Local PBR dla pakietów GRE

Wiadomość

dante999 · #1

Cześć,

czy za pomocą local policy można ustawić next-hop dla pakietów GRE generowanych lokalnie przez dany router?

Pokrótce: R1 terminuje tunele GRE over IPSec, korzystając z GW innego niż chciałbym dla tuneli.

W gns3 nie mogę wymusić takiej zmiany przez local policy - pingi są poprawnie forwardowane przez RM (liczniki rosną) ale generowane pakiety GRE już nie.

W necie znalazłem kilka configów które rzekomo działały dla takiej sytuacji jednak w kilku innych miejscach znalazłem wzmiankę (fakt, że sprzed 9 lat), że

keep in mind, that local PBR doesn't work for encapsulations done on the router, i.e. you can't PBR GRE

Poniżej config który testuje (póki co samo GRE, bez IPSec):

Kod: Zaznacz cały

Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/1            200.0.0.1       YES NVRAM  up                    up


access-list 100 permit ip host 200.0.0.1 any

route-map RM-TEST permit 10
 match ip address 100
 set ip next-hop 200.0.0.2

ip local policy route-map RM-TEST

interface Tunnel1
 ip address 10.10.10.1 255.255.255.252
 tunnel source 200.0.0.1
 tunnel destination 100.0.0.2

horac · #2

A jaka jest idea tego rozwiazania ? Co chcesz osiagnac PBRujac pakiety GRE zamiast rzeczywistego ruchu w tunelu ?

Przeciez p2p tunnel interface wymaga podania destination co masz z reszta w konfiguracji. Wiec nie bardzo rozumiem po co PBRowac ruch na inny adres IP. Tak raczej tunel nie wstanie.

Jezeli zalezy ci na dynamicznym tworzeniu tuneli to poszedlbym w kierunku multipoint np DMVPN

dante999 · #3

Chyba najprościej byłoby to wytłumaczyć, tak że R1 podłączony jest do dwóch ISP. Chciałbym żeby użytkownicy za routerem łączyli się przez ISP1 natomiast żeby tunele były zapinane przez ISP2.

Zakładając że tunele zapinane są z różnych publicznych IP i mając statycznego default GW na ISP1, chciałem PBRować GRE przez ISP2.

Można to ominąć używając statycznych tras dla każdego endpoint'a (via ISP2) ale chciałbym uniknąć static'ów.

Tuneli byłoby dużo ale tworzonych ręcznie oddzielnie każdy (ze względu że tunele już są i nic nie chciałem w tym zmieniać)

horac · #4

To zrob VRF i daj jednego ISP w VRF i zapinaj przez niego GRe. Wtedy mozesz miec default w glownej tablicy i VRF bez impaktu

dante999 · #5

Ok, to trochę zbyt uprościłem sytuację ponieważ de facto interesuje mnie żeby był inny default dla ruchu wewnątrz tunelu i inny dla samego tunelu:

- logicznie tunel z endpointem zapinam przez GW1
- ruch z tunelu chciałbym pchać do GW2

Czy w takiej sytuacji również warto spojrzeć na VRF czy może jest coś ciekawszego?

I tak z ciekawości na przyszłość, odnośnie pytania z tematu: da się PBRować lokalnie generowane GRE czy nie?

krisiasty · #6

heh, teraz dopiero uprościłeś sytuację, chyba że cię źle zrozumiałem...

najprościej będzie jak ustawisz default via GW2 i static do endpointa na którym zapinasz tunel via GW1 i już. chyba że jest jeszcze jakiś inny ruch który chcesz kierować via GW1 lub adres drugiego końca nie jest znany i stały...

dante999 · #7

Zrozumiałeś dobrze

ale jak napisałem w pierwszym poście chciałem uniknąć static'ów bo tuneli jest dużo (~300) i by się trochę "sieka" zrobiła w tych statykach.

horac · #8

dante999 pisze:Zrozumiałeś dobrze ale jak napisałem w pierwszym poście chciałem uniknąć static'ów bo tuneli jest dużo (~300) i by się trochę "sieka" zrobiła w tych statykach.

Skoro masz 300 tuneli to czemu nie zrobisz DMVPN ? pozwol NHRP sie martwic o destination dla GRE a w placowkach ustawisz jako destination Huba, kopiujac konfiguracje miedzy kazdym z 300 routerow