форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"Route-map где SRC сама циска."	+/–
Сообщение от gintonic (ok) on 03-Мрт-11, 11:06
Помогите разобраться. Мне надо чтобы трафик который генерирует сама циска (VPN) ходил только через определённый интерфейс, только к одному провайдеру, а не по дефолту. Конфиг такой: interface GigabitEthernet0/0.2 encapsulation dot1Q 2 ip address 82.222.222.214 255.255.255.252 no ip unreachables ip flow ingress ip policy route-map VPNtoSklad no cdp enable crypto map Sklad access-list 167 permit ip host 82.222.222.214 host 87.233.2.57 access-list 167 deny  ip any any route-map VPNtoSklad permit 5 match ip address 167 set ip next-hop 82.222.222.213 делаю: ping 87.233.2.57 source GigabitEthernet0/0.2 пинг проходит... затем смотрю: sh access-list 167 и получаю: Extended IP access list 167     10 permit ip host 82.222.222.214 host 87.233.2.57     20 deny ip any any (2365681 matches) Т.е. ничего в него не попадает. Почему? Да, знаю что на интерфейсе ещё криптомап висит, но он же должен применяться после рутмапа..
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Route-map где SRC сама циска."	+/–
Сообщение от Николай (??) on 03-Мрт-11, 11:41
для отбора трафика который генериться циской используйте ip local policy
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Route-map где SRC сама циска."	+/–
	Сообщение от gintonic (ok) on 03-Мрт-11, 13:29
	> для отбора трафика который генериться циской используйте ip local policy Я так попробовал, пакеты стали попадать а ACL, но не все. Наверное тут и правда дело  в криптомапе...Но тут не всё просто, т.к. с той стороны стои комп с Windows и с ним через  тунельный интерфейс не настроить (ну или настроить, но как я не знаю)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Route-map где SRC сама циска."	+/–
Сообщение от Myxa (??) on 03-Мрт-11, 13:13
Через стандартные IPSEC туннели PBR не работает и работать не будет, т.к crypto map срабатывает после всего, в том числе и после роутинга. При этом все next-hop, назначенные на этапе маршрутизации, игнорируются. Трафик распределяется crypto map-ом по peer-ам в соответствии с Crypto ACL. Выход: использовать GRE+IPSEC, т.к. распределение трафика делается именно роутингом на нужный туннельный интерфейс. Соответственно, можно будет использовать PBR.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Route-map где SRC сама циска."	+/–
	Сообщение от gintonic (ok) on 03-Мрт-11, 13:45
	> Через стандартные IPSEC туннели PBR не работает и работать не будет, т.к > crypto map срабатывает после всего, в том числе и после роутинга. > При этом все next-hop, назначенные на этапе маршрутизации, игнорируются. Трафик распределяется > crypto map-ом по peer-ам в соответствии с Crypto ACL. > Выход: использовать GRE+IPSEC, т.к. распределение трафика делается именно роутингом на > нужный туннельный интерфейс. Соответственно, можно будет использовать PBR. Моя проблема решилась бы, если бы можно было настроить стандартный IPSEC туннель через внутренний интерфейс циски, но сколько я не бился у меня не получилось.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Route-map где SRC сама циска."	+/–
Сообщение от BJ (ok) on 03-Мрт-11, 20:13
Я бы через туннель решил задачу. crypto isakmp key QWERTY address 87.233.2.57 crypto ipsec transform-set P2P esp-aes comp-lzs crypto ipsec profile P2P set transform-set P2P ip route 87.233.2.57 255.255.255.255 82.222.222.213 int tu111 ip addr 1.1.1.1 255.255.255.252 tunnel source 82.222.222.214 tunnel destination 87.233.2.57 tunnel mode ipsec ipv4 tunnel protection ipsec profile P2P ну и на той стороне симметрично. Весь полезный трафик просто заворачивать ip route xx xx Tu111, нет гемороя с крипто-мапами. >[оверквотинг удален] > затем смотрю: > sh access-list 167 > и получаю: > Extended IP access list 167 >     10 permit ip host 82.222.222.214 host 87.233.2.57 >     20 deny ip any any (2365681 matches) > Т.е. ничего в него не попадает. > Почему? > Да, знаю что на интерфейсе ещё криптомап висит, но он же должен > применяться после рутмапа..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Route-map где SRC сама циска."	+/–
	Сообщение от gintonic (ok) on 03-Мрт-11, 20:21
	>[оверквотинг удален] >  set transform-set P2P > ip route 87.233.2.57 255.255.255.255 82.222.222.213 > int tu111 >  ip addr 1.1.1.1 255.255.255.252 >  tunnel source 82.222.222.214 >  tunnel destination 87.233.2.57 >  tunnel mode ipsec ipv4 >  tunnel protection ipsec profile P2P > ну и на той стороне симметрично. Весь полезный трафик просто заворачивать ip > route xx xx Tu111, нет гемороя с крипто-мапами. Я бы тоже так сделал, но на той стороне сервер под виндами и он такого делать не умеет...наверное.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Route-map где SRC сама циска."	+/–
	Сообщение от BJ (ok) on 03-Мрт-11, 20:51
	100% не умеет :)  Купить 871? Хотя владельцы бизнеса как всегда режут бюджет под ноль.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Route-map где SRC сама циска."	+/–
	Сообщение от Myxa (??) on 04-Мрт-11, 08:44
	Как вариант: PPTP или L2TP + IPSec, винда вполне умеет
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Route-map где SRC сама циска."	+/–
	Сообщение от gintonic (ok) on 04-Мрт-11, 12:11
	> Как вариант: PPTP или L2TP + IPSec, винда вполне умеет Сейчас так и настроено (L2TP + IPSec), просто как в связи с этим применить Tunnel на циске я не очень понимаю.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема