Интересует правильная настройка ACL / PBR или статической маршрутизации
-
Здравствуйте У меня есть рабочая система из другого потока, которая была решена, но теперь мне интересно, правильно ли я все сделал или это было лишь временное решение. [) Теперь некоторые вещи изменились, поскольку я выяснял другие вещи, но результат остался прежним: 7 виртуальных локальных сетей, 6 из которых идут к ISP1, а 1 — к ISP2, но
все они
могут общаться друг с другом через коммутатор SG350XG, к которому они подключаются, без необходимости затрагивать каждый маршрутизатор, а затем маршрутизировать обратно к коммутатору [меж-VLAN]. Это не так просто, как кажется, поскольку для подключения к своим собственным ISP у них есть два начальных маршрута. Я сделал так: VLAN 2-7 используют статический маршрут 0.0.0.0 0.0.0.0 10.0.1.1 для подключения к ISP1, а VLAN 8 не может использовать свой собственный статический маршрут, чтобы не запутать статический маршрут по умолчанию, поэтому я создал PBR для подключения к ISP2. Работает отлично! Пока я не понял, что все они будут обмениваться данными, но должны будут маршрутизироваться к своим соответствующим маршрутизаторам, а затем маршрутизироваться обратно для обмена данными. Это важно для меня, потому что моя сеть — 10G, 10G Nics, 10G Switch и т. д., и поэтому, если/когда я перехожу с vlan 8, скажем, на 5, скорость снижается до 1G для маршрутизации через ISR. Поэтому я создал ACL, чтобы заблокировать VLAN 2-7, но разрешить 8; это работает. С использованием следующего прыжка по умолчанию, PBR и ACL, моя настройка является лигитимной? switchbf585b
!
vlan database
vlan 2-8 exit
ip dhcp server ip dhcp pool network 4.0
address low 192.168.4.2 high 192.168.4.100 255.255.255.0 exit
ip dhcp pool network 5.0
address low 192.168.5.2 high 192.168.5.254 255.255.255.0 dns-server 1.1.1.1
exit
ip dhcp pool network 6.0
address low 192.168.6.2 high 192.168.6.254 255.255.255.0 exit
ip dhcp pool network fhc
address low 192.168.2.2 high 192.168.2.154 255.255.255.0 exit
ip dhcp pool network ceyea
address low 192.168.3.6 high 192.168.3.254 255.255.255.0 exit
ip dhcp pool network fbeye
address low 192.168.1.2 high 192.168.1.254 255.255.255.0 exit
ip dhcp pool network starlink
address low 192.168.7.1 high 192.168.7.254 255.255.255.0 dns-server 8.8.8.8
exit
bonjour interface range oob
ip access-list extended SL
deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 ace-priority 5
permit ip 192.168.7.0 0.0.0.255 any ace-priority 10
exit
route-map sl 1 match ip address access-list SL set ip next-hop 10.0.2.1 exit
ip name-server 8.8.8.8 1.1.1.1 192.168.3.5
!
interface vlan 2 name fbeye ip address 192.168.1.1 255.255.255.0 !
interface vlan 3 name fhc ip address 192.168.2.1 255.255.255.0 !
interface vlan 4 name ceyea ip address 192.168.3.1 255.255.255.0 !
interface vlan 5 name 4.0 ip address 192.168.4.1 255.255.255.0 !
interface vlan 6 name 6.0 ip address 192.168.6.1 255.255.255.0 !
interface vlan 7 name home ip address 192.168.5.1 255.255.255.0 !
interface vlan 8 name starlink ip address 192.168.7.1 255.255.255.0 ip policy route-map sl !
interface TenGigabitEthernet1/0/1 ip address 10.0.2.2 255.255.255.0 no switchport switchport access vlan none switchport trunk native vlan none !
interface TenGigabitEthernet1/0/2 switchport access vlan 2 switchport trunk native vlan 2 !
interface TenGigabitEthernet1/0/3 switchport access vlan 3 switchport trunk native vlan 3 !
interface TenGigabitEthernet1/0/4 switchport access vlan 4 switchport trunk native vlan 4 !
interface TenGigabitEthernet1/0/5 switchport access vlan 5 switchport trunk native vlan 5 !
interface TenGigabitEthernet1/0/6 switchport access vlan 6 switchport trunk native vlan 6 !
interface TenGigabitEthernet1/0/7 switchport access vlan 7 switchport trunk native vlan 7 !
interface TenGigabitEthernet1/0/8 switchport access vlan 8 switchport trunk native vlan 8 !
interface TenGigabitEthernet1/0/9 ip address 10.0.0.2 255.255.255.0 no switchport switchport access vlan none switchport trunk native vlan none !
interface TenGigabitEthernet1/0/10 switchport access vlan 8 switchport trunk native vlan 8 no macro auto smartport !
interface oob ip address 192.168.10.254 255.255.255.0 no ip address dhcp !
exit
ip default-gateway 10.0.0.1 -
gDay
@TheGoob
Ваша настройка действительно надежна. Потому что использование маршрута по умолчанию для VLAN 2–7 и PBR для VLAN 8 — это правильный и чистый способ обработки маршрутизации с двумя ISP. ACL для сохранения локального трафика между VLAN на SG350XG также является разумным решением, поскольку позволяет избежать падения скорости до 1 Гб через маршрутизаторы. Короче говоря, G,
настройка чистая. Не сомневайтесь! Кстати, классная аватарка, АХАХАХАХА, круто! -Энес Еще Cisco?!
Еще спортзал?!
Если этот пост решил вашу проблему, пожалуйста, отметьте его как «Принятое решение». Будем очень признательны! -
Согласен с
@enes
, настройка выглядит понятной.
Маршрут по умолчанию для VLAN 2–7 и PBR для VLAN 8 — это именно то, как я бы поступил в случае с двумя интернет-провайдерами.
Сохранение трафика между VLAN локальным на SG350XG вполне оправдано при наличии 10-гигабитных соединений. -
Думаю, я нашел основную проблему, которая, возможно, заключается в том, что PBR игнорирует IP-адреса назначения в ACL. Попробуйте следующее: no route-map SL no ip access-list extended SL ip access-list standard SL permit 192.168.7.0 0.0.0.255 route-map SL permit 10 match ip address access-list SL set ip default next-hop 10.0.2.1
-
Здорово! Спасибо вам обоим за поддержку. Я счастлив.
]
-
Здравствуйте Я оставлю эту ветку как решенную, но, похоже, у меня возникла проблема при переходе с работающего коммутатора SG350XG на коммутатор 3850. У меня все настройки VLAN, ACL и PBR точно такие же, но, похоже, все вернулось к маршрутизации через маршрутизаторы, а затем обратно к коммутатору, вместо того, чтобы просто маршрутизироваться/оставаться локальным на коммутаторе, чтобы использовать скорость передачи 10G между VLAN. Вот «новая» конфигурация коммутатора 3850. Если кто-нибудь заметит что-то, что я упустил. !
version 16.12
!
ip routing
!
ip dhcp excluded-address 192.168.1.0 192.168.1.1
!
ip dhcp pool fbeye network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 1.1.1.1 lease infinite
!
ip dhcp pool fhc network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 1.1.1.1 lease infinite
!
ip dhcp pool ceyea network 192.168.3.0 255.255.255.0 default-router 192.168.3.1 dns-server 1.1.1.1 lease infinite
!
ip dhcp pool 4.0 network 192.168.4.0 255.255.255.0 default-router 192.168.4.1 dns-server 1.1.1.1 lease infinite
!
ip dhcp pool 5.0 network 192.168.5.0 255.255.255.0 default-router 192.168.5.1 dns-server 1.1.1.1 lease infinite
!
ip dhcp pool 6.0 network 192.168.6.0 255.255.255.0 default-router 192.168.6.1 dns-server 1.1.1.1 lease infinite
!
ip dhcp pool starlink network 192.168.7.0 255.255.255.0 default-router 192.168.7.1 dns-server 1.1.1.1 lease infinite
!
interface GigabitEthernet0/0 vrf forwarding Mgmt-vrf ip address 192.168.5.230 255.255.255.0 negotiation auto
!
interface GigabitEthernet4/0/1 no switchport ip address 10.0.0.2 255.255.255.0
!
interface GigabitEthernet4/0/2 no switchport ip address 10.0.2.2 255.255.255.0
!
interface GigabitEthernet4/0/13 switchport access vlan 6 switchport mode access spanning-tree portfast
!
interface GigabitEthernet4/0/14 switchport access vlan 6 switchport mode access spanning-tree portfast
!
interface GigabitEthernet4/0/15 switchport access vlan 6 switchport mode access spanning-tree portfast
!
interface GigabitEthernet4/0/16 switchport access vlan 6 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/37 switchport access vlan 2 switchport trunk native vlan 2 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/38 switchport access vlan 2 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/39 switchport access vlan 3 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/40 switchport access vlan 3 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/41 switchport access vlan 4 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/42 switchport access vlan 4 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/43 switchport access vlan 5 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/44 switchport access vlan 5 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/45 switchport access vlan 6 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/46 switchport access vlan 7 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/47 switchport access vlan 8 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/48 switchport access vlan 8 switchport mode access spanning-tree portfast
!
interface Vlan1 no ip address shutdown
!
interface Vlan2 ip address 192.168.1.1 255.255.255.0
!
interface Vlan3 ip address 192.168.2.1 255.255.255.0
!
interface Vlan4 ip address 192.168.3.1 255.255.255.0
!
interface Vlan5 ip address 192.168.4.1 255.255.255.0
!
interface Vlan6 ip address 192.168.5.1 255.255.255.0
!
interface Vlan7 ip address 192.168.6.1 255.255.255.0
!
interface Vlan8 ip address 192.168.7.1 255.255.255.0 ip policy route-map SL
!
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip route 0.0.0.0 0.0.0.0 10.0.0.1
!
!
ip access-list extended SL 10 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 20 permit ip 192.168.7.0 0.0.0.255 any
!
!
route-map SL permit 10 match ip address access-list SL set ip next-hop 10.0.2.1
! -
Хм, просто интересуюсь вашим ACL, так как, похоже, вы запрещаете 192.168.0.0/16, прежде чем разрешить 192.168.7.0/24. Поскольку последний находится в пределах первого, а все ACL имеют неявный ACE «запретить все», похоже, что ваш PBR не будет соответствовать ничему. Возможно, ACL должен иметь только второй ACE с разрешением или только этот ACE с запретом и последующим разрешением любого ACE. (Поскольку предыдущая ветка мне неизвестна, а в этой ветке не полностью описана топология, я не могу сказать, какой из двух пересмотренных ACL следует использовать). Кстати, я бы не рекомендовал использовать бесконечные аренды DHCP, так как это в некоторой степени нивелирует «динамичность».
-
Доброе утро Насколько я понимаю, Deny перед Permit должен был блокировать любую связь других VLAN с VLAN 8 [192.168.7.0/24] на уровне маршрутизатора, но оставаться на уровне коммутатора, а затем, конечно, разрешить 192.168.7.0/24, чтобы он мог маршрутизироваться в Интернет на следующем надежном 10.0.2.1. Я полагаю, что цель заключалась в том, чтобы сохранить локальную связь. Что касается бесконечного DHCP, то это забавно! Каждый раз, когда я смотрел на это, я говорил: «Ну, это странная команда для dhcp, учитывая, что она должна быть динамической», но да, я никогда не вникал в это, поэтому я действительно удалю это. НО, с учетом сказанного; У меня есть только vlan 192.168.1.0, который использует ISP 1, и vlan2 192.168.2.0, который использует ISP2. Коммутатор 10G, но когда я передаю данные из vlan 1 в vlan 2, скорость падает до 1G, скорости маршрутизатора, а не до 10G на коммутаторе.
-
Ой, моя ошибка, первый ACE ACL не полностью перекрывает второй ACE, потому что первый ACE имеет назначение /16, а второй ACE имеет любое назначение. Однако вместо того, чтобы блокировать трафик между другими VLAN и VLAN 8, именно первый ACE поддерживает нормальную маршрутизацию.
-
Не буду врать, я не совсем понимаю, что вы имеете в виду... Я знаю только, что то, что у меня есть, по-видимому, не позволяет ограничить связь локальной сетью коммутатора. Это сводит на нет все мои попытки использовать возможности 10G. На мой взгляд, не совсем понимая, как это реализовать, мне кажется, что мне нужно, чтобы VLAN «маршрутизировали» или обменивались данными, используя IP-адрес коммутатора в качестве шлюза, но тогда как они будут обращаться к своим интернет-провайдерам? Хм. Интересно, не приводит ли мой PBR, указывающий 192.168.7.0/24 иметь следующий прыжок как 10.0.2.1 [маршрутизатор ISP], к тому, что он маршрутизирует за пределы коммутатора, а затем обратно.
-
Хорошо, чтобы вы точно поняли: когда вы используете ACL с
PBR
, совпадение разрешения вызывает клаузу PBR, в которой оно используется. Совпадение отказа означает, что ACL не совпало, и клауза PBR переходит к следующей клаузе PBR, если таковая имеется. Также имейте в виду, что PBR — это, по сути, условная статическая маршрутизация. Политика PBR применяется к входящему трафику интерфейса. Рассмотрим следующие случаи: Трафик, направляющийся в VLAN 8, который 1) 192.168.0.0/16 => 192.168.7.0/24 и 2) не 192.168.0.0/16 => 192.168.7.0/24 и трафик из VLAN 8, который 3) 192.168.7.0/24 => 192.168.0.0/16 и 4) 192.168.7.0/24 => не 192.168.0.0/16 Случай 1: Первый SL ACE совпадает, но, поскольку это запрет, должна произойти нормальная маршрутизация, т. е. пакет будет маршрутизирован в 192.168.7.0/24 Случай 2: Ни один из SL ACE не совпадает, поэтому это неявный запрет, должна выполняться нормальная маршрутизация, т. е. пакет маршрутизируется в 192.168.7.0/24 Случай 3: Первый SL ACE совпадает, но поскольку это запрет, должна произойти нормальная маршрутизация, т. е. пакет направляется по маршруту 192.168.0.0/16 Случай 4: Второй SL ACE совпадает, но поскольку это разрешение, пакет маршрутизируется на 10.0.2.1 Кстати, поскольку вы используете коммутатор L3, я также думаю, что ip default-gateway 10.0.0.1
не должен быть
ip route 0.0.0.0 0.0.0.0 10.0.0.1 Кстати, глядя на ваш другой поток ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 часто плохо для Интернета, вам следует использовать IP следующего прыжка. -
Где вы видите «шлюз по умолчанию 10.0.0.1»? В моей последней рабочей конфигурации указано «ip route 0.0.0.0 0.0.0.0 10.0.0.1». Боже, я боюсь, что схожу с ума.
Кроме того, ip route gigabit ethernet 0/0/0 был на ISR, но его все еще можно изменить. Также предполагается, что следующим прыжком является сам IP-адрес WAN. -
Где вы видите «шлюз по умолчанию 10.0.0.1»? Внизу OP. Также предполагая, что следующим прыжком является сам IP-адрес WAN. Да, другое устройство, которое подключается к вашему маршрутизатору.
-
Приношу извинения, я опубликовал обновленную рабочую конфигурацию примерно шесть или семь сообщений назад и думал, что у меня правильный IP-маршрут.
-
Прошу прощения, я опубликовал обновленную рабочую конфигурацию примерно шесть или семь сообщений назад и думал, что у меня правильный IP-маршрут. Ах, это я должен извиниться, так как я вижу это (теперь) в одном из ваших следующих ответов. Интересно, позволит ли
PacketTracer
воспроизвести маршрутизацию, потому что для меня не очевидно, почему она не работает правильно. -
Я снова задаюсь вопросом, не приводит ли то, что мой явный PBR делает его (192.168.7.0) следующим прыжком его маршрутизатором 10.0.2.1, к тому, что он обходит коммутатор и попадает в ISR, а затем обратно в коммутатор.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти