.

>[оверквотинг удален]
> затем смотрю:
> sh access-list 167
> и получаю:
> Extended IP access list 167
>     10 permit ip host 82.222.222.214 host 87.233.2.57
>     20 deny ip any any (2365681 matches)
> Т.е. ничего в него не попадает.
> Почему?
> Да, знаю что на интерфейсе ещё криптомап висит, но он же должен
> применяться после рутмапа..

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Route-map где SRC сама циска."  +/
Сообщение от gintonic (ok) on 03-Мрт-11, 20:21 
>[оверквотинг удален]
>  set transform-set P2P
> ip route 87.233.2.57 255.255.255.255 82.222.222.213
> int tu111
>  ip addr 1.1.1.1 255.255.255.252
>  tunnel source 82.222.222.214
>  tunnel destination 87.233.2.57
>  tunnel mode ipsec ipv4
>  tunnel protection ipsec profile P2P
> ну и на той стороне симметрично. Весь полезный трафик просто заворачивать ip
> route xx xx Tu111, нет гемороя с крипто-мапами.

Я бы тоже так сделал, но на той стороне сервер под виндами и он такого делать не умеет...наверное.


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Route-map где SRC сама циска."  +/
Сообщение от BJ (ok) on 03-Мрт-11, 20:51 
100% не умеет :)  Купить 871? Хотя владельцы бизнеса как всегда режут бюджет под ноль.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Route-map где SRC сама циска."  +/
Сообщение от Myxa (??) on 04-Мрт-11, 08:44 
Как вариант: PPTP или L2TP + IPSec, винда вполне умеет

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Route-map где SRC сама циска."  +/
Сообщение от gintonic (ok) on 04-Мрт-11, 12:11 
> Как вариант: PPTP или L2TP + IPSec, винда вполне умеет

Сейчас так и настроено (L2TP + IPSec), просто как в связи с этим применить Tunnel на циске я не очень понимаю.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру