forum.opennet.ru - "IP local policy на cisco 2811" (13)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"IP local policy на cisco 2811"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"IP local policy на cisco 2811"	+/–
Сообщение от Gromophon (ok) on 13-Дек-11, 08:48
Доброго времени уважаемым гуру и им подобным. Есть два провайдера, один основной f0/1 (x.x.x.x его шлюз) и резервный f0/0/0.2 (y.y.y.y его шлюз). Дефолтный маршрут прописан на основного, также на него приходит некоторое кол-во туннелей. Хочется зарезервировать туннели и на второго прова. создаем route-map route-map LOCAL permit 10 match ip address RostToOut set ip next-hop y.y.y.y к нему acl ip access-list extended RostToOut permit ip host IP_Addr_f0/0/0.2 any применяем ip local policy route-map LOCAL И что интересно туннель поднимается, вроде все хорошо только данные не ходят Убираем local policy, вместо него прописываем статически конкретные маршруты на концы туннелей, туннель создается, данные по нему ходят. В чем собака порылась, как прописать роут-мапу чтобы все было хорошо и данные ходили?
Ответить \| Правка \| Cообщить модератору

Оглавление

IP local policy на cisco 2811, oleg.matroskin, 11:21 , 13-Дек-11, (1)

IP local policy на cisco 2811, Gromophon, 05:23 , 14-Дек-11, (2)

IP local policy на cisco 2811, Gromophon, 05:28 , 14-Дек-11, (3)

IP local policy на cisco 2811, BJ, 15:51 , 20-Дек-11, (4)

IP local policy на cisco 2811, Николай_kv, 19:57 , 20-Дек-11, (5)

IP local policy на cisco 2811, Gromophon, 02:41 , 21-Дек-11, (6)

IP local policy на cisco 2811, Gromophon, 02:46 , 21-Дек-11, (7)
IP local policy на cisco 2811, zxc, 04:48 , 21-Дек-11, (8)

IP local policy на cisco 2811, Gromophon, 10:46 , 21-Дек-11, (9)

IP local policy на cisco 2811, zxc, 13:05 , 21-Дек-11, (10)

IP local policy на cisco 2811, zxc, 13:07 , 21-Дек-11, (11)

IP local policy на cisco 2811, kopic, 11:21 , 22-Дек-11, (12)

IP local policy на cisco 2811, Gromophon, 15:12 , 22-Дек-11, (13)

Сообщения по теме [Сортировка по времени | RSS]

1. "IP local policy на cisco 2811" +/–

Сообщение от oleg.matroskin on 13-Дек-11, 11:21

>[оверквотинг удален]
>  set ip next-hop y.y.y.y
> к нему acl
>  ip access-list extended RostToOut
>   permit ip host IP_Addr_f0/0/0.2 any
> применяем
> ip local policy route-map LOCAL
> И что интересно туннель поднимается, вроде все хорошо только данные не ходят
> Убираем local policy, вместо него прописываем статически конкретные маршруты на концы туннелей,
> туннель создается, данные по нему ходят. В чем собака порылась, как
> прописать роут-мапу чтобы все было хорошо и данные ходили?
http://www.certification.ru/cgi-bin/forum.cgi?action=thread&...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IP local policy на cisco 2811" +/–

Сообщение от Gromophon (ok) on 14-Дек-11, 05:23

Спасибо за пример, случай похожий, но не совсем то, там по туннелю данные ходят при локал пбр, а у меня не ходят, даже если с туннеля снимаю шифрование, то есть при всем при том сам туннель создается, то есть локал пбр отрабатывает, после создания туннеля если добавить статически маршрут на внешний ип интерфейса удаленного роутера, то вуаля - все ходит, или вобще без локал пбр, но со статикой. Короче, то ходит, то не ходит, качаю более свежий иос, посмотрим, что там. Сейчас стоит C2800NM-ADVENTERPRISEK9_IVS-M, Version 15.0(1)M4.
В указанной ссылке решение похоже не найдено, кроме подозрения на баг в самом иосе, вот и у меня такие же мысли закрадываются
>> И что интересно туннель поднимается, вроде все хорошо только данные не ходят
>> Убираем local policy, вместо него прописываем статически конкретные маршруты на концы туннелей,
>> туннель создается, данные по нему ходят. В чем собака порылась, как
>> прописать роут-мапу чтобы все было хорошо и данные ходили?
> http://www.certification.ru/cgi-bin/forum.cgi?action=thread&...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IP local policy на cisco 2811" +/–

Сообщение от Gromophon (ok) on 14-Дек-11, 05:28

>[оверквотинг удален]
> вуаля - все ходит, или вобще без локал пбр, но со
> статикой. Короче, то ходит, то не ходит, качаю более свежий иос,
> посмотрим, что там. Сейчас стоит C2800NM-ADVENTERPRISEK9_IVS-M, Version 15.0(1)M4.
> В указанной ссылке решение похоже не найдено, кроме подозрения на баг в
> самом иосе, вот и у меня такие же мысли закрадываются
>>> И что интересно туннель поднимается, вроде все хорошо только данные не ходят
>>> Убираем local policy, вместо него прописываем статически конкретные маршруты на концы туннелей,
>>> туннель создается, данные по нему ходят. В чем собака порылась, как
>>> прописать роут-мапу чтобы все было хорошо и данные ходили?
>> http://www.certification.ru/cgi-bin/forum.cgi?action=thread&...
забыл добавить, туннель не гре, про который пишут, что известный баг цисок
tunnel mode ipsec ipv4
когда убирал шифрование выставлял
tunnel mode ipip
все так же было туннель создается, но данные по нему не ходят

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "IP local policy на cisco 2811" +/–

Сообщение от BJ (ok) on 20-Дек-11, 15:51

"local policy" вообще в туннелями не работает. Ни с ipsec, ни с ipip и gre.
Это не баг, а закономерное свойство архитектуры.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "IP local policy на cisco 2811" +/–

Сообщение от Николай_kv on 20-Дек-11, 19:57

> "local policy" вообще в туннелями не работает. Ни с ipsec, ни с
> ipip и gre.
> Это не баг, а закономерное свойство архитектуры.
2 BJ +1 :)
конструкция ip local policy применяеться к трафику который originated самой циской.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "IP local policy на cisco 2811" +/–

Сообщение от Gromophon (ok) on 21-Дек-11, 02:41

>> "local policy" вообще в туннелями не работает. Ни с ipsec, ни с
>> ipip и gre.
>> Это не баг, а закономерное свойство архитектуры.
> 2 BJ +1 :)
> конструкция ip local policy применяеться к трафику который originated самой циской.
ясно, тогда как разрешить такую задачу, с трафиком, который должен быть и туннелем, и генерится самой циской, кроме статики, vrf, или может есть что-то еще?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "IP local policy на cisco 2811" +/–

Сообщение от Gromophon (ok) on 21-Дек-11, 02:46

>>> "local policy" вообще в туннелями не работает. Ни с ipsec, ни с
>>> ipip и gre.
>>> Это не баг, а закономерное свойство архитектуры.
>> 2 BJ +1 :)
>> конструкция ip local policy применяеться к трафику который originated самой циской.
> ясно, тогда как разрешить такую задачу, с трафиком, который должен быть и
> туннелем, и генерится самой циской, кроме статики, vrf, или может есть
> что-то еще?
например, похожая ситуация, vpdn (L2TP, PPTP), который должен работать с двух внешних интерфейсов, с одного понятно как, а со второго, два дефолтных маршрута с одинаковыми метриками не работают, или в момент создания канала, должна автоматом появляться статика на удаленный хост, если так - то как это реализуется?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "IP local policy на cisco 2811" +/–

Сообщение от zxc (??) on 21-Дек-11, 04:48

> ясно, тогда как разрешить такую задачу, с трафиком, который должен быть и
> туннелем, и генерится самой циской, кроме статики, vrf, или может есть
> что-то еще?
Для теннелей можно использовать tunnel route-via INTERFACE mandatory.
Для локальной cisco -- статика + sla.
Но самое полноценное решение -- раскидать все подключения по VRF.
Пример:
!
ip vrf DSV
description DSV
!
ip vrf TTK
description TTK
!
!
interface Loopback11
description VRF TTK, OSPF
ip address 192.168.0.1 255.255.255.255
!
interface Loopback12
description VRF TTK, OSPF
ip address 192.168.0.2 255.255.255.255
!
interface Loopback21
description VRF DSV, OSPF
ip address 192.168.0.3 255.255.255.255
!
interface Loopback22
description VRF DSV, OSPF
ip address 192.168.0.4 255.255.255.255
!
interface Tunnel0
description DSV-DSV
ip address 10.0.0.42 255.255.255.252
ip mtu 1400
ip ospf cost 20
ip ospf 20 area 0
tunnel source Dialer0
tunnel destination xx.xx.xx.xx
tunnel key 10
tunnel vrf DSV
!
interface Tunnel1
description TTK-DSV
ip address 10.0.0.46 255.255.255.252
ip mtu 1400
ip ospf cost 10
ip ospf 20 area 0
tunnel source FastEthernet0/1.2
tunnel destination xx.xx.xx.xx
tunnel key 11
tunnel vrf TTK
!
interface Tunnel2
description DSV-RT
ip address 10.0.0.50 255.255.255.252
ip mtu 1400
ip ospf cost 40
ip ospf 20 area 0
tunnel source Dialer0
tunnel destination yy.yy.yy.yy
tunnel key 12
tunnel vrf DSV
!
interface Tunnel3
description TTK-RT
ip address 10.0.0.54 255.255.255.252
ip mtu 1400
ip ospf cost 30
ip ospf 20 area 0
tunnel source FastEthernet0/1.2
tunnel destination YY.YY.YY.YY
tunnel key 13
tunnel vrf TTK
!
interface Tunnel4
description WHS
ip address 10.6.0.1 255.255.255.252
ip mtu 1400
ip ospf cost 10
ip ospf 20 area 0
tunnel source Dialer0
tunnel destination сс.сс.сс.сс
tunnel route-via Dialer0 mandatory
tunnel vrf DSV
!
interface Tunnel11
description VRF TTK, OSPF
ip address 192.168.0.9 255.255.255.252
tunnel source Loopback11
tunnel destination 192.168.0.2
!
interface Tunnel12
description VRF TTK, OSPF
ip vrf forwarding TTK
ip address 192.168.0.10 255.255.255.252
ip nat inside
ip virtual-reassembly
tunnel source Loopback12
tunnel destination 192.168.0.1
!
interface Tunnel21
description VRF DSV, OSPF
ip address 192.168.0.13 255.255.255.252
tunnel source Loopback21
tunnel destination 192.168.0.4
!
interface Tunnel22
description VRF DSV, OSPF
ip vrf forwarding DSV
ip address 192.168.0.14 255.255.255.252
ip nat inside
ip virtual-reassembly
tunnel source Loopback22
tunnel destination 192.168.0.3
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.1
encapsulation dot1Q 1 native
ip address 10.0.6.1 255.255.255.0
!
interface FastEthernet0/0.10
description LAN
encapsulation dot1Q 10
ip address 192.168.78.1 255.255.255.0
ip directed-broadcast
ip accounting output-packets
ip flow ingress
ip flow egress
ip tcp adjust-mss 1428
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/1.2
description TTK
encapsulation dot1Q 2
ip vrf forwarding TTK
ip address zz.zz.zz.zz 255.255.255.252
ip nat outside
ip virtual-reassembly
!
interface FastEthernet0/1.3
description DSV xDSL
encapsulation dot1Q 3
ip vrf forwarding DSV
ip nat outside
ip nat enable
ip virtual-reassembly
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Dialer0
mtu 1492
ip vrf forwarding DSV
ip address negotiated
ip nat outside
ip nat enable
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
dialer-group 1
ppp authentication chap callin
ppp chap hostname XXXXXXXXXXXXX
ppp chap password 0 XXXXXXXXXXX
!
router ospf 2 vrf DSV
log-adjacency-changes
passive-interface default
no passive-interface Tunnel22
network 192.168.0.12 0.0.0.3 area 0
default-information originate
!
router ospf 1 vrf TTK
log-adjacency-changes
passive-interface default
network 192.168.0.8 0.0.0.3 area 0
default-information originate metric 110 metric-type 1
!
router ospf 20
router-id 192.168.78.1
log-adjacency-changes
passive-interface default
no passive-interface Tunnel0
no passive-interface Tunnel1
no passive-interface Tunnel2
no passive-interface Tunnel3
no passive-interface Tunnel4
network 10.0.0.40 0.0.0.3 area 0
network 10.0.0.44 0.0.0.3 area 0
network 10.0.0.48 0.0.0.3 area 0
network 10.0.0.52 0.0.0.3 area 0
network 10.0.6.0 0.0.0.255 area 0
network 192.168.78.0 0.0.0.255 area 0
!
router ospf 10
log-adjacency-changes
redistribute connected
passive-interface default
no passive-interface Tunnel11
no passive-interface Tunnel21
network 192.168.0.8 0.0.0.3 area 0
network 192.168.0.12 0.0.0.3 area 0
!
ip route vrf DSV 0.0.0.0 0.0.0.0 Dialer0
ip route vrf TTK 0.0.0.0 0.0.0.0 ZZ.ZZ.ZZ.132
!
ip nat translation tcp-timeout 240
ip nat translation udp-timeout 60
ip nat inside source list NAT interface Dialer0 vrf DSV overload
ip nat inside source list NAT interface FastEthernet0/1.2 vrf TTK overload
!
ip access-list extended NAT
deny   ip 192.168.78.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 192.168.78.0 0.0.0.255 any
permit ip 192.168.0.0 0.0.0.255 any
!

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "IP local policy на cisco 2811" +/–

Сообщение от Gromophon (ok) on 21-Дек-11, 10:46

>[оверквотинг удален]
> ip nat translation tcp-timeout 240
> ip nat translation udp-timeout 60
> ip nat inside source list NAT interface Dialer0 vrf DSV overload
> ip nat inside source list NAT interface FastEthernet0/1.2 vrf TTK overload
> !
> ip access-list extended NAT
>  deny   ip 192.168.78.0 0.0.0.255 192.168.0.0 0.0.255.255
>  permit ip 192.168.78.0 0.0.0.255 any
>  permit ip 192.168.0.0 0.0.0.255 any
> !
да, спасибо за столь подробный конфиг
кстати tunnel route-via INTERFACE mandatory на ipsec туннеле не работает,
работает только, так как указано тут  http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_trsel.html
От шифрования отказываться как-то совсем уж нехорошо, даже странно, что вот так как-то вот недореализовано у циски, до последнего отказывался от vrf, но видно, что придется делать, других вариантов как бы нет значит, кроме статики, но при большом количестве туннелей статика не вариант ес-но. Основная надежда была все-таки на pbr. Еще все-таки как зарезервировать vpdn на двух внешних провов?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "IP local policy на cisco 2811" +/–

Сообщение от zxc (??) on 21-Дек-11, 13:05

Еще все-таки как зарезервировать vpdn на
> двух внешних провов?
У меня на этом приведенном выше конфиге терминация работает на все адреса VRF
Настройки VPDN ничем не отличаются, если бы они были сделаны без VRF.

!
vpdn-group 2
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 2
!
interface Virtual-Template2
ip address 192.168.254.1 255.255.255.0
ip nat inside
ip virtual-reassembly
peer default ip address dhcp-pool VPDN
ppp encrypt mppe auto
ppp authentication ms-chap-v2

Если есть желание, можете попробовать команду
vpn vrf DSV
которая доступна в режиме настройки vpdn-group
Сам не пробовал, так как без этого вроде бы работает.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "IP local policy на cisco 2811" +/–

Сообщение от zxc (??) on 21-Дек-11, 13:07

> Если есть желание, можете попробовать команду
> vpn vrf DSV
> которая доступна в режиме настройки vpdn-group
> Сам не пробовал, так как без этого вроде бы работает.
Вернее, создать несколько vpdn-group и указать в каждом свой
vpn vrf .....

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "IP local policy на cisco 2811" +/–

Сообщение от kopic (ok) on 22-Дек-11, 11:21

Я сделал вот так.
2 роутера 2801 с обоих сторон
crypto isakmp key * address XXX.XXX.XXX.XXX
crypto isakmp key * address YYY.YYY.YYY.YYY
crypto map nolan 10 ipsec-isakmp
description Moscow
set peer XXX.XXX.XXX.XXX
set peer YYY.YYY.YYY.YYY
set transform-set to_msk
match address 104
crypto map nolan2 10 ipsec-isakmp
description Moscow
set peer XXX.XXX.XXX.XXX
set peer YYY.YYY.YYY.YYY
set transform-set to_msk
match address 104
interface FastEthernet0/0
description outside
crypto map nolan
interface FastEthernet0/1
description inside$ETH-LAN$
crypto map nolan2
ip route 0.0.0.0 0.0.0.0 prov1 track 101
ip route 0.0.0.0 0.0.0.0 prov2 254
track 101 rtr 1 reachability
ip sla 1
icmp-echo prov1
threshold 3
frequency 5
ip sla schedule 1 life forever start-time now
С другой стороны тоже самое.
Всегда работает 1 туннель из четырех.
Спер конфиг с примера ASA5505 :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "IP local policy на cisco 2811" +/–

Сообщение от Gromophon (ok) on 22-Дек-11, 15:12

>[оверквотинг удален]
> ip route 0.0.0.0 0.0.0.0 prov2 254
> track 101 rtr 1 reachability
> ip sla 1
>  icmp-echo prov1
>  threshold 3
>  frequency 5
> ip sla schedule 1 life forever start-time now
> С другой стороны тоже самое.
> Всегда работает 1 туннель из четырех.
> Спер конфиг с примера ASA5505 :)
не, так не пойдет

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IP local policy на cisco 2811"	+/–
Сообщение от oleg.matroskin on 13-Дек-11, 11:21
>[оверквотинг удален] > set ip next-hop y.y.y.y > к нему acl > ip access-list extended RostToOut > permit ip host IP_Addr_f0/0/0.2 any > применяем > ip local policy route-map LOCAL > И что интересно туннель поднимается, вроде все хорошо только данные не ходят > Убираем local policy, вместо него прописываем статически конкретные маршруты на концы туннелей, > туннель создается, данные по нему ходят. В чем собака порылась, как > прописать роут-мапу чтобы все было хорошо и данные ходили? http://www.certification.ru/cgi-bin/forum.cgi?action=thread&...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "IP local policy на cisco 2811"	+/–
	Сообщение от Gromophon (ok) on 14-Дек-11, 05:23
	Спасибо за пример, случай похожий, но не совсем то, там по туннелю данные ходят при локал пбр, а у меня не ходят, даже если с туннеля снимаю шифрование, то есть при всем при том сам туннель создается, то есть локал пбр отрабатывает, после создания туннеля если добавить статически маршрут на внешний ип интерфейса удаленного роутера, то вуаля - все ходит, или вобще без локал пбр, но со статикой. Короче, то ходит, то не ходит, качаю более свежий иос, посмотрим, что там. Сейчас стоит C2800NM-ADVENTERPRISEK9_IVS-M, Version 15.0(1)M4. В указанной ссылке решение похоже не найдено, кроме подозрения на баг в самом иосе, вот и у меня такие же мысли закрадываются >> И что интересно туннель поднимается, вроде все хорошо только данные не ходят >> Убираем local policy, вместо него прописываем статически конкретные маршруты на концы туннелей, >> туннель создается, данные по нему ходят. В чем собака порылась, как >> прописать роут-мапу чтобы все было хорошо и данные ходили? > http://www.certification.ru/cgi-bin/forum.cgi?action=thread&...
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "IP local policy на cisco 2811"	+/–
	Сообщение от Gromophon (ok) on 14-Дек-11, 05:28
	>[оверквотинг удален] > вуаля - все ходит, или вобще без локал пбр, но со > статикой. Короче, то ходит, то не ходит, качаю более свежий иос, > посмотрим, что там. Сейчас стоит C2800NM-ADVENTERPRISEK9_IVS-M, Version 15.0(1)M4. > В указанной ссылке решение похоже не найдено, кроме подозрения на баг в > самом иосе, вот и у меня такие же мысли закрадываются >>> И что интересно туннель поднимается, вроде все хорошо только данные не ходят >>> Убираем local policy, вместо него прописываем статически конкретные маршруты на концы туннелей, >>> туннель создается, данные по нему ходят. В чем собака порылась, как >>> прописать роут-мапу чтобы все было хорошо и данные ходили? >> http://www.certification.ru/cgi-bin/forum.cgi?action=thread&... забыл добавить, туннель не гре, про который пишут, что известный баг цисок tunnel mode ipsec ipv4 когда убирал шифрование выставлял tunnel mode ipip все так же было туннель создается, но данные по нему не ходят
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "IP local policy на cisco 2811"	+/–
	Сообщение от BJ (ok) on 20-Дек-11, 15:51
	"local policy" вообще в туннелями не работает. Ни с ipsec, ни с ipip и gre. Это не баг, а закономерное свойство архитектуры.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "IP local policy на cisco 2811"	+/–
	Сообщение от Николай_kv on 20-Дек-11, 19:57
	> "local policy" вообще в туннелями не работает. Ни с ipsec, ни с > ipip и gre. > Это не баг, а закономерное свойство архитектуры. 2 BJ +1 :) конструкция ip local policy применяеться к трафику который originated самой циской.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "IP local policy на cisco 2811"	+/–
	Сообщение от Gromophon (ok) on 21-Дек-11, 02:41
	>> "local policy" вообще в туннелями не работает. Ни с ipsec, ни с >> ipip и gre. >> Это не баг, а закономерное свойство архитектуры. > 2 BJ +1 :) > конструкция ip local policy применяеться к трафику который originated самой циской. ясно, тогда как разрешить такую задачу, с трафиком, который должен быть и туннелем, и генерится самой циской, кроме статики, vrf, или может есть что-то еще?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "IP local policy на cisco 2811"	+/–
	Сообщение от Gromophon (ok) on 21-Дек-11, 02:46
	>>> "local policy" вообще в туннелями не работает. Ни с ipsec, ни с >>> ipip и gre. >>> Это не баг, а закономерное свойство архитектуры. >> 2 BJ +1 :) >> конструкция ip local policy применяеться к трафику который originated самой циской. > ясно, тогда как разрешить такую задачу, с трафиком, который должен быть и > туннелем, и генерится самой циской, кроме статики, vrf, или может есть > что-то еще? например, похожая ситуация, vpdn (L2TP, PPTP), который должен работать с двух внешних интерфейсов, с одного понятно как, а со второго, два дефолтных маршрута с одинаковыми метриками не работают, или в момент создания канала, должна автоматом появляться статика на удаленный хост, если так - то как это реализуется?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "IP local policy на cisco 2811"	+/–
	Сообщение от zxc (??) on 21-Дек-11, 04:48
	> ясно, тогда как разрешить такую задачу, с трафиком, который должен быть и > туннелем, и генерится самой циской, кроме статики, vrf, или может есть > что-то еще? Для теннелей можно использовать tunnel route-via INTERFACE mandatory. Для локальной cisco -- статика + sla. Но самое полноценное решение -- раскидать все подключения по VRF. Пример: ! ip vrf DSV description DSV ! ip vrf TTK description TTK ! ! interface Loopback11 description VRF TTK, OSPF ip address 192.168.0.1 255.255.255.255 ! interface Loopback12 description VRF TTK, OSPF ip address 192.168.0.2 255.255.255.255 ! interface Loopback21 description VRF DSV, OSPF ip address 192.168.0.3 255.255.255.255 ! interface Loopback22 description VRF DSV, OSPF ip address 192.168.0.4 255.255.255.255 ! interface Tunnel0 description DSV-DSV ip address 10.0.0.42 255.255.255.252 ip mtu 1400 ip ospf cost 20 ip ospf 20 area 0 tunnel source Dialer0 tunnel destination xx.xx.xx.xx tunnel key 10 tunnel vrf DSV ! interface Tunnel1 description TTK-DSV ip address 10.0.0.46 255.255.255.252 ip mtu 1400 ip ospf cost 10 ip ospf 20 area 0 tunnel source FastEthernet0/1.2 tunnel destination xx.xx.xx.xx tunnel key 11 tunnel vrf TTK ! interface Tunnel2 description DSV-RT ip address 10.0.0.50 255.255.255.252 ip mtu 1400 ip ospf cost 40 ip ospf 20 area 0 tunnel source Dialer0 tunnel destination yy.yy.yy.yy tunnel key 12 tunnel vrf DSV ! interface Tunnel3 description TTK-RT ip address 10.0.0.54 255.255.255.252 ip mtu 1400 ip ospf cost 30 ip ospf 20 area 0 tunnel source FastEthernet0/1.2 tunnel destination YY.YY.YY.YY tunnel key 13 tunnel vrf TTK ! interface Tunnel4 description WHS ip address 10.6.0.1 255.255.255.252 ip mtu 1400 ip ospf cost 10 ip ospf 20 area 0 tunnel source Dialer0 tunnel destination сс.сс.сс.сс tunnel route-via Dialer0 mandatory tunnel vrf DSV ! interface Tunnel11 description VRF TTK, OSPF ip address 192.168.0.9 255.255.255.252 tunnel source Loopback11 tunnel destination 192.168.0.2 ! interface Tunnel12 description VRF TTK, OSPF ip vrf forwarding TTK ip address 192.168.0.10 255.255.255.252 ip nat inside ip virtual-reassembly tunnel source Loopback12 tunnel destination 192.168.0.1 ! interface Tunnel21 description VRF DSV, OSPF ip address 192.168.0.13 255.255.255.252 tunnel source Loopback21 tunnel destination 192.168.0.4 ! interface Tunnel22 description VRF DSV, OSPF ip vrf forwarding DSV ip address 192.168.0.14 255.255.255.252 ip nat inside ip virtual-reassembly tunnel source Loopback22 tunnel destination 192.168.0.3 ! ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.1 encapsulation dot1Q 1 native ip address 10.0.6.1 255.255.255.0 ! interface FastEthernet0/0.10 description LAN encapsulation dot1Q 10 ip address 192.168.78.1 255.255.255.0 ip directed-broadcast ip accounting output-packets ip flow ingress ip flow egress ip tcp adjust-mss 1428 ! interface FastEthernet0/1 no ip address duplex auto speed auto ! interface FastEthernet0/1.2 description TTK encapsulation dot1Q 2 ip vrf forwarding TTK ip address zz.zz.zz.zz 255.255.255.252 ip nat outside ip virtual-reassembly ! interface FastEthernet0/1.3 description DSV xDSL encapsulation dot1Q 3 ip vrf forwarding DSV ip nat outside ip nat enable ip virtual-reassembly pppoe enable group global pppoe-client dial-pool-number 1 ! interface Dialer0 mtu 1492 ip vrf forwarding DSV ip address negotiated ip nat outside ip nat enable ip virtual-reassembly encapsulation ppp dialer pool 1 dialer idle-timeout 0 dialer-group 1 ppp authentication chap callin ppp chap hostname XXXXXXXXXXXXX ppp chap password 0 XXXXXXXXXXX ! router ospf 2 vrf DSV log-adjacency-changes passive-interface default no passive-interface Tunnel22 network 192.168.0.12 0.0.0.3 area 0 default-information originate ! router ospf 1 vrf TTK log-adjacency-changes passive-interface default network 192.168.0.8 0.0.0.3 area 0 default-information originate metric 110 metric-type 1 ! router ospf 20 router-id 192.168.78.1 log-adjacency-changes passive-interface default no passive-interface Tunnel0 no passive-interface Tunnel1 no passive-interface Tunnel2 no passive-interface Tunnel3 no passive-interface Tunnel4 network 10.0.0.40 0.0.0.3 area 0 network 10.0.0.44 0.0.0.3 area 0 network 10.0.0.48 0.0.0.3 area 0 network 10.0.0.52 0.0.0.3 area 0 network 10.0.6.0 0.0.0.255 area 0 network 192.168.78.0 0.0.0.255 area 0 ! router ospf 10 log-adjacency-changes redistribute connected passive-interface default no passive-interface Tunnel11 no passive-interface Tunnel21 network 192.168.0.8 0.0.0.3 area 0 network 192.168.0.12 0.0.0.3 area 0 ! ip route vrf DSV 0.0.0.0 0.0.0.0 Dialer0 ip route vrf TTK 0.0.0.0 0.0.0.0 ZZ.ZZ.ZZ.132 ! ip nat translation tcp-timeout 240 ip nat translation udp-timeout 60 ip nat inside source list NAT interface Dialer0 vrf DSV overload ip nat inside source list NAT interface FastEthernet0/1.2 vrf TTK overload ! ip access-list extended NAT deny ip 192.168.78.0 0.0.0.255 192.168.0.0 0.0.255.255 permit ip 192.168.78.0 0.0.0.255 any permit ip 192.168.0.0 0.0.0.255 any !
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	9. "IP local policy на cisco 2811"	+/–
	Сообщение от Gromophon (ok) on 21-Дек-11, 10:46
	>[оверквотинг удален] > ip nat translation tcp-timeout 240 > ip nat translation udp-timeout 60 > ip nat inside source list NAT interface Dialer0 vrf DSV overload > ip nat inside source list NAT interface FastEthernet0/1.2 vrf TTK overload > ! > ip access-list extended NAT > deny ip 192.168.78.0 0.0.0.255 192.168.0.0 0.0.255.255 > permit ip 192.168.78.0 0.0.0.255 any > permit ip 192.168.0.0 0.0.0.255 any > ! да, спасибо за столь подробный конфиг кстати tunnel route-via INTERFACE mandatory на ipsec туннеле не работает, работает только, так как указано тут http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_trsel.html От шифрования отказываться как-то совсем уж нехорошо, даже странно, что вот так как-то вот недореализовано у циски, до последнего отказывался от vrf, но видно, что придется делать, других вариантов как бы нет значит, кроме статики, но при большом количестве туннелей статика не вариант ес-но. Основная надежда была все-таки на pbr. Еще все-таки как зарезервировать vpdn на двух внешних провов?
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "IP local policy на cisco 2811"	+/–
	Сообщение от zxc (??) on 21-Дек-11, 13:05
	Еще все-таки как зарезервировать vpdn на > двух внешних провов? У меня на этом приведенном выше конфиге терминация работает на все адреса VRF Настройки VPDN ничем не отличаются, если бы они были сделаны без VRF. ! vpdn-group 2 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 2 ! interface Virtual-Template2 ip address 192.168.254.1 255.255.255.0 ip nat inside ip virtual-reassembly peer default ip address dhcp-pool VPDN ppp encrypt mppe auto ppp authentication ms-chap-v2 Если есть желание, можете попробовать команду vpn vrf DSV которая доступна в режиме настройки vpdn-group Сам не пробовал, так как без этого вроде бы работает.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "IP local policy на cisco 2811"	+/–
	Сообщение от zxc (??) on 21-Дек-11, 13:07
	> Если есть желание, можете попробовать команду > vpn vrf DSV > которая доступна в режиме настройки vpdn-group > Сам не пробовал, так как без этого вроде бы работает. Вернее, создать несколько vpdn-group и указать в каждом свой vpn vrf .....
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору

12. "IP local policy на cisco 2811"	+/–
Сообщение от kopic (ok) on 22-Дек-11, 11:21
Я сделал вот так. 2 роутера 2801 с обоих сторон crypto isakmp key * address XXX.XXX.XXX.XXX crypto isakmp key * address YYY.YYY.YYY.YYY crypto map nolan 10 ipsec-isakmp description Moscow set peer XXX.XXX.XXX.XXX set peer YYY.YYY.YYY.YYY set transform-set to_msk match address 104 crypto map nolan2 10 ipsec-isakmp description Moscow set peer XXX.XXX.XXX.XXX set peer YYY.YYY.YYY.YYY set transform-set to_msk match address 104 interface FastEthernet0/0 description outside crypto map nolan interface FastEthernet0/1 description inside$ETH-LAN$ crypto map nolan2 ip route 0.0.0.0 0.0.0.0 prov1 track 101 ip route 0.0.0.0 0.0.0.0 prov2 254 track 101 rtr 1 reachability ip sla 1 icmp-echo prov1 threshold 3 frequency 5 ip sla schedule 1 life forever start-time now С другой стороны тоже самое. Всегда работает 1 туннель из четырех. Спер конфиг с примера ASA5505 :)
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	13. "IP local policy на cisco 2811"	+/–
	Сообщение от Gromophon (ok) on 22-Дек-11, 15:12
	>[оверквотинг удален] > ip route 0.0.0.0 0.0.0.0 prov2 254 > track 101 rtr 1 reachability > ip sla 1 > icmp-echo prov1 > threshold 3 > frequency 5 > ip sla schedule 1 life forever start-time now > С другой стороны тоже самое. > Всегда работает 1 туннель из четырех. > Спер конфиг с примера ASA5505 :) не, так не пойдет
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору