Shunze 學園 >電腦資訊學系 >吃軟不吃硬 > 《分享》Cisco Source to Destination PBR 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
《分享》Cisco Source to Destination PBR引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

順子的客戶有分隔兩地辦公室,兩地之間以昂貴MPLS來串接。



而MPLS貴又慢,能否以Site to Site IPsec VPN來取代?
答案當然是沒問題的∼



但全部都走IPsec VPN,那還在合約中、貴森森的MPLS不就白花錢了?
能否把重要的100網段對102網段維持以MPLS來進行,而一般user所在的1,2網段走IPsec VPN?



這個想法在Sophos XG上是無法實現的...
對XG而言不論是IPsec或是MPLS,對端目的地網段都是相同的102網段,
頂多只能做到優先權重上的failover機制,無法做到來源對目的地的分流。
要達到這個目的,看來只能在前一顆router 192.168.1.3來進行了...




192.168.1.3是Cisco的L3 Switch,
而Cisco的router可透過PBR (Policy Based Routing)來達成這個目的。
不過Cisco的 ACL 也分為多種,其中Standard ACL只能對來源端來進行處理,
只有Extended ACL才能同時對來源、目的地與通訊協定端進行routing指向,
所以勢必要透過Extended ACL來進行了...

在下達以下指令,建立一個Extended ACL並透過Route MAP去改變Next Hop IP後,
再將此Route MAP套用在100網段的VLAN,應該就能實現客戶的需求了∼

SW#configure terminal
SW(config)#ip access-list extended PBR_100_102
SW(config-ext-nacl)#permit ip 192.168.100.0 0.0.0.255 192.168.102.0 0.0.0.255

SW(config)#route-map MAP_100_102
SW(config-route-map)#match ip address PBR_100_102
SW(config-route-map)#set ip next-hop 192.168.1.5

SW(config)#int vlan 100
SW(config-if)#ip policy route-map MAP_100_102


進行如上的組態設定後,
在100網段上的電腦上去ping外部,可以發現是透過Sophohs XG 192.168.1.251連外。



在100網段上的電腦上去ping 102網段,可以發現是透過192.168.1.5去做routing。



而原本1、2網段對外與對102網段(經由IPsec VPN)的連線能力都沒變,
客戶的需求總算順利完成了!


參考資料
Policy Based Routing (PBR) 基於策略的路由



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2018-02-12, 10:26 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR