rekayasa lalu lintas - kebijakan untuk BGP vs rute statis

8

Mempertimbangkan transisi dari situs Internet publik tertentu melalui lokasi baru. Di lokasi saat ini, saya memiliki rute statis yang dikonfigurasi di router Cisco saya yang menunjuk ke firewall internal saya. Lokasi baru ini terletak di atas koneksi MPLS (eBGP).

Saya memiliki dua subnet lokal yang digunakan di lokasi yang ada dan ingin menguji hanya satu subnet di jaringan MPLS ke lokasi baru akses Internet.

Apakah ini mungkin dengan perutean kebijakan untuk memiliki 1 subnet lokal memanfaatkan rute statis ke firewall, dan subnet kedua memanfaatkan iklan MPLS dan merutekan melalui situs lain ke Internet hanya untuk situs Internet ini? Jika ya, bagaimana caranya?

cisco  routing 
raidORlostark
sumber
1
Apakah lokasi baru ini mengiklankan rute default ke jaringan MPLS? Bisakah Anda menambahkan diagram dari topologi saat ini dan solusi yang diinginkan?
smoothbSE

Jawaban:

8

Perutean berbasis kebijakan sangat bagus untuk ini. Baru-baru ini saya melakukan ini untuk secara perlahan memotong sebuah rumah sakit ke tepi internet baru satu subnet internal pada waktu yang persis seperti ini.

ip access-list extended PBR_SUBNETS
 permit ip 172.16.1.0 0.0.0.255 any
!
route-map POLICY_ROUTE permit 10
 match ip address PBR_SUBNETS
 set ip next-hop 192.168.1.2

Di atas akan mengarahkan semua paket dari 172.16.1.0/24 ke alamat IP yang ditentukan dalam rute-peta. Ubah keduanya sesuai kebutuhan agar sesuai dengan situasi Anda.

Terapkan kebijakan ini ke antarmuka router yang menghadap subnet internal Anda.

interface GigabitEthernet0/1
 ip policy route-map POLICY_ROUTE

Rute-peta ini akan menetapkan hop berikutnya untuk semua lalu lintas yang diizinkan, terlepas dari tabel routing. (Penggunaan kata kunci "default" dapat mengatasi ini tetapi tidak terdengar seperti Anda perlu) Ini berarti bahwa rute statis Anda mungkin tidak diperlukan untuk tujuan ini, tetapi Anda dapat membiarkannya di sana sebagai cadangan jika BGP gagal .

FYI - cara saya melakukan ini adalah memasukkan seluruh konfigurasi, hidup, siang hari, tetapi tanpa entri dalam daftar akses. Karena tidak ada yang cocok, jelas, semua lalu lintas berperilaku normal, mengikuti tabel routing. Ini memberikan kerangka kerja yang sangat mudah, dapat diuji, dan dapat dibalik untuk mengalihkan subnet internal, karena yang diperlukan dari titik ini hanyalah menambahkannya ke ACL.

Mierdin
sumber
pertanyaan aslinya adalah bagaimana cara mengirim lalu lintas dari subnet tertentu (yang ditangani PBR dengan baik) ke situs baru hanya untuk tujuan tertentu. memperbarui PBR_SUBNETS ACL harus melakukan trik.
smoothbSE
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.