- Cisco OSPF ACL,
 GolDi, 17:33 , 27-Фев-13 (1)>[оверквотинг удален]
> есть вопрос по OSPF, вернее даже прошу совета как лучше организовать
> есть три площадки связанных между собой, получается треугольник, если рисовать связи между
> площадками. Делаю ospf между ними, что бы при падении одного канала
> трафик шел не напрямую а через соседа, вроде все норм. Но
> вот назадача. на tun интерфейсах висят acl, которые разрешают трафик только
> тот которые необходимо и для каждой связи между площадками он свой,
> естественно если переключить трафик через соседа, то он не пропускает траф
> который идет к другой площадке. Как лучше здесь организовать acl, получается
> делать везде один и вешать его на gre туннели? или есть
> другие варианты?делать ACL не на интерфейсах, а на самом OSPF
- Cisco OSPF ACL, McLeod095, 17:34 , 27-Фев-13 (2)
>[оверквотинг удален]
>> есть три площадки связанных между собой, получается треугольник, если рисовать связи между
>> площадками. Делаю ospf между ними, что бы при падении одного канала
>> трафик шел не напрямую а через соседа, вроде все норм. Но
>> вот назадача. на tun интерфейсах висят acl, которые разрешают трафик только
>> тот которые необходимо и для каждой связи между площадками он свой,
>> естественно если переключить трафик через соседа, то он не пропускает траф
>> который идет к другой площадке. Как лучше здесь организовать acl, получается
>> делать везде один и вешать его на gre туннели? или есть
>> другие варианты?
> делать ACL не на интерфейсах, а на самом OSPF Это как?
Кстати cisco 2851
- Cisco OSPF ACL, Andrey, 17:58 , 27-Фев-13 (3)
>[оверквотинг удален]
> есть вопрос по OSPF, вернее даже прошу совета как лучше организовать
> есть три площадки связанных между собой, получается треугольник, если рисовать связи между
> площадками. Делаю ospf между ними, что бы при падении одного канала
> трафик шел не напрямую а через соседа, вроде все норм. Но
> вот назадача. на tun интерфейсах висят acl, которые разрешают трафик только
> тот которые необходимо и для каждой связи между площадками он свой,
> естественно если переключить трафик через соседа, то он не пропускает траф
> который идет к другой площадке. Как лучше здесь организовать acl, получается
> делать везде один и вешать его на gre туннели? или есть
> другие варианты?Перенести acl на внутренние интерфейсы?
- Cisco OSPF ACL, McLeod095, 18:09 , 27-Фев-13 (4)
>[оверквотинг удален]
>> есть три площадки связанных между собой, получается треугольник, если рисовать связи между
>> площадками. Делаю ospf между ними, что бы при падении одного канала
>> трафик шел не напрямую а через соседа, вроде все норм. Но
>> вот назадача. на tun интерфейсах висят acl, которые разрешают трафик только
>> тот которые необходимо и для каждой связи между площадками он свой,
>> естественно если переключить трафик через соседа, то он не пропускает траф
>> который идет к другой площадке. Как лучше здесь организовать acl, получается
>> делать везде один и вешать его на gre туннели? или есть
>> другие варианты?
> Перенести acl на внутренние интерфейсы?Ну это не вариант, потому как лучше все таки acl вешать к интерфейсу приемнику, так не будет лишних опраций.
Сейчас на каждом узле по два туннеля и на каждом туннеле свой acl, вот и думал как сделать.
Тем более что даже если объеденить два acl в один и повесить его на каждый туннель, то все равно в нем необходимо будет прописывать правила разрешающие прохождение трафика относящего к двум другим соседям, что при большом количестве сетей вытекает в n количество правил на каждом маршрутизаторе.
- Cisco OSPF ACL, crash, 06:33 , 28-Фев-13 (5)
>[оверквотинг удален]
>>> трафик шел не напрямую а через соседа, вроде все норм. Но
>>> вот назадача. на tun интерфейсах висят acl, которые разрешают трафик только
>>> тот которые необходимо и для каждой связи между площадками он свой,
>>> естественно если переключить трафик через соседа, то он не пропускает траф
>>> который идет к другой площадке. Как лучше здесь организовать acl, получается
>>> делать везде один и вешать его на gre туннели? или есть
>>> другие варианты?
>> Перенести acl на внутренние интерфейсы?
> Ну это не вариант, потому как лучше все таки acl вешать к
> интерфейсу приемнику, так не будет лишних опраций.каких именно операций? Вешаете на внутренних интерфейсах листы и разрешаете только то что вам надо. А так вы сами себе геморрой придумываете. Либо разрешайте в туннелях трафик для всех филиалов.
- Cisco OSPF ACL, sTALK_specTrum, 08:32 , 28-Фев-13 (6)
> Тем более что даже если объеденить два acl в один и повесить
> его на каждый туннель, то все равно в нем необходимо будет
> прописывать правила разрешающие прохождение трафика относящего к двум другим соседям,
> что при большом количестве сетей вытекает в n количество правил на
> каждом маршрутизаторе.Да ну нафиг. Если аклы стоят на входе внешних интерфейсов, в общем случае добавить в конце пару строк типа:
deny ip any <внутренняя_сеть>
permit ip <сети_всех_филиалов> any
И пусть они между собой через этот филиал летают.
- Cisco OSPF ACL, McLeod095, 10:59 , 28-Фев-13 (7)
>> Тем более что даже если объеденить два acl в один и повесить
>> его на каждый туннель, то все равно в нем необходимо будет
>> прописывать правила разрешающие прохождение трафика относящего к двум другим соседям,
>> что при большом количестве сетей вытекает в n количество правил на
>> каждом маршрутизаторе.
> Да ну нафиг. Если аклы стоят на входе внешних интерфейсов, в общем
> случае добавить в конце пару строк типа:
> deny ip any <внутренняя_сеть>
> permit ip <сети_всех_филиалов> any
> И пусть они между собой через этот филиал летают.Ну пока так и сделал, ну и один ACL на все внешние интерфейсы впихнул. Но т.к. сетей много, то уже таких правил permit много.
А при помощи Zone-Based Policy Firewall нельзя решить? Просто пока только наткнулся на это, только начал читать.
- Cisco OSPF ACL, sTALK_specTrum, 11:23 , 28-Фев-13 (8)
> Но т.к. сетей много, то уже таких правил permit много.Зачем? Если сетка нормально была спланирована, то сети филиалов должны красиво объединяться в один диапазон. Записал всех в 172.16.0.0 0.15.255.255 и не мучиться. Например.
- Cisco OSPF ACL, McLeod095, 12:00 , 28-Фев-13 (9)
>> Но т.к. сетей много, то уже таких правил permit много.
> Зачем? Если сетка нормально была спланирована, то сети филиалов должны красиво объединяться
> в один диапазон. Записал всех в 172.16.0.0 0.15.255.255 и не мучиться.
> Например.Ну как бы сетки никто не планировал, раньше свзяь была только точка точка, и без всяких ospf. Просто при изменениях настроек на одной из территорий, приходится оставаться без связи, вот и решил пустить пока все через другой, ну и оставить так на будущее.
|
Версия для распечатки
Cisco OSPF ACL, 
