Давно ничего не писал, но пришлось повозиться с интересной штукой, которую решил описать подробнее. Речь пойдет о Policy Based Routing (PBR) - Роутинг на основе правил. Данная технология находит применение когда необходимо направить определенный трафик особым путем.
И так, с чем пришлось столкнуться:
Есть роутер - 3945Е, к нему подведено два интернета, один основной, второй для резервирования канала к удаленной площадке. Понадобилось выставить почтовый EDGE сервер в интернет через резервный канал, а так же открыть ему полный доступ в инет. Это как раз один из самых ярких способов использования Policy Based Routing.
Делается все в несколько этапов:
Предположим есть EDGE-сервер с адресом 10.10.10.2, шлюз интернета - 1.1.1.2
1. Создается access-list с указанием адресов для который должен работать PBR.
ip acces-list extended EDGE
deny ip host 10.10.10.2 10.0.0.0 0.255.255.255 ! делается для того, чтобы локальный трафик роутился согласно общим правилам
permit ip host 10.10.10.2 any ! а весь трафик в интернет отправлялся на нужный нам шлюз
2. Создается route-map, в котором указывается, что делать с трафиком который попадает под условия созданного acl.
route-map EDGE permit 10
match ip address EDGE
set ip next-hop 1.1.1.2
3. Применить политику на входящем интерфейсе
ip policy route-map EDGE
В редких случаях необходимы дополнительные опции, описание которых есть по ссылке на cisco.com
И так, с чем пришлось столкнуться:
Есть роутер - 3945Е, к нему подведено два интернета, один основной, второй для резервирования канала к удаленной площадке. Понадобилось выставить почтовый EDGE сервер в интернет через резервный канал, а так же открыть ему полный доступ в инет. Это как раз один из самых ярких способов использования Policy Based Routing.
Делается все в несколько этапов:
Предположим есть EDGE-сервер с адресом 10.10.10.2, шлюз интернета - 1.1.1.2
1. Создается access-list с указанием адресов для который должен работать PBR.
ip acces-list extended EDGE
deny ip host 10.10.10.2 10.0.0.0 0.255.255.255 ! делается для того, чтобы локальный трафик роутился согласно общим правилам
permit ip host 10.10.10.2 any ! а весь трафик в интернет отправлялся на нужный нам шлюз
2. Создается route-map, в котором указывается, что делать с трафиком который попадает под условия созданного acl.
route-map EDGE permit 10
match ip address EDGE
set ip next-hop 1.1.1.2
3. Применить политику на входящем интерфейсе
ip policy route-map EDGE
В редких случаях необходимы дополнительные опции, описание которых есть по ссылке на cisco.com
Комментариев нет:
Отправить комментарий