отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
1631
Просмотры
0
Полезный материал
10
Ответы
Sergey Barkov
Beginner

Перенаправление трафика в Интернет через фаервол за хабом (DMVPN)

Есть конфигурация DMVPN по схеме Spoke-to-Spoke. Внутри поднят EIGRP.

Схема примерно следующая:

Интернет_1<->Фаервол<->HUB<->Интернет_2<->Spoke

Как сделать так, чтобы пользователи за споком ходили в WWW через Интернет_2, а Интернет_1 использовали только для связи с HUB-ом?

10 ОТВЕТ 10
Dmitriy Zhiznevskiy
Contributor

У спока есть локальное подключение только к интернет_2? Можно настроить статический маршрут на 0.0.0.0/0 через локальный канал и поднять NAT...

Это сейчас и сделано. Но необходимо с помощью фаервола осуществлять фильтрацию запросов (url). А фаервол находится за хабом.

Чтобы фильтровать трафик FWL, который на стороне хаба, нужно чтобы весь трафик ходил через хаб. Т.е. дефолтным маршрутом для споков должен быть маршрут через  тунельный интерфейс (можно анонсировать его по eigrp). При этом, нужно будет прописать на споке статический маршрут до хаба (его внешнего IP) через интернет.

Это не вариант. Это будет обычное подключение Hub-to-Spoke. Но тогда все споки между собой будут общаться так же через хаб, а это не хорошо.

С чего?

Хаб анонсирует маршрут на 0.0.0.0. Спок отправляет хабу пакет. Так как пакет не предполагается перенаправить другому споку - NHRP redirect не сработает, пакет просто пойдет дальше в сторону файрвола. Обратно - тоже стандартно.

DMVPN подразумевает, что какое-то время споки всегда общаются между собой через хаб, пока динамический туннель поднимается, но я не понимаю, какое отношение это имеет к поставленной задаче.

Ok, а можно тогда примеры конфигурации на тунельном интерфесе спока, хаба и eigrp на хабе? Попробую в тестовой среде организовать.

Лучше покажите текущую конфигурацию EIGRP и туннельных интерфейсов, а также статические и иные маршруты.

Может быть, окажется, что задача будет решена одним лишь удалением статического маршрута на споке, так как с туннеля ему сразу прилетит соответствующий EIGRP маршрут. Но да, надо не забыть прописать статический маршрут до интерфейсов хаба через собственный интернет, иначе туннель развалится.

В прикрепленном.

Ну по идее надо на споке:

ip route xx.xx.xx.xx 255.255.255.255 YY.YY.YY.YY

(где xx.xx.xx.xx - адрес физического интерфейса хаба, он же адрес в ip nhrp map на споке)

ip route 0.0.0.0 0.0.0.0 10.20.10.1

no ip route 0.0.0.0 0.0.0.0 XX.XX.XX.XX

Либо redistribute static на хабе под "router eigrp", а на споке добавить маршрут до внешнего адреса хаба, убрать маршрут на 0.0.0.0, но новый не добавлять.

Я могу что-то упустить, так что лучше проверить, или делать ночью, на всякий случай с config rollback или reload in.

Да, все правильно.

Создать
Выразить признание своим коллегам
Content for Community-Ad

Помощь по сообществу