alespopov
Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Slavik099 Представьте еще раз, что у вас три циски, КАЖДАЯ со своими маршрутами (хотя они и находятся физически в одной) которые ничего про другие не знают и знать не могут, - и в этом-то и вся прелесть. Например циска, с именем ISP1, у себя имеет только один маршрут (если не считать DMVPN туннель ) типа такого (по вашему конфигу): ip route 0.0.0.0 0.0.0.0 шлюз И все!!!, больше она ничего не знает ни про какие "192.168.50.3 255.255.255.0" она сети слыхом не слыхивала и понятия не имеет как туда трафик передавать, - разве что через дефолт, который ей уже тут и указан. Само-собой так NAT работать не будет. Глобальная-же таблица, которая без vrf-а сейчас, ничего кроме 'directly connected' (а именно 192.168.50.0/24 ) не знает, и понятия не имеет куда ей слать дефолт, ну т.е. который 0.0.0.0 0.0.0.0, и в какую сторону слать пакеты "в интернет", которые она сможет уже и за-NAT-тить, в том числе. А что-бы она/и об этом узнала(и) нужно: 1) Проложить между этими цисками внутренний туннель и маршруты нужные командами в EIGRP прописать. 2) Либо сеть 192.168.50.x та-же назначить на VRF и между ними стоить маршруты на основе BGP. Подробнее... 3) Есть еще третий вариант, но это симбиоз двух первых, там сложнее еще.. 4) А если нет времени/желания, все настроить на роут-мапах, там будет быстрее ... наверно ... Оба этих способа самым подробнейшим образом, включая настройку NAT-а, описаны в моем блоге, о чем я уже вам и писал. Даже все команды даны, и схема, и как маршруты будут выглядеть.... Все вроде разжевал там уже, - прочитай-же уже все не наискось, а внимательно, и по шагам ... Нужно просто их за мной повторить, - разобраться в этой магии, и потом щелкать будете эти vrf-ы как орешки. PS Конфиги неплохо-бы под тег 'more' прятать.... PSPS Я-б не стал сразу криптографию прикручивать, сначала без нее DMVPN заведите ...
---------- Да помогут Вам те боги, в которых Вы верите |
|