Shunze 學園 (http://www.shunze.info/forum/index.php)
|- 吃軟不吃硬 (http://www.shunze.info/forum/board.php?boardid=3)
|-- 《分享》Cisco Source to Destination PBR (http://www.shunze.info/forum/threadid.php?boardid=3&threadid=2076)


作者: shunze 發表時間: 2018-02-12, 10:26:

《分享》Cisco Source to Destination PBR

順子的客戶有分隔兩地辦公室,兩地之間以昂貴MPLS來串接。



而MPLS貴又慢,能否以Site to Site IPsec VPN來取代?
答案當然是沒問題的∼



但全部都走IPsec VPN,那還在合約中、貴森森的MPLS不就白花錢了?
能否把重要的100網段對102網段維持以MPLS來進行,而一般user所在的1,2網段走IPsec VPN?



這個想法在Sophos XG上是無法實現的...
對XG而言不論是IPsec或是MPLS,對端目的地網段都是相同的102網段,
頂多只能做到優先權重上的failover機制,無法做到來源對目的地的分流。
要達到這個目的,看來只能在前一顆router 192.168.1.3來進行了...




192.168.1.3是Cisco的L3 Switch,
而Cisco的router可透過PBR (Policy Based Routing)來達成這個目的。
不過Cisco的 ACL 也分為多種,其中Standard ACL只能對來源端來進行處理,
只有Extended ACL才能同時對來源、目的地與通訊協定端進行routing指向,
所以勢必要透過Extended ACL來進行了...

在下達以下指令,建立一個Extended ACL並透過Route MAP去改變Next Hop IP後,
再將此Route MAP套用在100網段的VLAN,應該就能實現客戶的需求了∼

SW#configure terminal
SW(config)#ip access-list extended PBR_100_102
SW(config-ext-nacl)#permit ip 192.168.100.0 0.0.0.255 192.168.102.0 0.0.0.255

SW(config)#route-map MAP_100_102
SW(config-route-map)#match ip address PBR_100_102
SW(config-route-map)#set ip next-hop 192.168.1.5

SW(config)#int vlan 100
SW(config-if)#ip policy route-map MAP_100_102


進行如上的組態設定後,
在100網段上的電腦上去ping外部,可以發現是透過Sophohs XG 192.168.1.251連外。



在100網段上的電腦上去ping 102網段,可以發現是透過192.168.1.5去做routing。



而原本1、2網段對外與對102網段(經由IPsec VPN)的連線能力都沒變,
客戶的需求總算順利完成了!


參考資料
Policy Based Routing (PBR) 基於策略的路由

Powered by: Burning Board 1.1.1 2001 by WoltLab
Taiwan Translation by Achi