На текущий момент имеется Cisco 2801 c модулем VPN и локальная сеть, так же имеется большое количество внешних подсетей, трафик в которые ходит через VPN. В качестве шлюза сети используется M$ ISA(в наследство досталась), основная задача - оптимизировать управление трафиком и избавиться от исы и перевести весь роутинг на шлюз под управлением Linux.

Текущее состояние дел.

Трафик, который предназначен для шифрования и передачи по VPN приходит на внутренний интерфейс, далее согласно таблиц маршрутизации уходит в отдельный VLAN предназначенный исключительно для VPN-трафика, на циске этот трафик забирается ACL и направляется в туннель и шифруется. Схема достаточно идеальная, если бы не разветвленная топология сети, где помимо основных каналов еще используются и резервные. Так же для некоторых сетей используется NAT. К сожалению ИСА не может создавать больше чем 2 VLANa и НАТить она как хочется тоже не умеет(или я не знаю как это делать) от этого начинаются все проблемы. Приходится трафик, который уходит во внешние подсети отправлять на шлюз по умолчанию, который роутит все в инет, при этом забирать траф аксес-листами на циске, натить его и только потом отправлять в туннели. На внешнем интерфейсе применяются политики безопасности для трафика приходящего из вне и уходящего в инет, которые по-мимо своих основных обязанностей лезут еще и к НАТ трафику. Вообщем такой вот гемморой.

Что хочется:

Максимально оптимизировать управление всем внешним трафиком на роутере, отойти от схемы НАТа на циске, избавиться раз и навсегда от ИСЫ.

Мои примерные соображения на этот счет.

1) Для каждого туннеля создать отдельные подинтерфейсы на циске и через dot1q передавать с внутреннего роутера трафик напрямую минуя роутинг по умолчанию.
2) Для каждого туннеля создать отдельный вилан на внутренем роутере и через него управлять трафом(в том числе и НАТить при надобности) 
Пока что так.

Собственно к чему весь топик: Хочется услышать идеи по сабжу и правильным ли путем я иду, так же хочется услышать обоснованную критику и предложения.

Текущая схема прилагается снизу, там же и возможное решение.

Присоединённый файл ( Кол-во скачиваний: 9 )
 router_topologhy.jpg 83,73 Kb

Так. Для начала, либо схема не подходит под описание, либо описание под схему, либо я не допонял что-то из этого.

Объясняю еще раз. Текущая схема на примере.

Есть удаленная сеть например 10.10.100.0/24 которая доступна через туннель1. Пакет приходит на основной роутер сети, далее он маршрутизируется в VLAN предназначенный для VPN туннелей, этот VLAN через dot1q терминируется на циске на одном подинтерфейсе, и потом уже забирается все аксес-листами в сам туннель, при этом роутинг настроен таким образом, чтобы возвращать пакеты именно в этот интерфейс. 

Если пакет не подходит ни под одну запись в таблице маршрутизации, он идет по маршруту по умолчанию в инет. Если его нужно натить, то он тоже идет по маршруту по умолчанию и натится и уходит в туннель. 

Что еще объяснить?

Добавлено через 2 минуты и 59 секунд
Идея, есть грубо говоря несколько туннелей, на каждый из них зведен отдельный интерфейс VLAN на внутреннем роутере и по такому же на внешнем роутере, между ними действует своя маршрутизация и пакеты не уходят на маршрутам по умолчанию, а идут сразу в туннель.

Я не просил рассказывать мне как работает маршрутизатор. Я просил подробнее описать (и изобразить тоже) текущую схему сети. Потом поговорим о будущей.

Добавлено через 1 минуту и 33 секунды
Делайте акцент та том, что куда уходит сейчас и что куда должно уходить потом. Шифруется оно там потом или что - это не важно.

Так я собственно все и нарисовал, схема достаточно простая, все объяснил в первом посте, пример работы привел во втором, если что-то еще нужно опиши конкретно что именно.

VPN-клиенты где расположены?

Настроены постоянные VPN-каналы типа site-to-site. По сути своей пользователи сети не знают куда они именно ходят и каким образом они туда попадают. Как таковых клиентов нет.

Хорошо, пусть так. С какого интерфейса идёт VPN трафик?

fa0/0.1 - Internet
fa0/1.1 - Интерфейс для Internet трафика
fa0/1.2 - VPN интерфейс.

Чем отличается второе от первого? На схеме можете отметить эти интерфейсы?

Отличие в том этих виланов, что на fa0/1.1 сбрасывается весь трафик по-умолчанию(и на интернет в том числе), а на fa0/1.2 только тот, который должен идти в туннели. 

Присоединённый файл ( Кол-во скачиваний: 4 )
 router_topologhy_2.jpg 71,52 Kb

Так. А в туннели вы ходите с внутренней сети через ису, да?

Это сообщение отредактировал(а) ZeeLax - 16.4.2008, 12:22

Да, именно так и ходим, но с учетом корявости ИСЫ и урезанными возможностями (как файрвол она то работает хорошо) принято решение заменить ее на шлюз под Linux'ом. Если схематично изобразить все это то получится следующее:

Пользователь --> ИСА(VPN VLAN)  --> циска  --> Интернет  --> роутер периметра другой сети  --> внутренний шлюз  другой сети --> целевой сервер(рабочая станция) 

А из VPN-сетей нужен выход в интернет?

Нет, в интернет эти сети выходят через свои пограничные роутеры, через мой шлюз никто в инет ходить не будет и не должен.