Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 22:54



Ответить на тему  [ Сообщений: 88 ]  На страницу 1, 2, 3, 4  След.
GRE тунель и маршрутизация между 3-мя и более точками 
Автор Сообщение

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
К уже существующим двум объектам добавилась еще одна, третья точка.
С двумя было просто ;), вешал /30-битную сетку на интерфейсы, которые нужно соединить. Типа 10.100.10.1/30 на одной стороне и 10.100.10.2/30 на другой. И настраивал статическую маршрутизацию между ними.
Теперь не совсем понимаю как будет правильно добавить третью точку. Добавить в эту же сеть новый адрес 10.100.10.3, только конечно предварительно расширив количество хостов в ней, изменив на /29 битную например.
Или же так нельзя и нужно строить отдельный тунель с новой сетью /30 ? Типа 10.111.10.1/30. Тогда это получается нужно два тунеля GRE поднимать на одной из точек.
И как быть с маршрутизацией, лучше использовать уже динамическую, например EIGRP?


26 окт 2019, 00:23
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
В Вашем конкретном случае лучше всего построить от новой точки два туннеля (до каждой старой). На этих туннелях будут свои /30 подсетки. Использовать можете и статику, и динамику, - что больше любите.
Если масштабы будут сильно расти, то тогда стоит посмотреть на DMVPN, например, либо GETVPN в зависимости от транспорта.


26 окт 2019, 00:42
Профиль WWW

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
Black Fox писал(а):
В Вашем конкретном случае лучше всего построить от новой точки два туннеля (до каждой старой). На этих туннелях будут свои /30 подсетки. Использовать можете и статику, и динамику, - что больше любите.
Если масштабы будут сильно расти, то тогда стоит посмотреть на DMVPN, например, либо GETVPN в зависимости от транспорта.


Спасибо за ответ! В принципе рост масштабов вроде не ожидается, ;) но все же в плане обучения хотелось бы сделать по-изящнее уже сейчас, чем просто /30 тунели., если конечно есть другие, "взрослые" способы. Вот вы перечислили технологии, DMVPN, GETVPN, попробую немного разобраться, спасибо!
Чисто логически и теоретически мне казалось, что и в туннелировании должны быть способы динамической связи; чтобы уже существующие каналы могли сообщаться с новым, когда он появляется и сообщали остальным. Видимо надо разбираться глубже .


26 окт 2019, 15:49
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Вот читайте https://www.ciscolive.com/c/dam/r/cisco ... C-3054.pdf

Может для себя что-то найдёте.


26 окт 2019, 17:25
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
siqueiros писал(а):
Чисто логически и теоретически мне казалось, что и в туннелировании должны быть способы динамической связи; чтобы уже существующие каналы могли сообщаться с новым, когда он появляется и сообщали остальным.

Да, DMVPN (Multipoint GRE/NHRP, dynamic Spoke-to-Spoke) именно об этом.

siqueiros писал(а):
но все же в плане обучения хотелось бы сделать по-изящнее уже сейчас, чем просто /30 тунели., если конечно есть другие, "взрослые" способы. Вот вы перечислили технологии, DMVPN, GETVPN, попробую немного разобраться, спасибо!

Идея правильная, только нужно учитывать, что разбираться нужно на стенде в лабе, а не в продакшене.
Иначе у вас будет все лежать, пока вы там будете с бубном скакать. А бубен понадобится, и немаленький. :-)

А для начала можете сделать full mesh, как выше советовали. На 3 точки это не проблема.
И для этого GRE уже не нужен, есть IPSec VTI.

И почитайте про IKEv2 и FlexVPN, хорошие штуки.
На Cisco Live есть масса наглядных презентаций на эту тему (и на многие другие).
Вот тут есть ссылки:
viewtopic.php?f=2&t=11138

_________________
Knowledge is Power


27 окт 2019, 02:11
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
Silent_D писал(а):
siqueiros писал(а):
Идея правильная, только нужно учитывать, что разбираться нужно на стенде в лабе, а не в продакшене.
Иначе у вас будет все лежать, пока вы там будете с бубном скакать. А бубен понадобится, и немаленький. :-)


Всё верно, согласен с вами. Стараюсь не заплывать слишком далеко, чтобы потом смочь обратно приплыть, если что ;)...
Поэтому наверное лучше пока протянуть старый, добрый GRE к новой точке и спокойно разбираться дальше.


27 окт 2019, 17:17
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
Black Fox писал(а):
В Вашем конкретном случае лучше всего построить от новой точки два туннеля (до каждой старой). На этих туннелях будут свои /30 подсетки.


А старый туннель между двумя текущими, старыми точками оставить нужно или этот тунель уже избыточный?

То есть я имею ввиду следующее; есть точки А, Б, В, Г, Д. Одну из точек нужно выбрать главной, пускай это будет точка А и проложить четыре отдельных туннеля к каждой из точек-филиалов, верно? Это будут /30 сетки.
Туннель с сеткой 10.100.Б.1/30 к филиалу Б, туннель с сеткой 10.100.В.1/30 к филиалу В, туннель 10.100.Г.1/30 к филиалу Г, ну а так далее...
Главный офис А теперь имеет связь со всеми точками-филиалами, но будет ли достаточно только этих 4-х GRE туннелей, чтобы обеспечить маршрутизацию и связь филиалов с друг с другом? Филиала Б с В, Г, Д? Филиала В с Б, Г, Д? Филиала Г с Б, В, Д?


27 окт 2019, 17:31
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
root99 писал(а):
Вот читайте https://www.ciscolive.com/c/dam/r/cisco ... C-3054.pdf

Может для себя что-то найдёте.


Интересно, почитаю. Спасибо!


27 окт 2019, 20:11
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
Silent_D писал(а):
А для начала можете сделать full mesh, как выше советовали. На 3 точки это не проблема.
И для этого GRE уже не нужен, есть IPSec VTI.

И почитайте про IKEv2 и FlexVPN, хорошие штуки.


Оборудование уровня 38-й серии ISR такие плюшки может потянуть ? У меня из самых продвинутых только 3845 и 2811-е в филиалах.


27 окт 2019, 20:15
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
siqueiros писал(а):
То есть я имею ввиду следующее; есть точки А, Б, В, Г, Д. Одну из точек нужно выбрать главной,
пускай это будет точка А и проложить четыре отдельных туннеля к каждой из точек-филиалов, верно?

Т.е. точек уже 5?
Верно. Эта схема называется Hub-and-Spoke (звезда).
Центр. Офис - Hub, филиалы - Spokes.

siqueiros писал(а):
Главный офис А теперь имеет связь со всеми точками-филиалами, но будет ли достаточно только этих 4-х GRE туннелей,
чтобы обеспечить маршрутизацию и связь филиалов с друг с другом?

Если маршрутизация нормально настроена, то естественно будет достаточно.
Если где-то есть большой трафик между филиалами, то можно сделать дополнительный туннель Spoke-to-Spoke,
чтобы не гонять его через центр.

siqueiros писал(а):
Поэтому наверное лучше пока протянуть старый, добрый GRE к новой точке ...

GRE как бы не секурно, лучше сделать "старый добрый" IPSec VTI.
Ссылки на примеры я приводил в соседней теме (viewtopic.php?f=2&t=11138).

siqueiros писал(а):
Оборудование уровня 38-й серии ISR такие плюшки может потянуть ? У меня из самых продвинутых только 3845 и 2811-е в филиалах.

Наличие плюшек зависит от версии IOS. Для 3800/2800 желательно залить последнюю 15.1(4)M12a.
IKEv1 IPSec VTI там есть. IKEv2 нет.
Насчет потянет или нет - зависит от трафика, шифрование - ресурсоемкий процесс.
Вообще конечно это все уже утиль, нужно переходить на ISR 4k и ISR 1100.
C1111-4P рекомендую, очень понравилась железка.
Относительно недорого и обещают 150 Мбит IPSec VPN.

_________________
Knowledge is Power


27 окт 2019, 22:35
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
Silent_D писал(а):
siqueiros писал(а):
То есть я имею ввиду следующее; есть точки А, Б, В, Г, Д. Одну из точек нужно выбрать главной,
пускай это будет точка А и проложить четыре отдельных туннеля к каждой из точек-филиалов, верно?

Т.е. точек уже 5?
Верно. Эта схема называется Hub-and-Spoke (звезда).
Центр. Офис - Hub, филиалы - Spokes.


Нет, всё еще только 3, вместе с центром, всего. Просто для пущей наглядности и своего понимания привел в примере 5 штук ;)

Отлично; очень подробные дали ответы, большое спасибо, буду переваривать ! ;)


Последний раз редактировалось siqueiros 28 окт 2019, 00:47, всего редактировалось 1 раз.



28 окт 2019, 00:44
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
Отлично; очень подробные выше ответы дали, большое спасибо, буду переваривать ! ;)


Последний раз редактировалось siqueiros 28 окт 2019, 00:47, всего редактировалось 1 раз.



28 окт 2019, 00:45
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
!


28 окт 2019, 00:46
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
Silent_D писал(а):
Если маршрутизация нормально настроена, то естественно будет достаточно.
Если где-то есть большой трафик между филиалами, то можно сделать дополнительный туннель Spoke-to-Spoke,
чтобы не гонять его через центр.
.


Что-то с маршрутизацией запутался ;(, с двумя туннелями от Хаба к спокам пинги только между Hub и Spoke идут, а Spoke-to-Spoke нет.

Хаб—10.3.1.1. Два Spoke — 10.2.1.1 и 10.1.1.1. От Хаба два GRE туннеля до Spoke, — 100.100.1.1/252 (Туннель 1) к Spoke 10.1.1.1 и 100.100.2.1/252 (Туннель 2) к Spoke 10.2.1.1
Маршруты на Хабе пока прописал статические, чтобы понятнее было:
Код:
ip route 10.1.0.0 255.255.0.0 Tunnel1
и
Код:
 ip route 10.2.0.0 255.255.0.0 Tunnel2
.
На Spoke маршруты в сеть Хаба и соседний Spoke прописаны через туннель к Хабу, он же единственный.
То есть в сети 10.2.1.1 это
Код:
ip route 10.1.0.0 255.255.0.0 Tunnel3
и
Код:
ip route 10.3.0.0 255.255.0.0 Tunnel3
и в другом Spoke 10.1.1.1 это
Код:
ip route 10.3.0.0 255.255.0.0 Tunnel3
и
Код:
ip route 10.2.0.0 255.255.0.0 Tunnel3
.

Вообщем, пинги идут от Хаба к Спокам и от Спок к Хабу, а Споки друг друга не пингуют.


02 ноя 2019, 02:48
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
siqueiros писал(а):
Вообщем, пинги идут от Хаба к Спокам и от Спок к Хабу, а Споки друг друга не пингуют.

Что логично, если вы пингуете с самого спока (а не из сети за ним), то по умолчанию
ping идет от адреса интерфейса, смотрящего в сторону destination.
Т.е. от 100.100.x.x, а они друг про друга не знают.

В общем, чтобы не плодить маршруты и в них не запутаться, лучше сделать так:

На Hub:
Код:
ip route 10.1.0.0 255.255.0.0 Tunnel1
ip route 10.2.0.0 255.255.0.0 Tunnel2
ip route 10.3.0.0 255.255.0.0 Tunnel3
...
ip route 10.0.0.0 255.0.0.0 Null0 100

На Spoke(s):
Код:
ip route 10.0.0.0 255.0.0.0 Tunnel1
ip route 10.1.0.0 255.255.0.0 Null0 100

Поскольку, в общем случае, подсетей в филиале может быть больше чем одна,
то их логично назначать по подсети, а не как попало в разнобой.

Hub:
10.10.0.0 / 16 - Общая сеть и соотв. маршрут
10.10.1.0 / 24
10.10.2.0 / 24
10.10.3.0 / 24
...
10.10.10.0 / 24 - Voice

Spoke-1:
10.1.0.0 / 16 - Общая сеть и соотв. маршрут в Tunnel1
10.1.1.0 / 24
10.1.2.0 / 24
10.1.3.0 / 24
...
10.1.10.0 / 24 - Voice
10.100.1.0 / 30 - Tunnel1

Spoke-2:
10.2.0.0 / 16 - Общая сеть и соотв. маршрут в Tunnel2
10.2.1.0 / 24
10.2.2.0 / 24
10.2.3.0 / 24
...
10.2.10.0 / 24 - Voice
10.100.2.0 / 30 - Tunnel2

_________________
Knowledge is Power


02 ноя 2019, 03:15
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
siqueiros писал(а):
Вообщем, пинги идут от Хаба к Спокам и от Спок к Хабу, а Споки друг друга не пингуют.

Что логично, если вы пингуете с самого спока (а не из сети за ним), то по умолчанию
ping идет от адреса интерфейса, смотрящего в сторону destination.
Т.е. от 100.100.x.x, а они друг про друга не знают.

В общем, чтобы не плодить маршруты и в них не запутаться, лучше сделать так:

На Hub:
Код:
ip route 10.1.0.0 255.255.0.0 Tunnel1
ip route 10.2.0.0 255.255.0.0 Tunnel2
ip route 10.3.0.0 255.255.0.0 Tunnel3
...
ip route 10.0.0.0 255.0.0.0 Null0 100


У меня ведь на Hub только 2 туннеля, один Tunnel 1 к первому Spoke, другой ко второму - Tunnel 2.
Не смог понять для чего третий маршрут в сеть Hub через Tunnel 3, которого кстати пока нет. ;(

Silent_D писал(а):
На Spoke(s):
Код:
ip route 10.0.0.0 255.0.0.0 Tunnel1
ip route 10.1.0.0 255.255.0.0 Null0 100


Идею дропать на Null интерфейс вы подали очень кстати, спасибо, ! Честно говоря, признаюсь, что на практике этим не пользовался, только теоретически приходилось сталкиваться, но чисто интуитивно предполагал, что маршруты в моем случае могут зацикливаться и их нужно загонять и "прибивать" в Null.
Постараюсь понять принцип работы подробнее, с вашей подачи, !

siqueiros писал(а):
Поскольку, в общем случае, подсетей в филиале может быть больше чем одна,
то их логично назначать по подсети, а не как попало в разнобой.

Hub:
10.10.0.0 / 16 - Общая сеть и соотв. маршрут
10.10.1.0 / 24
10.10.2.0 / 24
10.10.3.0 / 24
...
10.10.10.0 / 24 - Voice

Spoke-1:
10.1.0.0 / 16 - Общая сеть и соотв. маршрут в Tunnel1
10.1.1.0 / 24
10.1.2.0 / 24
10.1.3.0 / 24
...
10.1.10.0 / 24 - Voice
10.100.1.0 / 30 - Tunnel1

Spoke-2:
10.2.0.0 / 16 - Общая сеть и соотв. маршрут в Tunnel2
10.2.1.0 / 24
10.2.2.0 / 24
10.2.3.0 / 24
...
10.2.10.0 / 24 - Voice
10.100.2.0 / 30 - Tunnel2


Вы знаете, у меня вроде как-бы и так, если я правильно понял ваш принцип. Просто пронумеровал по-другому. Но принцип следующий.

10.X.Y.Z.— где X номер узла, Y номер внутренних подсетей узлов, ну и Z - просто хосты.

Hub получил номер узла 3 — 10.3.0.0., в которой свои подсети,... 10.3.11.0/29 это для VoIP, (29 битную сделал, на 6 хостов только, объект маленький, больше 2-3 телефонов не намечается).
Для видеонаблюдения подсеть 22, тоже /29 бит, всего три айпи камеры, подсеть 10.3.22.0.
Подсеть для компьютеров, принтеров и других машин это подсеть 33, — 10.3.33.0 /24, ну она уже на 254 хоста, на всякий случай.
Еще Loopback интерфейсу присвоил 10.3.1.1 адрес, в принципе можно для общей сети еще .10 использовать, или .100.

Туннели от Хаба к Спокам протянул используя подсеть 10.100.(1).1/30, — Туннель 1 к узлу Spoke 10.1.0.0, и Туннель 2 — 10.100.(2).1/30. На Spoke соответственно 10.100.1.2/30 и 10.100.2.2/30

Как думаете, это правильны принцип или есть ошибки?


02 ноя 2019, 13:52
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
P.S. Пробовал EIGRP использовать вместо статики, к сожалению не получается, вообще ничего не работает, IP телефония в первую очередь, телефоны в филиалы звонят, но голоса не слышно, видимо маршрут криво идет.


02 ноя 2019, 14:09
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
Silent_D писал(а):

ip route 10.1.0.0 255.255.0.0 Null0 100
[/code]


То есть мы все маршруты, которые явно и конкретно не прописаны заворачиваем в Null и прибиваем, чтобы не было зацикливания? Я примерно правильно понимаю принцип?
А в динамическом EIGRP тоже заворачивание на Null необходимо или там зацикливания не должно быть в принципе?

И нет ли надобности в маршруте на Null в Spoke-ах?


02 ноя 2019, 14:25
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
siqueiros писал(а):
10.3.11.0/29 это для VoIP, (29 битную сделал, на 6 хостов только, объект маленький, больше 2-3 телефонов не намечается).
Для видеонаблюдения подсеть 22, тоже /29 бит, всего три айпи камеры, подсеть 10.3.22.0.

А можно поинтересоваться, зачем /29?
У вас по этой схеме 250 подсетей /24 на каждом узле. Вам мало? Что там экономить?

siqueiros писал(а):
То есть мы все маршруты, которые явно и конкретно не прописаны заворачиваем в Null и прибиваем, чтобы не было зацикливания?

Не все, а те, которые анонсирует узел.
Помимо борьбы с "гулянием" ненужного трафика, есть такая фича, что EIGRP не анонсирует
маршрут, на который нет явного локального роута (static, connected, local etc.).
Для явно заданных сетей точно, и для summary тоже скорее всего.

siqueiros писал(а):
И нет ли надобности в маршруте на Null в Spoke-ах?

Вы предыдущий пост внимательно прочитали?

Вообще, если у вас трудности со статикой на три узла, то думать, что EIGRP автоматом ("оно само")
решит все проблемы - это заблуждение.
Ну т.е. оно конечно может случайно и заработает, но это будет как "мартышка и очки".

Есть такая полезная команда -
Код:
show ip route

Изучать вывод вдумчиво.

И почитайте предварительно что-нибудь про маршрутизацию вообще, хотя бы курс CCNA.
Там хорошо изложены общие принципы.
Потом уже можно переходить к EIGRP.

Или "Сети для самых маленьких" на Хабре.

Сети для самых маленьких. Часть третья. Статическая маршрутизация
https://habr.com/ru/post/140552/

Сети для самых маленьких. Часть шестая. Динамическая маршрутизация
https://habr.com/ru/post/156695/

_________________
Knowledge is Power


02 ноя 2019, 23:05
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
Silent_D писал(а):
siqueiros писал(а):
10.3.11.0/29 это для VoIP, (29 битную сделал, на 6 хостов только, объект маленький, больше 2-3 телефонов не намечается).
Для видеонаблюдения подсеть 22, тоже /29 бит, всего три айпи камеры, подсеть 10.3.22.0.


А можно поинтересоваться, зачем /29?
У вас по этой схеме 250 подсетей /24 на каждом узле. Вам мало? Что там экономить?/


Ну, в принципе незачем конечно ;). Давно настраивал, тогда изучал сети, деление на подсети, маски CIDR, VLSM, тренировался можно сказать на практике. Как-то аккуратнее сеть получается что-ли ;), и хостов не расплодится больше чем нужно. Просто баловство короче, проще /24 забивать и не заморачиваться.



Silent_D писал(а):
Вообще, если у вас трудности со статикой на три узла, то думать, что EIGRP автоматом ("оно само")
решит все проблемы - это заблуждение.
Ну т.е. оно конечно может случайно и заработает, но это будет как "мартышка и очки".

Есть такая полезная команда -
Код:
show ip route

Изучать вывод вдумчиво.

И почитайте предварительно что-нибудь про маршрутизацию вообще, хотя бы курс CCNA.
Там хорошо изложены общие принципы.
Потом уже можно переходить к EIGRP.

Или "Сети для самых маленьких" на Хабре.

Сети для самых маленьких. Часть третья. Статическая маршрутизация
https://habr.com/ru/post/140552/

Сети для самых маленьких. Часть шестая. Динамическая маршрутизация
https://habr.com/ru/post/156695/


Да, хорошие ссылки, спасибо, читал когда-то, я просто не профессионал, так, хобби, для себя, для души, но особых способностей конечно нет, к сожалению. И постоянно тоже не удается заниматься этой областью, можно сказать сезонно ;), что-то читаю, учу, разбираю, вроде всё встает на свои места, потом особых задач не остается, перескакиваю на какую-то другую область и многое начинаю забывать....
С возрастом конечно надо уже на чём-то одном сфокусироваться и как-то развиваться в этой области, к сожалению меня в разные стороны кидает, вроде уже и не молод...
На SafariOnline слушал курс CCNA Кэвина Валайса, вроде так звали. Такой забавный мужичок, доходчиво рассказывал. Но потом улетучивается из головы, надо видимо в этом вариться.


03 ноя 2019, 21:36
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
Не хотелось бы донимать никого примитивными вопросами, но всё же позвольте узнать.;
Вы выше рекомендовали на Hub маршрут к туннелю 3-му проложить, я не понял почему и куда.
У меня ведь от Хаба к двум Спокам проложены соответственно два туннеля, по-одному к каждому. Третьего нет.
Для чего
Код:
ip route 10.3.0.0 255.255.0.0 Tunnel3
вы выше используете?

От Spoke вы рекомендуете следующее;

На Spoke(s):
Код:
ip route 10.0.0.0 255.0.0.0 Tunnel1
ip route 10.1.0.0 255.255.0.0 Null0 100


Завернуть весь трафик со Spoke, со всех подсетей на Туннель 1, который к Hub проложен? Мне так вроде не хотелось бы.
Мне нужно, чтобы Spoke между собой могли через Hub маршруты гонять только для телефонии. То есть голосовая подсеть Spoke 1 — 10.1.11.0 могла звонить подсети 10.2.11.0 Spoke 2 и туннелем служил туннель к Hub. — 10.3.1.0.


04 ноя 2019, 22:18
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
siqueiros писал(а):
Вы выше рекомендовали на Hub маршрут к туннелю 3-му проложить, я не понял почему и куда.

Как то у вас туго с воображением. :-)
Вы же сами писали про 5 узлов.
Это схема в общем виде, как подход к планированию адресации и марщрутизации.

siqueiros писал(а):
Завернуть весь трафик со Spoke, со всех подсетей на Туннель 1, который к Hub проложен?
Мне так вроде не хотелось бы.
Мне нужно, чтобы Spoke между собой могли через Hub маршруты гонять только для телефонии.

У вас филиалы данными не обмениваются, только голос?
Сегодня "только для телефонии", завтра еще что-то понадобится.
Вы собираетесь каждый раз переделывать маршрутизацию?

Разграничение доступа - это не функция маршрутизации, для этого есть ACL.

_________________
Knowledge is Power


04 ноя 2019, 22:30
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
Вот у меня конфигурация с Хаба, два туннеля до двух Spoke.

Код:
interface Tunnel1
 description Spoke1-GRE
 ip address 10.100.1.1 255.255.255.252
 tunnel source GigabitEthernet0/1
 tunnel destination 194.167.109.149
!
interface Tunnel2
 description Spoke2-GRE
 ip address 10.100.2.1 255.255.255.252
 tunnel source GigabitEthernet0/1
 tunnel destination 88.113.139.106


Вот маршруты, которые я прописал на Hub

Код:
ip route 0.0.0.0 0.0.0.0 192.152.71.30 ------- Это шлюз провайдера

ip route 10.0.0.0 255.0.0.0 Null0 100
ip route 10.1.0.0 255.255.0.0 Tunnel1
ip route 10.2.0.0 255.255.0.0 Tunnel2


Вот конфигурация со Spoke"ов;

С первого Spoke 1;


Туннель до Hub

Код:
interface Tunnel3
 description to HUB-GRE
 ip address 10.100.1.2 255.255.255.252
 tunnel source FastEthernet0/1
 tunnel destination 194.34.67.54


Маршруты;

Код:
ip route 10.2.0.0 255.255.0.0 Tunnel3------ До второго Spoke через основной Туннель до Хаба
ip route 10.3.0.0 255.255.0.0 Tunnel3------ В сеть Хаба, через тот же туннель до Хаба.



Со второго Spoke:

Туннель до Хаба.

Код:
interface Tunnel3
 description to HUB-GRE
 ip address 10.100.2.2 255.255.255.252
 tunnel source FastEthernet0/1
 tunnel destination 194.34.67.54


Маршруты;

Код:
ip route 10.1.0.0 255.255.0.0 Tunnel3-------- Маршрут в Spoke 1
ip route 10.3.0.0 255.255.0.0 Tunnel3---------Маршрут в Hub.



В результате Хаб со Споками общается, но Споки между собой не могут связаться и до Хаба тоже дозвониться нельзя.
Где-то закралась ошибка.


04 ноя 2019, 22:54
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
siqueiros писал(а):
В результате Хаб со Споками общается, но Споки между собой не могут связаться и до Хаба тоже дозвониться нельзя.
Где-то закралась ошибка.

http://top10-anekdot.ru/anekdot.php?cat ... mm&page=26
(Простите, не удержался. :-) )

Я же вам написал, как сделать правильно. Вы упорствуете.
Чем тут еще можно помочь?

_________________
Knowledge is Power


04 ноя 2019, 23:20
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
Silent_D писал(а):
siqueiros писал(а):
В результате Хаб со Споками общается, но Споки между собой не могут связаться и до Хаба тоже дозвониться нельзя.
Где-то закралась ошибка.

http://top10-anekdot.ru/anekdot.php?cat ... mm&page=26
(Простите, не удержался. :-) )

Я же вам написал, как сделать правильно. Вы упорствуете.
Чем тут еще можно помочь?


В том-то и дело, что такая маршрутизация не срабатывает. Я бы не спрашивал дальше и не беспокоил.
Я добавил ваши рекомендации, просто в примерах привел изначальный вариант, свой, чтобы путаницы не было и было понятнее; может я изначально не так объяснил.
На Spoke такой маршрут не действует.

Код:
ip route 10.0.0.0 255.0.0.0 Tunnel1
ip route 10.1.0.0 255.255.0.0 Null0 100


04 ноя 2019, 23:36
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 88 ]  На страницу 1, 2, 3, 4  След.

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 55


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB