Embedded Files
В свое время столкнулся с задачей, довольно редкой, на мой взгляд, - наличие более одного выхода в Интернет и другие внешние сети у организации. А главное - необходимость разрулить трафик не по назначению, а по источнику, и при этом организовать достаточно надежное соединение.
Вот как это стало выглядеть в последствии:
Схема
Но изначально все было более чем печально. Часть "хвостов" от провайдеров висели в воздухе, что-то было подключено вообще напрямую в сеть, а что-то было воткнуто в сервера. Ни NAT, ни какой либо иной защиты просто напросто не было. При том, что серверов хватало, на которых можно было бы настроить прокси, и циски были, они просто пылились в углу, а часть лежала еще дальше и в коробках. Люди просто не знали, что с этим добром делать!
В первую очередь пришлось построить защиту на базе 2811 и MS ISA сервере, а в последствии развернуть ядро на базе 3750. Много времени ушло на построение и перестроение локальной сети, но потом пришлось заняться внешними каналами. Как выяснилось, использовался не самый производительный канал, да и нагрузка на сеть постоянно росла.
Задачи стояли следующие:
- Выпустить в Интернет пользователей через один канал, самый толстый ISP2, причем с использованием MS ISA;
- Организовать с внешнем миром связь по VPN определенного оборудования, используя ISP1 и циску поставщика оборудования;
- Обеспечить заход избранных пользователей по VPN в локальную сеть, используя ISP3 и авторизуя пользователей вторым сервером MS ISA;
- Выпустить несколько пользователей в Интернет через второй прокси и соответствующий канал;
- Перенаправить служебный трафик серверов, используя ISP1;
- Иметь возможность быстро переключить пользователей на запасной канал, не влезая в перенастройку всего оборудования, но и не настраивая автоматику, дабы защититься от случайных срабатываний;
- Организовать связь с дружественной организацией минуя Интернет;
- Выпускать часть пользователей локальной сети минуя прокси сервера.
Сие действа можно было организовать с помощью цисок и волшебного route-map (карты маршрутов).
После долгого курения манов я сходил к знающим людям и поспрашал их немного, т.к. у меня не "клеились" настройки. Спрашивал я тут - http://www.certification.ru/cgi-bin/forum.cgi?action=thread&id=36807, а получив совет - все доделал и поблагодарил добрых людей.
Итак, немного из того самого обсуждения и пошаговая стратегия (на примере 3750 Router из схемы выше):
- Т.к. было организованно физическое соединение одним кабелем между 3750 Router и 3750 Core (прошивка IP Services), то физический интерфейс настраиваем в Trunk, а VLAN интерфейсы на дальнейшую настройку под route-map:
interface GigabitEthernet1/0/1switchport trunk encapsulation dot1qswitchport mode trunkinterface Vlan1description LANip address 192.168.250.2 255.255.0.0interface Vlan550description Main Routingip address 172.30.8.2 255.255.252.0- На коммутаторе с возможностью маршрутизации, на котором нужно реализовать route-map, в первую очередь нужно выполнить
sdm prefer routing, чтобы циска однозначно использовала маршрутизацию, а не коммутацию. (на маршрутизаторах этот шаг как правило не нужен, там изначально все настроено на маршрутизацию) - Создаем статические маршруты:
ip classlessip route 0.0.0.0 0.0.0.0 172.30.8.10ip route 172.16.0.0 255.255.0.0 172.30.8.1 name LAN( 172.30.8.1 - адрес 3750 Core )
- Создаем ACL листы (моя статья по этому поводу), на основании которых будем рулить (ремарки в листах - для удобства работы с ними в дальнейшем):
access-list 101 remark .access-list 101 remark Route through PROXY 172.30.8.10access-list 101 permit ip 172.16.0.0 0.0.255.255 anyaccess-list 101 permit ip 192.168.0.0 0.0.255.255 anyaccess-list 125 remark .access-list 125 remark Route through PROXY 192.168.0.9access-list 125 remark . TO Biblio Sitesaccess-list 125 permit ip any host 160.109.109.143access-list 125 permit ip any host 198.81.200.2access-list 125 remark . FROM Otheraccess-list 125 permit ip host 172.16.32.128 anyaccess-list 125 permit ip host 172.16.251.11 anyaccess-list 125 remark . FROM Serversaccess-list 125 permit ip host 192.168.0.5 anyaccess-list 135 remark .access-list 135 remark Route through PIX 172.30.8.5access-list 135 remark . sitesaccess-list 135 permit ip any 10.36.173.0 0.0.0.255access-list 135 remark . transplant CODaccess-list 135 permit ip any host 87.245.138.172access-list 135 remark . 1C regaccess-list 135 permit ip any host 194.190.207.41access-list 135 remark . serversaccess-list 135 permit ip host 192.168.0.251 anyaccess-list 135 permit ip host 172.16.254.3 anyaccess-list 135 remark . adminsaccess-list 135 permit ip host 172.16.32.2 anyaccess-list 135 permit ip host 172.16.32.5 anyaccess-list 135 remark . users otheraccess-list 135 permit ip host 172.16.52.99 anyaccess-list 145 remark .access-list 145 remark Siemens route through 192.168.0.21access-list 145 permit ip host 172.16.115.2 anyaccess-list 145 permit ip host 172.16.115.3 any- Теперь создаем непосредственно саму карту маршрутов (главное помнить, что обработка идет последовательно, а как видно из ACL № 101 - трафик будет обрабатываться почти весь, соответственно его нужно пихать в конец карты):
route-map MAIN permit 10description Siemensmatch ip address 145set ip next-hop 192.168.0.21route-map MAIN permit 20description ISA_2match ip address 125set ip next-hop 192.168.0.9route-map MAIN permit 30description 2801match ip address 135set ip next-hop 172.30.8.5route-map MAIN permit 40description ISA_1match ip address 101set ip next-hop 172.30.8.10- Теперь, когда карта прописана и у нас есть ACL, можно прикручивать карту к интерфейсу:
interface Vlan550ip policy route-map MAIN
Главное в этой истории то, что в случае если Вы измените хотя бы на символ саму карту - придется откручивать и прикручивать заново ее к интерфейсу, иначе все перестанет работать.
А вот при любом изменении ACL ничего страшного не происходит и, соответственно, если нужно что-то куда-то перенаправить, просто вносите изменения в них и все, процесс будет работать.
Disclaimer
Как говорили добрые люди - PBR - это зло, тем более для каталиста. Во всех мануалах его рекомендуют использовать в самых крайних случаях. Так что если вдруг загрузка CPU подскочит до 100 % - не удивляйтесь.
Именно по этой причине данный сервис был поднят мною не на сетевом ядре, а в стороне от него.
Page updated
Google Sites
Report abuse