路由器选路问题

abluesky

         
_____ GE0 MPLS-VPN    ____
|      |--------------------|      |
| R1 |                             | R2 |
|____|--------------------|____|
         F8   L2-VPN
                OSPF                 



R1 (cisco 892)有两个接口：

                  1.  interface GE0 用默认路 由接PE，和R2之间用IP-VPN
                         R1到自己的PE用默认路由
                         ip route 0.0.0.0 0.0.0.0 10.13.190.193 (next-hop是自己的PE IP address)

                  2.  interface fastethernet8 接L2 VPN 和 R2 之间启用OSPF

因为在R1选路时 longest prefix match 的原因，R1不选默认路由，而优选从OSPF学到的 /27 的路由，所以流量从本来是backup的F8端口走L2VPN到R2。

问题:
     有没有好的办法让路由器优选默认路由，让流量走 IP-VPN，当IP-VPN出网络故障后，再选路到L2-VPN。实现冗余?

itorzorg

建議用 pbr + ip sla，來作路徑控制又兼作備援。

liaojason

用PBR

shaoyung

porsche328

ciscoxp

PBR
route-map
match 流量后，set next_hope IP1,IP2

接口上
ip policy route-map x

abluesky

liaojason 发表于 2015-4-27 23:10
用PBR

谢谢。单独用好像不可以failover。

abluesky

porsche328 发表于 2015-4-28 11:40

abluesky

ciscoxp 发表于 2015-4-28 15:29
PBR
route-map
match 流量后，set next_hope IP1,IP2

好的，谢谢。我会试一下。+ sla。

abluesky

itorzorg 发表于 2015-4-29 00:04
建議用 pbr + ip sla，來作路徑控制又兼作備援。

是我准备做一下这个实验。到时把写的设定放上来，有问题还要麻烦向您请教。

itorzorg

abluesky 发表于 2015-4-29 13:09
是我准备做一下这个实验。到时把写的设定放上来，有问题还要麻烦向您请教。

太客氣了~是互相交流!

abluesky

itorzorg 发表于 2015-5-1 13:15
太客氣了~是互相交流!

谢谢啦:) 我做了下test是OK的。
顺便说一下，这个背景是在实际运用时的一个设计错误。
因为我们是内部使用，只要可以通信，当时设计的担当就不去考虑流量的走向。
不过最近下面的e-VLAN的OSPF出现故障，但是流量还不走IP-VPN，
影响了通信。才让修正这个错误。

大概的设定如下：
interface FastEthernet0/0.26
description connected to PE
encapsulation dot1Q 26
ip address 10.13.6.2 255.255.255.252

interface FastEthernet0/0.61
description connected to LAN
encapsulation dot1Q 61
ip address 10.13.60.1 255.255.255.224
ip policy route-map IPVPN

interface FastEthernet0/0.567
  description connected to e-VLAN OSPF area 0
encapsulation dot1Q 567
ip address 10.13.3.132 255.255.255.192

router ospf 1
router-id 10.13.60.1
log-adjacency-changes
network 10.13.3.128 0.0.0.63 area 0
network 10.13.60.0 0.0.0.31 area 0

#-------------------------------------------------------
ip sla 100
icmp-echo 10.13.7.2
timeout 1000
frequency 10
ip sla schedule 100 life forever start-time now

track 100 rtr 100 reachability

access-list 111 permit ip 10.13.60.0 0.0.0.31 any
route-map IPVPN permit 10
match ip address 111
set ip next-hop verify-availability 10.13.6.1 10 track 100
#-------------------------------------------------------

#-------------------------------------------------------
这下面的本不用写，不过现有的设定把remote site 连接PE的link，在OSPF中有宣告，
所以在OSPF的路由表里有路由条目。考虑到下面不设的话，icmp-echo会从OSPF的路由表中选路。不能真正反映出IP-VPN的路径可达。
ip local policy route-map REMOTESITE
access-list 100 permit ip any host 10.13.7.2
route-map REMOTESITE permit 10
match ip address 100
set ip next-hop 10.13.6.1
#-------------------------------------------------------

1028384736

pbr

itorzorg

abluesky 发表于 2015-5-1 18:24
谢谢啦:) 我做了下test是OK的。
顺便说一下，这个背景是在实际运用时的一个设计错误。
因为我们是内部 ...

提醒一下 ip sla的目的端位址，可能會需要搭配static route來確保ip sla的monitor source、destination一定會從特定的介面送出，避免因為線路斷線發生，造成路由重新收斂而影響到ip sla的偵測(發生從別的介面送出監控封包，進而讓ip sla誤判，因為ip sla的目的端可達，其實線路已經斷線了，ip sla卻顯示監控成功，造成pbr依舊往斷線的線路丟...)