问题描述:
ASBR1 分别和 ASBR2、ASBR3做了option-B。
从 PC3 ping PC2,目前走的是蓝色的路线,怎样能变成红色的路线?
并且从 PC2 ping PC3,怎样能反走红色的路线?
有没有大佬能给一点具体的说明,比如在哪边的接口写什么
- 2025-04-12提问
- 举报
-
(0)
最佳答案
我觉得这个不动PE和ASBR,直接从CE侧动手应该会简单一些。
比如用GER隧道应该可以实现。就是让报文先做GRE封装,再压入MPLS标签。
给CE1、CE2、CE3分别创建一个loopback接口,比如分别是1.1.1.1、2.2.2.2、3.3.3.3。
把这三个地址当做私网的主机路由分别发布给各自的PE,保证何以互通。
在CE1和CE2之间创建GRE隧道tunnel 12,源是1.1.1.1,目的地址2.2.2.2。
同理,在CE1和CE3之间创建GRE隧道tunnel 13。
在CE3上写静态路由,指定去PC2的流量走tunnel 13,这样流量会先到达CE1。(指定一下静态路由的优先级,保证他比原来的路由高,后面的配置同理。)
在CE1上对tunnel 13调用相关的策略路由或使用其他引流手段,把流量引向防火墙。
等流量从防火墙上发回CE1后,匹配一条去PC2的静态路由,指向tunnel 12,把流量转发给CE2,并正常到达PC 2。
回向流量的配置同理。
- 2025-04-12回答
- 评论(11)
- 举报
-
(0)
差不多是可以的,如果再这个基础上考虑安全性,给GRE隧道做IPSec,那引流的策略路由应该匹配加密后的路由吗
我的判断是要看具体配置。如果CE1只是通过GRE隧道中转CE3和CE2发过来的ipsec封装过的报文(自身不配置ipsec),那么引流时应该匹配ipsec封装后的报文;但如果CE1是把CE3发过来的报文ipsec解封装后引流到防火墙上,然后把回来的报文重新做ipsec封装以后再发给CE2的,那么策略路由应该要匹配原始报文(PC刚发出来的报文,未进行GRE、IPSEC、MPLS封装的最初的报文)。
如果是要实现(CE1是把CE3发过来的报文ipsec解封装后引流到防火墙上,然后把回来的报文重新做ipsec封装以后再发给CE2的,那么策略路由应该要匹配原始报文)这种,是应该CE1分别和CE2、CE3做IPSec吗?如果是,IPSec匹配的感兴趣流的是gre隧道的源和目的IP吗?然后再在CE1上对原始报文进行策略路由引流?
可是这样做的ike sa 为空
然后如果CE2和CE3那里的IPSec感兴趣流写了原始报文,但是CE1该写什么感兴趣流呢
如果IPSec的感兴趣流写的是gre隧道的源和目的IP,好像根本匹配不上
如果觉得封装多层比较晕的话,可以先不用gre,就做ipsec(把用纯gre做的那些配置全改成ipsec),ipsec本身也具备做vpn的能力,两个愿望一次满足,所有acl全都匹配原始报文,简单粗暴。
在CE1和PE1之间又添了一条线路,然后实现了
感谢您的帮助!!!
这个估计不好满足,不过可以让PC3访问PC-2的流量走PE3-PE1-PE2。但是要流量走CE1-在过一遍防火墙有点难
- 2025-04-12回答
- 评论(2)
- 举报
-
(0)
其实就是控制控制RT值,你可以参考下MPLS-vpn中Hub and Spoke场景,让PE1收到PE2和PE3的路由,PE2和PE3之间不学习彼此路由。
那如果让PC3访问PC2的流量走PE3-PE1-PE2,具体怎么做呢
其实就是控制控制RT值,你可以参考下MPLS-vpn中Hub and Spoke场景,让PE1收到PE2和PE3的路由,PE2和PE3之间不学习彼此路由。
ASBR1 \PE1\CE1\FW 做策略路由,接口就是你红色的流量接口。
- 2025-04-12回答
- 评论(1)
- 举报
-
(0)
好像实现不了的
好像实现不了的
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
感谢您的帮助!!!