Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 15:34



Ответить на тему  [ Сообщений: 10 ] 
Интернет через gre туннель. 
Автор Сообщение

Зарегистрирован: 17 май 2013, 09:20
Сообщения: 27
Добрый день. Подскажите, куда копать, какие технологии использовать? Никак не соображу.
Возможно ли так вообще. споков таких много. Между споками тоже должен остаться доступ.
Имеется схема.
На данный момент хосты за роутером spoke выходят в интернет через ISP3.
Хочется сделать так, чтобы в интернет они ходили через файрволл и ISP1.


Вложения:
dmvpn.JPG
dmvpn.JPG [ 46.94 КБ | Просмотров: 5593 ]
16 апр 2018, 14:35
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
samael9 писал(а):
Добрый день. Подскажите, куда копать, какие технологии использовать? Никак не соображу.
Возможно ли так вообще. споков таких много. Между споками тоже должен остаться доступ.
Имеется схема.
На данный момент хосты за роутером spoke выходят в интернет через ISP3.
Хочется сделать так, чтобы в интернет они ходили через файрволл и ISP1.


Анонсить спокам дефолт, на хабе на туннеле ip nat inside и в акл для нат и пусть ходят в интернет через isp1.


16 апр 2018, 15:26
Профиль ICQ

Зарегистрирован: 17 май 2013, 09:20
Сообщения: 27
пробовал анонс network 0.0.0.0 - пропадает связь со споком. Туннель рвётся. На споке же уже прописан дефолт до провайдера.


16 апр 2018, 16:09
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
пропишите на spoke статический маршрут до hub'а.


16 апр 2018, 18:46
Профиль

Зарегистрирован: 17 май 2013, 09:20
Сообщения: 27
Тогда на хабах придётся тоже писать статику до споков, т.к. хабы тоже имеют дефолт через своих провайдеров. Вот у свича шлюз - файрволл.


17 апр 2018, 08:22
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
а в чем у вас критическая необходимость иметь на споках дефолт в инет? на мой взгляд там достаточно статики до хаба... ну и еще статики до всех остальных споков, как минус такого решения.
на фоне этого написать на хабах статику не такое уж и сложное занятие. вам же все равно нужно будет на хабе делать дефолт в шлюз.


17 апр 2018, 08:40
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
samael9 писал(а):
Тогда на хабах придётся тоже писать статику до споков, т.к. хабы тоже имеют дефолт через своих провайдеров. Вот у свича шлюз - файрволл.

если надо, то значит надо писать. Вы же сами выбрали такую схему, значит придется писать.


17 апр 2018, 09:54
Профиль

Зарегистрирован: 17 май 2013, 09:20
Сообщения: 27
А если dmvpn phase1 делать, на споках нужны маршруты до других споков?
Если что, такая хитрая схема нужна ради экономии. В центр купили большой чекпоинт, хотят траффик смотреть всех.


17 апр 2018, 11:16
Профиль

Зарегистрирован: 26 июн 2015, 11:45
Сообщения: 211
Откуда: Москва
1. Пишите на всех Споках статический маршрут до внешнего IP Хаба через ISP Споков
2. Дефолт на Споках пишите либо статикой, либо пусть прилетает динамикой от Хаба через DMVPN (дефолт в данном случае должен быть через next-hop туннельного интерфейса Хаба)
3. На Хабе пишите статику до внешних IP Споков, если дефолт на Хабе идёт через другого прова (т.е. не через того же прова, на который терминируется DMVPN)
4. Выпиливаете NHRP из конфигов
5. Получаете DMVPN Phase 1


17 апр 2018, 11:43
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
vrf lite, нет? )


19 апр 2018, 14:27
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 10 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 48


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB