URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 565
[ Назад ]

Исходное сообщение
"Cisco OSPF ACL"
Отправлено McLeod095 , 27-Фев-13 17:22

Здравствуйте!
есть вопрос по OSPF, вернее даже прошу совета как лучше организовать
есть три площадки связанных между собой, получается треугольник, если рисовать связи между площадками. Делаю ospf между ними, что бы при падении одного канала трафик шел не напрямую а через соседа, вроде все норм. Но вот назадача. на tun интерфейсах висят acl, которые разрешают трафик только тот которые необходимо и для каждой связи между площадками он свой, естественно если переключить трафик через соседа, то он не пропускает траф который идет к другой площадке. Как лучше здесь организовать acl, получается делать везде один и вешать его на gre туннели? или есть другие варианты?

Содержание

Cisco OSPF ACL,GolDi, 17:33 , 27-Фев-13
- Cisco OSPF ACL,McLeod095, 17:34 , 27-Фев-13
Cisco OSPF ACL,Andrey, 17:58 , 27-Фев-13
- Cisco OSPF ACL,McLeod095, 18:09 , 27-Фев-13
  - Cisco OSPF ACL,crash, 06:33 , 28-Фев-13
  - Cisco OSPF ACL,sTALK_specTrum, 08:32 , 28-Фев-13
    - Cisco OSPF ACL,McLeod095, 10:59 , 28-Фев-13
      - Cisco OSPF ACL,sTALK_specTrum, 11:23 , 28-Фев-13
        
        Cisco OSPF ACL,McLeod095, 12:00 , 28-Фев-13

Сообщения в этом обсуждении

"Cisco OSPF ACL"
Отправлено GolDi , 27-Фев-13 17:33

>[оверквотинг удален]
> есть вопрос по OSPF, вернее даже прошу совета как лучше организовать
> есть три площадки связанных между собой, получается треугольник, если рисовать связи между
> площадками. Делаю ospf между ними, что бы при падении одного канала
> трафик шел не напрямую а через соседа, вроде все норм. Но
> вот назадача. на tun интерфейсах висят acl, которые разрешают трафик только
> тот которые необходимо и для каждой связи между площадками он свой,
> естественно если переключить трафик через соседа, то он не пропускает траф
> который идет к другой площадке. Как лучше здесь организовать acl, получается
> делать везде один и вешать его на gre туннели? или есть
> другие варианты?
делать ACL не на интерфейсах, а на самом OSPF

"Cisco OSPF ACL"
Отправлено McLeod095 , 27-Фев-13 17:34

>[оверквотинг удален]
>> есть три площадки связанных между собой, получается треугольник, если рисовать связи между
>> площадками. Делаю ospf между ними, что бы при падении одного канала
>> трафик шел не напрямую а через соседа, вроде все норм. Но
>> вот назадача. на tun интерфейсах висят acl, которые разрешают трафик только
>> тот которые необходимо и для каждой связи между площадками он свой,
>> естественно если переключить трафик через соседа, то он не пропускает траф
>> который идет к другой площадке. Как лучше здесь организовать acl, получается
>> делать везде один и вешать его на gre туннели? или есть
>> другие варианты?
> делать ACL не на интерфейсах, а на самом OSPF
Это как?
Кстати cisco 2851

"Cisco OSPF ACL"
Отправлено Andrey , 27-Фев-13 17:58

>[оверквотинг удален]
> есть вопрос по OSPF, вернее даже прошу совета как лучше организовать
> есть три площадки связанных между собой, получается треугольник, если рисовать связи между
> площадками. Делаю ospf между ними, что бы при падении одного канала
> трафик шел не напрямую а через соседа, вроде все норм. Но
> вот назадача. на tun интерфейсах висят acl, которые разрешают трафик только
> тот которые необходимо и для каждой связи между площадками он свой,
> естественно если переключить трафик через соседа, то он не пропускает траф
> который идет к другой площадке. Как лучше здесь организовать acl, получается
> делать везде один и вешать его на gre туннели? или есть
> другие варианты?
Перенести acl на внутренние интерфейсы?

"Cisco OSPF ACL"
Отправлено McLeod095 , 27-Фев-13 18:09

>[оверквотинг удален]
>> есть три площадки связанных между собой, получается треугольник, если рисовать связи между
>> площадками. Делаю ospf между ними, что бы при падении одного канала
>> трафик шел не напрямую а через соседа, вроде все норм. Но
>> вот назадача. на tun интерфейсах висят acl, которые разрешают трафик только
>> тот которые необходимо и для каждой связи между площадками он свой,
>> естественно если переключить трафик через соседа, то он не пропускает траф
>> который идет к другой площадке. Как лучше здесь организовать acl, получается
>> делать везде один и вешать его на gre туннели? или есть
>> другие варианты?
> Перенести acl на внутренние интерфейсы?
Ну это не вариант, потому как лучше все таки acl вешать к интерфейсу приемнику, так не будет лишних опраций.
Сейчас на каждом узле по два туннеля и на каждом туннеле свой acl, вот и думал как сделать.
Тем более что даже если объеденить два acl в один и повесить его на каждый туннель, то все равно в нем необходимо будет прописывать правила разрешающие прохождение трафика относящего к двум другим соседям, что при большом количестве сетей вытекает в n количество правил на каждом маршрутизаторе.

"Cisco OSPF ACL"
Отправлено crash , 28-Фев-13 06:33

>[оверквотинг удален]
>>> трафик шел не напрямую а через соседа, вроде все норм. Но
>>> вот назадача. на tun интерфейсах висят acl, которые разрешают трафик только
>>> тот которые необходимо и для каждой связи между площадками он свой,
>>> естественно если переключить трафик через соседа, то он не пропускает траф
>>> который идет к другой площадке. Как лучше здесь организовать acl, получается
>>> делать везде один и вешать его на gre туннели? или есть
>>> другие варианты?
>> Перенести acl на внутренние интерфейсы?
> Ну это не вариант, потому как лучше все таки acl вешать к
> интерфейсу приемнику, так не будет лишних опраций.
каких именно операций? Вешаете на внутренних интерфейсах листы и разрешаете только то что вам надо. А так вы сами себе геморрой придумываете. Либо разрешайте в туннелях трафик для всех филиалов.

"Cisco OSPF ACL"
Отправлено sTALK_specTrum , 28-Фев-13 08:32

> Тем более что даже если объеденить два acl в один и повесить
> его на каждый туннель, то все равно в нем необходимо будет
> прописывать правила разрешающие прохождение трафика относящего к двум другим соседям,
> что при большом количестве сетей вытекает в n количество правил на
> каждом маршрутизаторе.
Да ну нафиг. Если аклы стоят на входе внешних интерфейсов, в общем случае добавить в конце пару строк типа:
deny ip any <внутренняя_сеть>
permit ip <сети_всех_филиалов> any
И пусть они между собой через этот филиал летают.

"Cisco OSPF ACL"
Отправлено McLeod095 , 28-Фев-13 10:59

>> Тем более что даже если объеденить два acl в один и повесить
>> его на каждый туннель, то все равно в нем необходимо будет
>> прописывать правила разрешающие прохождение трафика относящего к двум другим соседям,
>> что при большом количестве сетей вытекает в n количество правил на
>> каждом маршрутизаторе.
> Да ну нафиг. Если аклы стоят на входе внешних интерфейсов, в общем
> случае добавить в конце пару строк типа:
> deny ip any <внутренняя_сеть>
> permit ip <сети_всех_филиалов> any
> И пусть они между собой через этот филиал летают.
Ну пока так и сделал, ну и один ACL на все внешние интерфейсы впихнул. Но т.к. сетей много, то уже таких правил permit много.
А при помощи Zone-Based Policy Firewall нельзя решить? Просто пока только наткнулся на это, только начал читать.

"Cisco OSPF ACL"
Отправлено sTALK_specTrum , 28-Фев-13 11:23

> Но т.к. сетей много, то уже таких правил permit много.
Зачем? Если сетка нормально была спланирована, то сети филиалов должны красиво объединяться в один диапазон. Записал всех в 172.16.0.0 0.15.255.255 и не мучиться. Например.

"Cisco OSPF ACL"
Отправлено McLeod095 , 28-Фев-13 12:00

>> Но т.к. сетей много, то уже таких правил permit много.
> Зачем? Если сетка нормально была спланирована, то сети филиалов должны красиво объединяться
> в один диапазон. Записал всех в 172.16.0.0 0.15.255.255 и не мучиться.
> Например.
Ну как бы сетки никто не планировал, раньше свзяь была только точка точка, и без всяких ospf. Просто при изменениях настроек на одной из территорий, приходится оставаться без связи, вот и решил пустить пока все через другой, ну и оставить так на будущее.