отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Перенаправление трафика в Интернет через фаервол за хабом (DMVPN)

Есть конфигурация DMVPN по схеме Spoke-to-Spoke. Внутри поднят EIGRP.

Схема примерно следующая:

Интернет_1<->Фаервол<->HUB<->Интернет_2<->Spoke

Как сделать так, чтобы пользователи за споком ходили в WWW через Интернет_2, а Интернет_1 использовали только для связи с HUB-ом?

Теги (4)
10 ОТВЕТ.

Перенаправление трафика в Интерне

У спока есть локальное подключение только к интернет_2? Можно настроить статический маршрут на 0.0.0.0/0 через локальный канал и поднять NAT...

New Member

Перенаправление трафика в Интерне

Это сейчас и сделано. Но необходимо с помощью фаервола осуществлять фильтрацию запросов (url). А фаервол находится за хабом.

Перенаправление трафика в Интерне

Чтобы фильтровать трафик FWL, который на стороне хаба, нужно чтобы весь трафик ходил через хаб. Т.е. дефолтным маршрутом для споков должен быть маршрут через  тунельный интерфейс (можно анонсировать его по eigrp). При этом, нужно будет прописать на споке статический маршрут до хаба (его внешнего IP) через интернет.

New Member

Перенаправление трафика в Интерне

Это не вариант. Это будет обычное подключение Hub-to-Spoke. Но тогда все споки между собой будут общаться так же через хаб, а это не хорошо.

Перенаправление трафика в Интерне

С чего?

Хаб анонсирует маршрут на 0.0.0.0. Спок отправляет хабу пакет. Так как пакет не предполагается перенаправить другому споку - NHRP redirect не сработает, пакет просто пойдет дальше в сторону файрвола. Обратно - тоже стандартно.

DMVPN подразумевает, что какое-то время споки всегда общаются между собой через хаб, пока динамический туннель поднимается, но я не понимаю, какое отношение это имеет к поставленной задаче.

New Member

Перенаправление трафика в Интерне

Ok, а можно тогда примеры конфигурации на тунельном интерфесе спока, хаба и eigrp на хабе? Попробую в тестовой среде организовать.

Перенаправление трафика в Интерне

Лучше покажите текущую конфигурацию EIGRP и туннельных интерфейсов, а также статические и иные маршруты.

Может быть, окажется, что задача будет решена одним лишь удалением статического маршрута на споке, так как с туннеля ему сразу прилетит соответствующий EIGRP маршрут. Но да, надо не забыть прописать статический маршрут до интерфейсов хаба через собственный интернет, иначе туннель развалится.

New Member

Re: Перенаправление трафика в Интер

В прикрепленном.

Re: Перенаправление трафика в Интер

Ну по идее надо на споке:

ip route xx.xx.xx.xx 255.255.255.255 YY.YY.YY.YY

(где xx.xx.xx.xx - адрес физического интерфейса хаба, он же адрес в ip nhrp map на споке)

ip route 0.0.0.0 0.0.0.0 10.20.10.1

no ip route 0.0.0.0 0.0.0.0 XX.XX.XX.XX

Либо redistribute static на хабе под "router eigrp", а на споке добавить маршрут до внешнего адреса хаба, убрать маршрут на 0.0.0.0, но новый не добавлять.

Я могу что-то упустить, так что лучше проверить, или делать ночью, на всякий случай с config rollback или reload in.

Перенаправление трафика в Интерне

Да, все правильно.

382
Просмотры
0
Полезный материал
10
Ответы