ingeniería de tráfico - políticas para BGP vs rutas estáticas

8

Considerando una transición de un sitio público específico de Internet a través de una nueva ubicación. En la ubicación actual, tengo una ruta estática configurada en mi enrutador Cisco que apunta a mi firewall interno. La nueva ubicación se encuentra sobre una conexión MPLS (eBGP).

Tengo dos subredes locales en uso en la ubicación existente y me gustaría probar solo una de las subredes a través de la red MPLS para las nuevas ubicaciones de acceso a Internet.

¿Es esto posible con el enrutamiento de políticas que una subred local utilice la ruta estática hacia el firewall y la segunda subred utilice el anuncio MPLS y la ruta a través del otro sitio a Internet solo para este sitio de Internet? ¿Si es así, cómo?

raidORlostark
fuente
1
¿La nueva ubicación anuncia una ruta predeterminada a la red MPLS? ¿Puede agregar diagramas de la topología actual y la solución deseada por favor?
smoothbSE

Respuestas:

8

El enrutamiento basado en políticas funciona muy bien para esto. Recientemente hice esto para cortar lentamente un hospital a una nueva subred interna de borde a internet a la vez, exactamente de esta manera.

ip access-list extended PBR_SUBNETS
 permit ip 172.16.1.0 0.0.0.255 any
!
route-map POLICY_ROUTE permit 10
 match ip address PBR_SUBNETS
 set ip next-hop 192.168.1.2

Lo anterior redirigirá todos los paquetes desde 172.16.1.0/24 a la dirección IP especificada en el mapa de ruta. Cambie ambos según sea necesario para adaptarse a su situación.

Aplique esta política a la interfaz del enrutador que está frente a sus subredes internas.

interface GigabitEthernet0/1
 ip policy route-map POLICY_ROUTE

Este mapa de ruta establecerá el próximo salto para todo el tráfico permitido, independientemente de la tabla de enrutamiento. (El uso de la palabra clave "predeterminada" puede evitar esto, pero no parece que sea necesario) Esto significa que su ruta estática probablemente no sea necesaria para este propósito, pero puede dejarla allí como una alternativa en caso de que BGP falle .

Para su información, la forma en que lo hice fue ingresar toda la configuración, en vivo, durante el día, pero sin entradas en la lista de acceso. Como nada coincide, obviamente, todo el tráfico se comporta normalmente, siguiendo la tabla de enrutamiento. Esto proporciona un marco reversible, fácil de probar y muy sencillo para cambiar las subredes internas, ya que todo lo que se necesita a partir de este punto es simplemente agregarlas a la ACL.

Mierdin
fuente
la pregunta original parece ser cómo enviar el tráfico desde una subred particular (que PBR maneja bien) al nuevo sitio solo para un destino específico. actualizar la ACL PBR_SUBNETS debería hacer el truco.
smoothbSE