tgz Опубликовано 11 сентября, 2009 · Жалоба Вот здесь тогда будет уместным использовать PBR на входе от аплинков. Почему нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MagMike Опубликовано 11 сентября, 2009 (изменено) · Жалоба разве в ACL-ах, используемых в PBR можно указывать DSTIP? http://www.cisco.com/en/US/products/ps6599...0800a4409.shtml Match Clauses—Defining the Criteria The IP standard or extended ACLs can be used to establish the match criteria. The standard IP access lists can be used to specify the match criteria for source address; extended access lists can be used to specify the match criteria based on application, protocol type, TOS, and precedence. сам себе отвечаю. получается, что вроде как, можно http://www.cisco.com/en/US/tech/tk364/tech...0801f3b54.shtml вот только если у меня пять подсеток на vpn-ах, и штук 10 в сегменте "сервисы-клиенты", то ACL получится размером 5х10=50 строк... это если я буду PBR применять на интерфейсе от vpn-ов. если от аплинков - то будет 10 строк... Изменено 11 сентября, 2009 пользователем MagMike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 11 сентября, 2009 · Жалоба разве в ACL-ах, используемых в PBR можно указывать DSTIP?http://www.cisco.com/en/US/products/ps6599...0800a4409.shtml Практика - критерий истины. Мне проверять лень А зачем вам так нужно, что бы трафик проходил через R2? NetFlow? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MagMike Опубликовано 11 сентября, 2009 (изменено) · Жалоба на R1 считается трафик для тех, кто находится в сегменте сервисы,клиенты. Изменено 11 сентября, 2009 пользователем MagMike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 11 сентября, 2009 · Жалоба да, на R2 считается трафик для тех, кто в сегменте сервисы,клиенты. Тогда лучше изменить схему сбора статистики например на SPAN и убрать R2 вообще. И будет Вам щасье. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MagMike Опубликовано 14 сентября, 2009 · Жалоба на R1 не только подсчет трафика... в общем, надо иметь 2 раздельных сегмента (тот что подключен через R1 и тот, что входит в vrf vpn64). если сегмент, который на рисунке подключен к vrf vpn, отделить от c6509 и вывести через отдельный маршрутизатор - это можно реализовать. но можно ли все то же самое сделать как нарисовано? попробую поделить задачу на более мелкие вопросы. 1. как из vrf border проанонсировать в vrf vpn только шлюзы аплинков? если ничего не фильтровать, а сделать ip vrf border rd 100:1 route-target export 100:1 route-target import 100:1 route-target import 100:64 ! ip vrf vpn rd 100:64 route-target export 100:64 route-target import 100:64 route-target import 100:1 ! то в vrf vpn "прилетят" все префиксы из full-view. мне же достаточно будет только маршруты на аплинковские шлюзы. для уменьшения нагрузки пробовал фильтровать по длине префиксов. ip prefix-list PL_INTERVRF seq 5 permit 0.0.0.0/0 le 19 ! route-map map-border-vpn permit 10 match ip address prefix-list PL_INTERVRF работает, но тоже хитро - можно наложить map map-border-vpn как import map в vrf vpn. почему-то не работает, если указать в export map в vrf border. 2. как из vrf vpn проанонсировать в vrf border только сети, а не хосты? по ospf в vrf vpn создаются маршруты на клиентов, подключенных по vpn. все - с префиксами /32. эти маршруты (несколько тысяч) постоянно экспортируются в vrf border (пользователи подключаются/отключаются), что не есть хорошо. В vrf vpn есть маршруты на сети (пулы адресов), из которых выдаются адреса vpn-пользователям. но чтобы не было петель, эти маршруты объявлены в vrf vpn как null0 254: ip route vrf vpn X.Y.Z.0 255.255.ZM.0 null0 254 ip route vrf vpn X.Y.V.0 255.255.VM.0 null0 254 ... Если при экспорте из vrf vpn или при импорте в vrf border вырезать маршруты с масками /32, то останутся только маршруты на крупные сети, но они будут вести в NULL0. поэтому пакеты снаружи (он аплинков) сразу будут направлены согласно таблицы маршрутов vrf border в NULL0. Есть ли более рациональный способ проанонсировать в vrf border vpn-овские адреса в виде сете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 15 сентября, 2009 · Жалоба на R1 не только подсчет трафика... Что еще? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_user_ Опубликовано 15 сентября, 2009 · Жалоба на R1 не только подсчет трафика...в общем, надо иметь 2 раздельных сегмента (тот что подключен через R1 и тот, что входит в vrf vpn64). если сегмент, который на рисунке подключен к vrf vpn, отделить от c6509 и вывести через отдельный маршрутизатор - это можно реализовать. но можно ли все то же самое сделать как нарисовано? попробую поделить задачу на более мелкие вопросы. 1. как из vrf border проанонсировать в vrf vpn только шлюзы аплинков? если ничего не фильтровать, а сделать ip vrf border rd 100:1 route-target export 100:1 route-target import 100:1 route-target import 100:64 ! ip vrf vpn rd 100:64 route-target export 100:64 route-target import 100:64 route-target import 100:1 ! то в vrf vpn "прилетят" все префиксы из full-view. мне же достаточно будет только маршруты на аплинковские шлюзы. для уменьшения нагрузки пробовал фильтровать по длине префиксов. ip prefix-list PL_INTERVRF seq 5 permit 0.0.0.0/0 le 19 ! route-map map-border-vpn permit 10 match ip address prefix-list PL_INTERVRF работает, но тоже хитро - можно наложить map map-border-vpn как import map в vrf vpn. почему-то не работает, если указать в export map в vrf border. 2. как из vrf vpn проанонсировать в vrf border только сети, а не хосты? по ospf в vrf vpn создаются маршруты на клиентов, подключенных по vpn. все - с префиксами /32. эти маршруты (несколько тысяч) постоянно экспортируются в vrf border (пользователи подключаются/отключаются), что не есть хорошо. В vrf vpn есть маршруты на сети (пулы адресов), из которых выдаются адреса vpn-пользователям. но чтобы не было петель, эти маршруты объявлены в vrf vpn как null0 254: ip route vrf vpn X.Y.Z.0 255.255.ZM.0 null0 254 ip route vrf vpn X.Y.V.0 255.255.VM.0 null0 254 ... Если при экспорте из vrf vpn или при импорте в vrf border вырезать маршруты с масками /32, то останутся только маршруты на крупные сети, но они будут вести в NULL0. поэтому пакеты снаружи (он аплинков) сразу будут направлены согласно таблицы маршрутов vrf border в NULL0. Есть ли более рациональный способ проанонсировать в vrf border vpn-овские адреса в виде сете? Кому то я уже здесь отвечал, если вы хотите универсальный метод фильтрации между vrf используйте tag, помечаете входящие маршруты с аплинков 1 тэгом, свои "специфические" маршруты другим тэгом.... при импорте и экспорте между vrf отсекаете по тому тэгу который вам нужен. Хотя как заметили выше может переделать :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
