From: ivan.brune...@gmail.com Date: Wed, 26 Jan 2011 11:54:04 +0100 Subject: Re: [Cug] Dual Default gateway To: cug@ml.areanetworking.it
2011/1/26 Andrea Dainese <andrea.dain...@gmail.com> 2011/1/25 luca comes <lucaco...@hotmail.it>: > [...] Mi si chiede in via provvisoria di fare in modo > che le due reti si possano vedere (questo non è un problema dispongo di un > Cat 3750 in centro stella) ma allo stesso tempo mantengano le due uscite > internet separate. Diversi mesi fa ho affrontato un problema simile e l'ho risolto con una route-map. Nel mio caso il problema era un webserver che migrava di città e doveva essere temporaneamente accessibile da entrambi gli IP pubblicati a MI e PD. Detta in modo molto stringato (i dettagli li lascio a te), ho creato un tunnel tra PD e MI, il firewall di MI nattava l'IP pubblico con un 192.168.2.X mentre il webserver era raggiungibile da PD con 192.168.1.X. A questo punto il router più vicino al webserver (end-point del tunnel) si occupava, mediante route-map, di far uscire le connessioni da/a 192.168.2.X verso MI e il restante verso PD. Sempre lo stesso router si occupava anche di nattare 192.168.2.X su 192.168.1.X. Sicuramente ci sono altre soluzioni, e non è detto che questa sia quella che fa per te. Andrea -- To respect the cat is the beginning of the aesthetic sense. - Erasmus Darwin http://www.linkedin.com/in/adainese _______________________________________________ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug >Ciao Luca,>Concordo con Andrea. >La soluzione più adatta è con le route-map. >Va applicata in ingresso sulle interface VLAN che devono uscire sulla seconda >linea. >ip access-list extended aclRM-2internet > ! applichi un'eccezione alla >route-map per tutte le destinazioni interne > deny ip any 10.0.0.0 0.255.255.255> deny ip any 172.16.0.0 0.15.255.255> > deny ip any 192.168.0.0 0.0.255.255> ! e poi vai> permit ip any any >route-map rm2internet> match ip address aclRM-2internet> ! la seconda >uscita internet> set ip next-hop 80.1.1.1 >int vlan 500> description LAN-UTENTI-SECONDO ACCESSO > ip policy route-map rm2internet >I 3750 potrebbero non supportarlo con la configurazione di base >(mi pare che sia necessario impostare un parametro che mi pare fosse "capability", e riavviare la macchina). >Ivan Ciao Ragazzi, siete stati gentilissimi. Quindi voi mi sconsigliate di tentare la soluzione VRF? Questa mi è stata consigliata dall'SP che migrerà la parte WAN, ma onestanemente non la conosco. Comunque domani vado giusto a recuperare due macchine che mi saranno disponibili per fare alcuni test. Nei prossimi giorni tenterò qualcosa (compresa la vostra soluzione) e vi farò sapere se e come ho risolto. Grazie ancora. Luca _______________________________________________ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug
_______________________________________________ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug