Классическая маршрутизация #
Как работает маршрутизатор?
Когда на него приходит IP-пакет, то решение о его дальнейшей маршрутизации принимается на основании только заголовка Destination IP address (DST IP) и таблицы маршрутизации.
Задача. Настроить VPN и пускать через него только определенный трафик, например трафик предназначенный для удаленной сети 10.10.10.0/24
Реализация Policy Based Routing (PBR) на оборудовании Cisco #
! -------------------------------
! 1️⃣ ACL для определения трафика через VPN
! -------------------------------
ip access-list extended VPN-TRAFFIC
permit ip any 10.10.10.0 0.0.0.255
! -------------------------------
! 2️⃣ Route-map для PBR
! -------------------------------
route-map VPN-PBR permit 10
match ip address VPN-TRAFFIC
set interface Tunnel0
! -------------------------------
! 3️⃣ Применяем PBR на интерфейсе входящего трафика (LAN)
! -------------------------------
interface GigabitEthernet0/0
description LAN interface
ip address 192.168.1.1 255.255.255.0
ip policy route-map VPN-PBR
ip nat inside
! -------------------------------
! 4️⃣ Интерфейс VPN
! -------------------------------
interface Tunnel0
description VPN tunnel to remote network
ip address 172.16.100.1 255.255.255.252
ip nat outside
! -------------------------------
! 5️⃣ NAT для VPN-трафика
! -------------------------------
ip nat inside source list VPN-TRAFFIC interface Tunnel0 overload
! -------------------------------
! 6️⃣ Стандартный маршрут по умолчанию в Интернет
! -------------------------------
ip route 0.0.0.0 0.0.0.0 GW_ISP1
⚠️ Важные моменты:
- PBR не меняет существующие маршруты, оно работает поверх стандартного маршрута.
- Если VPN-туннель интерфейса Tunnel0 не поднят, трафик не пройдёт.
- Можно добавлять несколько правил с разными route-map sequence numbers для разных сетей.
- PBR применяется только к входящему трафику на интерфейсе, через который он поступает на роутер.
Реализация Policy Based Routing (PBR) на оборудовании MikroTik #
