defaultrouting je nach quelle

[maccros]

hallo zusammen!

Auf einem Router soll auf Grund der Quelladressen eine andere Default Route verwendet werden.
Bisweilen war die Defaultroute auf das Dialer0-Interface gerichtet.

Code:

ip route 0.0.0.0 0.0.0.0 Dialer0 permanent

Ist der Internetzugang via Stadtnetz realisiert und ich musste daher die Defaultroute auf einen anderen Router umstellen.

Code:

ip route 0.0.0.0 0.0.0.0 10.10.126.5 permanent

Dadurch gelangen alle unsere Netze (10.10/16) via Stadtnetz ins WWW. Es besteht aber ein Einzelnes Netz (10.10.13/24) das weiterhin via Dialer0 ins WWW gelangen soll.

Hat jemand eine Idee wie so eine Routing-Konfiguration aussehen könnte?

[Wordo]

Das machst du mit Route-maps. Mach ne ACL mit dem Clientnetz, mach ne Route-map, match auf die ACL, set route dialer0.

[maccros]

Kann die konfig so aussehen...

Code:

ip route 0.0.0.0 0.0.0.0 10.10.126.5 permanent

access-list 120 permit ip 10.10.32.0 0.0.0.255 any

route map b2internet permit 10
 match ip address 120
 set interface Dialer0

Wir so nur der Verkehr ins WWW (0.0.0.0) vom 10.10.32/24 auf Dialer0 geroutet? Kann diese Router-Map allenfalls noch eingeschränkt werden? Auf was bezieht sich permit 10?

[Wordo]

Was meinst du mit WWW? Deine DST in der ACL ist any, also 0.0.0.0.
Permit bedeutet mehr oder weniger "treffen", du kannst das genau wie bei ACLs mit denys dazwischen abstufen. Die 10 ist nur die Prioritaet, bei gleicher Route-map mit anderen Parametern (z.B. acl 130 und set interface dialer 1) waere das dann 20 statt 10.

[maccros]

ok, funktioniert bestens. Musste nur die Router-Map noch mittels Policy an die Interfaces hängen. Geht das auch ohne anhängen? Lässt sich die RouterMap auch noch an eine CrypoMap anhängen?

Code:

ip route 0.0.0.0 0.0.0.0 Dialer0 permanent

interface FastEthernet0/0
 ip policy route-map rmapKantonsnetz

interface Vlan1
 ip policy route-map rmapKantonsnetz

access-list 120 deny   ip any 10.0.0.0 0.255.255.255
access-list 120 deny   ip any 172.16.0.0 0.15.255.255
access-list 120 deny   ip any 192.168.0.0 0.0.255.255
access-list 120 permit ip any any

route-map rmapKantonsnetz permit 10
 match ip address 120
 set ip next-hop 10.10.126.5

[Wordo]

Vlan1 reicht doch.
Wie meinst du das mit der crypto-map?

[maccros]

Am vlan1 häng das lokale Büronetz. Am FE0/0 hängt unser Glasring an welchem noch weitere Standorte angekoppelt sind. Diese nutzen ebenalls diesen Router um ins Internet zu gelangen, daher den Eintrag auch am FE0/0.
Es gibt nun noch weitere Standorte die nicht über Glas, sondern mittels Site-to-Site VPN über VDSL angekoppelt sind. Der Internetzugang deren soll nun ebenfalls via Stadtnetz erfolgen (Proxy, Sicherheit, ...). Daher das gleiche Spiel auch da, ein paar IPs via Stadtnetz und ein paar via Dialer0. Da das VPN kein Interface hat, wo kann diese Weiche (router-map) konfiguriert werden, am crypto-map? Hat da jemand eine Idee...

[Wordo]

An dem Interface wo die crypto-map gebunden ist ...
Die ACL muss halt nur passen.