ingénierie du trafic - politiques pour BGP vs routes statiques

8

Envisager une transition d'un site Internet public spécifique via un nouvel emplacement. À l'emplacement actuel, j'ai un itinéraire statique configuré dans mon routeur Cisco pointé vers mon pare-feu interne. Le nouvel emplacement est situé sur une connexion MPLS (eBGP).

J'ai deux sous-réseaux locaux en cours d'utilisation à l'emplacement existant et je voudrais tester un seul des sous-réseaux sur le réseau MPLS pour accéder aux nouveaux emplacements Internet.

Est-ce possible avec le routage de stratégie pour qu'un sous-réseau local utilise la route statique vers le pare-feu, et le deuxième sous-réseau utilise la publicité MPLS et route via l'autre site vers Internet uniquement pour ce site Internet? Si c'est le cas, comment?

cisco routing raidORlostark
la source
1
Le nouvel emplacement annonce-t-il un itinéraire par défaut vers le réseau MPLS? Pouvez-vous ajouter des diagrammes de la topologie actuelle et de la solution souhaitée s'il vous plaît?
smoothbSE

Réponses:

8

Le routage basé sur des politiques fonctionne très bien pour cela. J'ai récemment fait cela pour couper lentement un hôpital vers un nouveau sous-réseau interne de pointe Internet à la fois exactement de cette façon.

ip access-list extended PBR_SUBNETS
 permit ip 172.16.1.0 0.0.0.255 any
!
route-map POLICY_ROUTE permit 10
 match ip address PBR_SUBNETS
 set ip next-hop 192.168.1.2

Ce qui précède redirigera tous les paquets de 172.16.1.0/24 vers l'adresse IP spécifiée dans la route-map. Changez les deux au besoin pour l'adapter à votre situation.

Appliquez cette stratégie à l'interface du routeur qui fait face à vos sous-réseaux internes.

interface GigabitEthernet0/1
 ip policy route-map POLICY_ROUTE

Cette route-map définira le prochain saut pour tout le trafic autorisé, quelle que soit la table de routage. (L'utilisation du mot-clé "default" peut contourner ce problème mais ne semble pas nécessaire). Cela signifie que votre itinéraire statique n'est probablement pas nécessaire à cette fin, mais vous pouvez le laisser là comme solution de rechange en cas d'échec de BGP. .

Pour info - la façon dont je l'ai fait était d'entrer la configuration entière, en direct, pendant la journée, mais sans aucune entrée dans la liste d'accès. Puisque rien ne correspond, évidemment, tout le trafic se comporte normalement, suivant la table de routage. Cela fournit un cadre très facile, testable et réversible pour basculer entre les sous-réseaux internes, car tout ce qu'il faut à partir de ce point est simplement de les ajouter à l'ACL.

Mierdin
la source
la question initiale semble être de savoir comment envoyer le trafic d'un sous-réseau particulier (que PBR gère bien) vers le nouveau site uniquement pour une ou des destinations spécifiques. la mise à jour de l'ACL PBR_SUBNETS devrait faire l'affaire.
smoothbSE