engenharia de tráfego - políticas para BGP vs rotas estáticas

8

Considerando a transição de um site público específico da Internet por um novo local. No local atual, tenho uma rota estática configurada no meu roteador Cisco apontada para o meu firewall interno. O novo local está localizado em uma conexão MPLS (eBGP).

Eu tenho duas sub-redes locais em uso no local existente e gostaria de testar apenas uma das sub-redes na rede MPLS para acessar os novos locais na Internet.

Isso é possível com o roteamento de política para que 1 sub-rede local utilize a rota estática para o firewall, e a 2ª sub-rede utilize o anúncio MPLS e direcione o outro site para a Internet apenas para esse site? Se sim, como?

cisco  routing 
raidORlostark
fonte
11
O novo local que anuncia uma rota padrão para a rede MPLS? Você pode adicionar diagramas da topologia atual e a solução desejada, por favor?
smoothbSE

Respostas:

8

O roteamento baseado em políticas funciona muito bem para isso. Recentemente, fiz isso para reduzir lentamente um hospital a uma nova sub-rede interna de cada vez, exatamente dessa maneira.

ip access-list extended PBR_SUBNETS
 permit ip 172.16.1.0 0.0.0.255 any
!
route-map POLICY_ROUTE permit 10
 match ip address PBR_SUBNETS
 set ip next-hop 192.168.1.2

O acima irá redirecionar todos os pacotes de 172.16.1.0/24 para o endereço IP especificado no mapa de rotas. Mude os dois conforme necessário para se adequar à sua situação.

Aplique esta política à interface do roteador voltada para suas sub-redes internas.

interface GigabitEthernet0/1
 ip policy route-map POLICY_ROUTE

Este mapa de rotas definirá o próximo salto para todo o tráfego permitido, independentemente da tabela de roteamento. (O uso da palavra-chave "padrão" pode contornar isso, mas não parece necessário). Isso significa que sua rota estática provavelmente não é necessária para esse fim, mas você pode deixá-la lá como um substituto, caso o BGP falhe. .

Para sua informação, a maneira como fiz isso foi entrar na configuração inteira, ao vivo, durante o dia, mas sem entradas na lista de acesso. Como nada corresponde, obviamente, todo o tráfego se comporta normalmente, seguindo a tabela de roteamento. Isso fornece uma estrutura muito fácil, testável e reversível para alternar sub-redes internas, já que tudo o que é preciso a partir deste ponto é apenas para adicioná-las à ACL.

Mierdin
fonte
a pergunta original parece ser como enviar o tráfego de uma sub-rede específica (que a PBR lida bem) para o novo site, apenas para um (s) destino (s) específico (s). atualizar a ACBR PBR_SUBNETS deve fazer o truque.
smoothbSE
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.