Вопрос про выборочную маршрутизацию..
- From
- Alex Solovyov (2:5020/1575)
- To
- Roman Nakhmanson (2:5054/37.63)
- Date
- 2006-02-25T07:47:20Z
- Area
- RU.CISCO
QCD np: w/o music (closed)
Пpиветствyю тебя, Roman!
On 24 Фев 06, at 23:13, Roman Nakhmanson wrote to All:
>> М> Может попробовать IOS Authentication Proxy+TACACS?
>> М> http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configu
>> М> r ation_guide_chapter09186a00804c3d75.html
>>
>> Нет, данное решение не применимо. Мне не нужно авторизовывать пользователей
>> каким-либо образом. Неужели нет другого решения? :(
RN> mozhno zavyazat vse eto cherez wccp(v1)+squid(transparent). ACL ubrat,
RN> a clientskie IP zabivat' v squid.conf
RN> Pravda primenimo budet tolko dlya HTTP trafika.
К сожалению да. Мне необходимо не проксивать, не что-то делать с трафиком, а конкретно указать - что таким-то айпишникам можно идти по дефаут маршруту, таким-то пакетам с таким-то соурцом и/или дестинишн - идти в такой-то маршрут, а все остальные - идут лесом (а вот НАТ-айпишники нуна пускать полюбому - они пулом-ACL ограничиваются все равно).
Как это реализовать без ACL на inside-интерфейсе - я пока не представляю :( И то - сейчас не могу указать более одного правила (в смысле что более одного маршрута) роутинга по сорцу :( Хочется сделать примерно такую схему роутинга (в порядке приоритезации):
в идеале правило только на одном интерфейсе (inside), но извернувшись - не важно, можно и чтоб глобально это выполнялось - тогда в ACL Y прописываются изначально все внешние IP-адреса интерфейсов циски:
1. - если сорц №1 - пихаем в тунель №1
2. - если сорц №2 и/или дест №2 - пихаем в тунель №2
3. - если сорц №2 - пихаем в тунель №3
4. - если IP из 172.x.x.x/8 - полюбову пропускать в НАТ
5. - если IP из пула адресов yyy.yyy.yyy.0/192 и/или IP есть в ACL Y, то рутим в дефаулт gateway (ну или в указанный - не важно)
6. - грохаем пакет или в /dev/null его.
Тем решением, что есть сейчас - решаются почти все пункты, кроме 3 и частично второго (так как могу только дест-маршрут указать - на сорц-правило уже есть маршрут, а как задать второе правило для сорс-маршрутизации.. :( не разобрался). Но при этом решении на каждый пакет накладывается input-ACL.. и чем больше этот список, тем тормознее маршрутизируется каждый паект в итоге - больше нагрузка, эффективность начинает стремительно уменьшаться. :(
Перерыл много чего - пока не вкурил, как мне это реализовать более грамотно. Без задействования всяких виртуальных интерфейсов на каждый прямой айпишник (сокращение адресного пространства в 4 раза + гимор с их динамикой и прописыванием "на лету"), без дополнительной авторизации, без каких-либо проксиваний и кэширований, которые не нужны, и к решению задачи, на мой взгляд, не имеют никакого отношения.
Sincerely yours - Alex-First [Team Realm 7:359@Realm]
"Stat rosa pristina nomine, nomina nuda terremus"
(c) Umberto Eco "Il nome della rosa"
... "Здесь, на веpшине pядом со мной, в небе кpyжат тpи белых оpла.." (с) Аpия
--- Коцать тут..
* Origin: Hacker's Stone BBS (095) 344-1488 [00:00-12:00] (2:5020/1575)
SEEN-BY: 46/50 140/1 400/814 450/1024 5000/5000 5011/13 5015/28 221 5019/31
SEEN-BY: 5020/166 380 429 545 561 630 715 828 834 921 1031 1306 1575 1668 1822
SEEN-BY: 5020/1826 1845 1941 1960 2044 2114 2188 2208 4343 4441 5052 8086
SEEN-BY: 5020/12000 5021/29 5022/5 5025/3 5027/12 5030/115 5037/28 5043/0 19
SEEN-BY: 5045/7 5052/4 5053/16 5054/1 4 8 9 28 30 35 36 37 67 72 75 81 5056/16
SEEN-BY: 5060/900 5062/10 5063/3 5077/70 5080/1003 5085/13 5095/20 5096/18
SEEN-BY: 6000/1 6001/10 6056/1
�PATH: 5020/1575 12000 715 545 5054/1 37