Le « source routing »

Il est parfois nécessaire d’influencer le routage en fonction de leur provenance .
Cette solution permet de router les paquets indépendamment de la table de routage déjà mise en place statiquement ou par l’intermédiaire d’un protocole de routage dynamique.

Prenons un exemple d’une vrf  TEST :

SWITCH-TEST#show ip vrf int | inc TEST
Vl100                 10.0.10.1      TEST                           up
Vl101                 10.0.50.1      TEST                           up
Vl102                 192.168.50.1   TEST                           up

SWITCH-TEST#show ip route vrf TEST

C       10.0.10.0/24 is directly connected, Vlan100
C       10.0.50.0/24 is directly connected, Vlan101
C       192.168.50.0/24 is directly connected, Vlan102
S*   0.0.0.0/0 [1/0] via 10.0.50.5

ExempleSourceRoute

Dans cet exemple le virtual router « TEST » a comme route par défaut « 10.0.50.5 » correspondant au FireWall A

 

Nous souhaitons que le poste portant l’IP 10.0.10.21 n’empreinte pas la route par défaut, mais soit routé vers le FireWall B

Mise en place du « Source Routing » en 3 étapes :

  • Création d’une access list permettant d’identifier l’IP source (ou les IPs sources)
  • Création d’une route map
  • application de la route map à l’interface d’entrée

Création d’une access list

SWITCH-TEST#(config)access-list 21 permit host 10.0.10.21

Création d’une route map

route-map RM-ReRoutage permit 10
 match ip address 21
 set ip next-hop 192.168.50.5
!
route-map RM-ReRoutage permit 20
!

Application de la route map

SWITCH-TEST#(config)#int Vlan100
SWITCH-TEST#(config-if)#ip policy route-map RM-ReRoutage

 

La route map peut être appliquer aussi sur l’interface physique d’entrée du trafique ( sur certaine version d’IOS , cela semble être nécessaire )

… Reste à tester : tcpdump sur le firewall par exemple

This entry was posted in Exemples de Conf. Bookmark the permalink.

Comments are closed.