|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Alex Solovyov 2:5020/1575 25 Feb 2006 08:47:21
To : Roman Nakhmanson
Subject : Вопрос про выборочную маршрутизацию..
--------------------------------------------------------------------------------
Пpиветствyю тебя, Roman!
On 24 Фев 06, at 23:13, Roman Nakhmanson wrote to All:
>> М> Может попробовать IOS Authentication Proxy+TACACS?
>> М> http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configu
>> М> r ation_guide_chapter09186a00804c3d75.html
>>
>> Hет, данное решение не применимо. Мне не нужно авторизовывать пользователей
>> каким-либо образом. Hеужели нет другого решения? :(
RN> mozhno zavyazat vse eto cherez wccp(v1)+squid(transparent). ACL ubrat,
RN> a clientskie IP zabivat' v squid.conf
RN> Pravda primenimo budet tolko dlya HTTP trafika.
К сожалению да. Мне необходимо не проксивать, не что-то делать с трафиком, а
конкретно указать - что таким-то айпишникам можно идти по дефаут маршруту,
таким-то пакетам с таким-то соурцом и/или дестинишн - идти в такой-то маршрут, а
все остальные - идут лесом (а вот HАТ-айпишники нуна пускать полюбому - они
пулом-ACL ограничиваются все равно).
Как это реализовать без ACL на inside-интерфейсе - я пока не представляю :( И то
- сейчас не могу указать более одного правила (в смысле что более одного
маршрута) роутинга по сорцу :( Хочется сделать примерно такую схему роутинга (в
порядке приоритезации):
в идеале правило только на одном интерфейсе (inside), но извернувшись - не
важно, можно и чтоб глобально это выполнялось - тогда в ACL Y прописываются
изначально все внешние IP-адреса интерфейсов циски:
1. - если сорц ь1 - пихаем в тунель ь1
2. - если сорц ь2 и/или дест ь2 - пихаем в тунель ь2
3. - если сорц ь2 - пихаем в тунель ь3
4. - если IP из 172.x.x.x/8 - полюбову пропускать в HАТ
5. - если IP из пула адресов yyy.yyy.yyy.0/192 и/или IP есть в ACL Y, то рутим в
дефаулт gateway (ну или в указанный - не важно)
6. - грохаем пакет или в /dev/null его.
Тем решением, что есть сейчас - решаются почти все пункты, кроме 3 и частично
второго (так как могу только дест-маршрут указать - на сорц-правило уже есть
маршрут, а как задать второе правило для сорс-маршрутизации.. :( не разобрался).
Hо при этом решении на каждый пакет накладывается input-ACL.. и чем больше этот
список, тем тормознее маршрутизируется каждый паект в итоге - больше нагрузка,
эффективность начинает стремительно уменьшаться. :(
Перерыл много чего - пока не вкурил, как мне это реализовать более грамотно. Без
задействования всяких виртуальных интерфейсов на каждый прямой айпишник
(сокращение адресного пространства в 4 раза + гимор с их динамикой и
прописыванием "на лету"), без дополнительной авторизации, без каких-либо
проксиваний и кэширований, которые не нужны, и к решению задачи, на мой взгляд,
не имеют никакого отношения.
Sincerely yours - Alex-First [Team Realm 7:359@Realm]
"Stat rosa pristina nomine, nomina nuda terremus"
(c) Umberto Eco "Il nome della rosa"
... "Здесь, на веpшине pядом со мной, в небе кpyжат тpи белых оpла.." (с) Аpия
--- Коцать тут..
* Origin: Hacker's Stone BBS (095) 344-1488 [00:00-12:00] (2:5020/1575)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
