Dva gateway-a na cisco 1841

[ darkopopovic @ 21.07.2008. 09:40 ] @

Problem je sledeci:

Na cisco 1841 ruteru imam dva fizicka interfejsa, Wan i Lan.
Na Wan int. imam jedan Vlan za internet i tri Vlana ka udaljenim poslovnicam.
Na lanu imam dva Vlana, jedan za lokalnu mrezu i jedan ka Firewallu.
Potrebno je da sve sto treba da dodje ili izadje na Internet sa Vlanova od poslovnica prvo prodje kroz Firewall pa tek onda na inernet .

Sad da je to Mikrotik a ne Cisco ja bih znao:
Postavio bih na Ruteru dva Getweya.
Prvi bi bio Destination 0.0.0.0/0 sa Gatway adresom ka internetu.
Dok kod drugog bih postavijo Destination 0.0.0.0/0 sa Gatway adresom ka Firewollu gde bih se svi paketi prvo obelezavaju sa adrese tih Vlanova (Mangle) a potom bih samo za njih vazio drugi gatwey.
Iposatvi bih staticke rute ka mrezi koja je na Lanu.

Kako ovo da odradim sa Ciso ruterom ?

[ acatheking @ 21.07.2008. 10:31 ] @

Kreiraš access liste koja če da "hvataju" saobraćaj koji treba preusmeriti na firewall.
Umesto 192.168.0.0 0.0.0.255 stavi opsege koje koristiš na udaljenim lokacijama.

Code:

ip access-list extended vlan-1
permit ip 192.168.0.0 0.0.0.255 any

ip access-list extended vlan-2
permit ip 192.168.0.0 0.0.0.255 any

ip access-list extended vlan-3
permit ip 192.168.0.0 0.0.0.255 any

Kreiraš mapu. Umesto 10.0.0.1 stavi ip adresu firewall-a.

Code:

route-map mapa-1 permit 10
match ip address vlan-1
set ip next-hop 10.0.0.1
route-map mapa-1 permit 20
match ip address vlan-2
set ip next-hop 10.0.0.1
route-map mapa-1 permit 30
match ip address vlan-3
set ip next-hop 10.0.0.1

Na svaki dolazni VLAN intrefejs, dodaj

Code:

ip policy route-map mapa-1

Mislim da sam dobro napisao sve.

[ markom @ 21.07.2008. 10:56 ] @

... ili koristi VRF-lite :-)

(na žalost, sad nemam vremena da pišem detaljan odgovor, ali ako nađem kasnije danas, napisaću)

[ darkopopovic @ 21.07.2008. 11:05 ] @

Probacu veceras ,
HVALA !

[ darkopopovic @ 21.07.2008. 11:25 ] @

Koja je razlika izmedju VRF-lite i route-map ?

[ milelj @ 28.07.2008. 18:19 ] @

VRF lite je lokalna MPLS konfiguracija sa L3VPNovima, dok su rut-mape sasvim druga prica...

[ anjat @ 29.08.2008. 15:39 ] @

Pozdrav !
Iscitala sam ovu temu, pa sam se u njoj pronasla...Kod mene je problem, verovatno, jednostavniji ali ipak ne umem da ga resim.Na Ciscu 1841 imam na dva fa mreze 192.168.0.0 i 172.16.0.0, a on je sa dve serijske veze ( 10.1.1.0/30 i 10.1.1.4 su subneti u kojima su serijske veze) vezan na Cisco 7000 i imam s obe strane ospf i to sve lepo radi.Elem, iz određenih razloga zelim da mreza 172.16.0.0 ,,radi" samo kroz jednu serijsku vezu, a 192.168.0.0 kroz drugu. Kreirala sam route-map na sl. nacin:(na Cisco 1841)

(config)#route-map test permit 10
(config-route-map)#route-map anjat permit 10
(config-route-map)#match ip address 1
(config-route-map)#set ip next-hop 10.1.1.1
(config)#access-list 1 permit 172.16.1.1 0.0.255.255
(config)#access-list 1 deny any

i sad ? ,,Okacila" sam route-map na fa na kome mi je mreza 172.16.0.0 , ali to ne radi.Kad radim traceroute (sa source 192.168.1.1) do nekog od lanova na 7000 - vidim da paketi i dalje idu kroz obe serijske veze ... U cemu gresim? Probala sam da route-map okacim i na odgovarajucu serijsku vezu, pa nista...Sta da radim ?

[ optix @ 29.08.2008. 16:14 ] @

A sta se desava sa paketima sa 172.16.0.0 mreze?

[ anjat @ 01.09.2008. 08:20 ] @

Isto - ,,idu" kroz oba serijska linka.

[ djk494 @ 02.09.2008. 16:04 ] @

Citat:

milelj: VRF lite je lokalna MPLS konfiguracija sa L3VPNovima, dok su rut-mape sasvim druga prica...

http://en.wikipedia.org/wiki/VRF

Citat:

anjat: Pozdrav !
Iscitala sam ovu temu, pa sam se u njoj pronasla...Kod mene je problem, verovatno, jednostavniji ali ipak ne umem da ga resim.Na Ciscu 1841 imam na dva fa mreze 192.168.0.0 i 172.16.0.0, a on je sa dve serijske veze ( 10.1.1.0/30 i 10.1.1.4 su subneti u kojima su serijske veze) vezan na Cisco 7000 i imam s obe strane ospf i to sve lepo radi.Elem, iz određenih razloga zelim da mreza 172.16.0.0 ,,radi" samo kroz jednu serijsku vezu, a 192.168.0.0 kroz drugu.

Evo prost primer konfiguracije sa VRF-ovima, pa ko se snadje, nadam se da nisam nesto izostavio posto nemam vremena da testiram...

_______________________________________________

/*definisanje VRF-a*/

ip vrf prvi

ip vrf drugi

/*pridruzivanje interface-a VRF-u, ip adresa ako postoji na interfaceu bice obrisana posle komande ip vrf forwarding pa je konfigurisite ponovo*/

interface FastEthernet0/0.10
encapsulation dot1Q 10
ip vrf forwarding prvi
ip address 192.168.0.1 255.255.255.0

interface FastEthernet0/0.20
encapsulation dot1Q 20
ip vrf forwarding drugi
ip address 172.16.0.1 255.255.255.0

interface Serial0/0
ip vrf forwarding prvi
ip address 10.1.1.1 255.255.255.252

interface Serial0/1
ip vrf forwarding drugi
ip address 10.1.1.5 255.255.255.252

/*pridruzivanje routing procesa VRF-u, mora da se eksplicitno doda router-id*/

router ospf 10 vrf prvi
router-id 192.168.0.1
network 192.168.0.0 0.0.0.255 area 0
network 10.1.1.0 0.0.0.3 area 0

router ospf 20 vrf drugi
router-id 172.16.0.1
network 172.16.0.0 0.0.0.255 area 0
network 10.1.1.4 0.0.0.3 area 0

_______________________________________________

/*par poznatih komandi u novom ruhu ;) */

show ip route vrf prvi

ping vrf prvi 192.168.0.2

telnet 192.168.0.2 /vrf prvi

ip route vrf prvi 0.0.0.0 0.0.0.0 192.168.0.2

______________________________________________

Poz,
Vedran

[ anjat @ 09.09.2008. 12:58 ] @

Vedrane, hvala na trudu, ali moj router 7000 ne podrzava VRF-ove.Moram to da resim pomocu mapa kako znam.
Pozdrav!

[ acatheking @ 09.09.2008. 13:29 ] @

Ajde probaj da nacrtas mrezu, pojasni malo slikom. Bice lakse za dalju diskusiju.

:)

[ djk494 @ 09.09.2008. 13:58 ] @

Citat:

anjat: Vedrane, hvala na trudu, ali moj router 7000 ne podrzava VRF-ove.Moram to da resim pomocu mapa kako znam.
Pozdrav!

Iskuckana konfiguracija u tvom slucaju bi trebala da bude na 1841; 7000 bi trebao samo da radi kao i do sada...

Pozdrav.