Автор |
Сообщение |
samael9
Зарегистрирован: 17 май 2013, 09:20 Сообщения: 27
|
Добрый день. Подскажите, куда копать, какие технологии использовать? Никак не соображу. Возможно ли так вообще. споков таких много. Между споками тоже должен остаться доступ. Имеется схема. На данный момент хосты за роутером spoke выходят в интернет через ISP3. Хочется сделать так, чтобы в интернет они ходили через файрволл и ISP1.
Вложения:
dmvpn.JPG [ 46.94 КБ | Просмотров: 5647 ]
|
16 апр 2018, 14:35 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
samael9 писал(а): Добрый день. Подскажите, куда копать, какие технологии использовать? Никак не соображу. Возможно ли так вообще. споков таких много. Между споками тоже должен остаться доступ. Имеется схема. На данный момент хосты за роутером spoke выходят в интернет через ISP3. Хочется сделать так, чтобы в интернет они ходили через файрволл и ISP1. Анонсить спокам дефолт, на хабе на туннеле ip nat inside и в акл для нат и пусть ходят в интернет через isp1.
|
16 апр 2018, 15:26 |
|
|
samael9
Зарегистрирован: 17 май 2013, 09:20 Сообщения: 27
|
пробовал анонс network 0.0.0.0 - пропадает связь со споком. Туннель рвётся. На споке же уже прописан дефолт до провайдера.
|
16 апр 2018, 16:09 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
пропишите на spoke статический маршрут до hub'а.
|
16 апр 2018, 18:46 |
|
|
samael9
Зарегистрирован: 17 май 2013, 09:20 Сообщения: 27
|
Тогда на хабах придётся тоже писать статику до споков, т.к. хабы тоже имеют дефолт через своих провайдеров. Вот у свича шлюз - файрволл.
|
17 апр 2018, 08:22 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
а в чем у вас критическая необходимость иметь на споках дефолт в инет? на мой взгляд там достаточно статики до хаба... ну и еще статики до всех остальных споков, как минус такого решения. на фоне этого написать на хабах статику не такое уж и сложное занятие. вам же все равно нужно будет на хабе делать дефолт в шлюз.
|
17 апр 2018, 08:40 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
samael9 писал(а): Тогда на хабах придётся тоже писать статику до споков, т.к. хабы тоже имеют дефолт через своих провайдеров. Вот у свича шлюз - файрволл. если надо, то значит надо писать. Вы же сами выбрали такую схему, значит придется писать.
|
17 апр 2018, 09:54 |
|
|
samael9
Зарегистрирован: 17 май 2013, 09:20 Сообщения: 27
|
А если dmvpn phase1 делать, на споках нужны маршруты до других споков? Если что, такая хитрая схема нужна ради экономии. В центр купили большой чекпоинт, хотят траффик смотреть всех.
|
17 апр 2018, 11:16 |
|
|
Sergey_B
Зарегистрирован: 26 июн 2015, 11:45 Сообщения: 211 Откуда: Москва
|
1. Пишите на всех Споках статический маршрут до внешнего IP Хаба через ISP Споков 2. Дефолт на Споках пишите либо статикой, либо пусть прилетает динамикой от Хаба через DMVPN (дефолт в данном случае должен быть через next-hop туннельного интерфейса Хаба) 3. На Хабе пишите статику до внешних IP Споков, если дефолт на Хабе идёт через другого прова (т.е. не через того же прова, на который терминируется DMVPN) 4. Выпиливаете NHRP из конфигов 5. Получаете DMVPN Phase 1
|
17 апр 2018, 11:43 |
|
|
P@ve1
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 2111
|
vrf lite, нет? )
|
19 апр 2018, 14:27 |
|
|