ASBR1 分別和 ASBR2、ASBR3做了option-B。
從 PC3 ping PC2,目前走的是藍色的路線,怎樣能變成紅色的路線?
並且從 PC2 ping PC3,怎樣能反走紅色的路線?
有沒有大佬能給一點具體的說明,比如在哪邊的接口寫什麼
(0)
我覺得這個不動PE和ASBR,直接從CE側動手應該會簡單一些。
比如用GER隧道應該可以實現。就是讓報文先做GRE封裝,再壓入MPLS標簽。
給CE1、CE2、CE3分別創建一個loopback接口,比如分別是1.1.1.1、2.2.2.2、3.3.3.3。
把這三個地址當做私網的主機路由分別發布給各自的PE,保證何以互通。
在CE1和CE2之間創建GRE隧道tunnel 12,源是1.1.1.1,目的地址2.2.2.2。
同理,在CE1和CE3之間創建GRE隧道tunnel 13。
在CE3上寫靜態路由,指定去PC2的流量走tunnel 13,這樣流量會先到達CE1。(指定一下靜態路由的優先級,保證他比原來的路由高,後麵的配置同理。)
在CE1上對tunnel 13調用相關的策略路由或使用其他引流手段,把流量引向防火牆。
等流量從防火牆上發回CE1後,匹配一條去PC2的靜態路由,指向tunnel 12,把流量轉發給CE2,並正常到達PC 2。
回向流量的配置同理。
(1)
差不多是可以的,如果再這個基礎上考慮安全性,給GRE隧道做IPSec,那引流的策略路由應該匹配加密後的路由嗎
我的判斷是要看具體配置。如果CE1隻是通過GRE隧道中轉CE3和CE2發過來的ipsec封裝過的報文(自身不配置ipsec),那麼引流時應該匹配ipsec封裝後的報文;但如果CE1是把CE3發過來的報文ipsec解封裝後引流到防火牆上,然後把回來的報文重新做ipsec封裝以後再發給CE2的,那麼策略路由應該要匹配原始報文(PC剛發出來的報文,未進行GRE、IPSEC、MPLS封裝的最初的報文)。
如果是要實現(CE1是把CE3發過來的報文ipsec解封裝後引流到防火牆上,然後把回來的報文重新做ipsec封裝以後再發給CE2的,那麼策略路由應該要匹配原始報文)這種,是應該CE1分別和CE2、CE3做IPSec嗎?如果是,IPSec匹配的感興趣流的是gre隧道的源和目的IP嗎?然後再在CE1上對原始報文進行策略路由引流?
可是這樣做的ike sa 為空
然後如果CE2和CE3那裏的IPSec感興趣流寫了原始報文,但是CE1該寫什麼感興趣流呢
如果IPSec的感興趣流寫的是gre隧道的源和目的IP,好像根本匹配不上
如果覺得封裝多層比較暈的話,可以先不用gre,就做ipsec(把用純gre做的那些配置全改成ipsec),ipsec本身也具備做vpn的能力,兩個願望一次滿足,所有acl全都匹配原始報文,簡單粗暴。
在CE1和PE1之間又添了一條線路,然後實現了
感謝您的幫助!!!
這個估計不好滿足,不過可以讓PC3訪問PC-2的流量走PE3-PE1-PE2。但是要流量走CE1-在過一遍防火牆有點難
(0)
其實就是控製控製RT值,你可以參考下MPLS-vpn中Hub and Spoke場景,讓PE1收到PE2和PE3的路由,PE2和PE3之間不學習彼此路由。
那如果讓PC3訪問PC2的流量走PE3-PE1-PE2,具體怎麼做呢
其實就是控製控製RT值,你可以參考下MPLS-vpn中Hub and Spoke場景,讓PE1收到PE2和PE3的路由,PE2和PE3之間不學習彼此路由。
ASBR1 \PE1\CE1\FW 做策略路由,接口就是你紅色的流量接口。
(0)
好像實現不了的
好像實現不了的
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
感謝您的幫助!!!