Интересует правильная настройка ACL / PBR или статической маршрутизации
-
Думаю, я нашел основную проблему, которая, возможно, заключается в том, что PBR игнорирует IP-адреса назначения в ACL. Попробуйте следующее: no route-map SL no ip access-list extended SL ip access-list standard SL permit 192.168.7.0 0.0.0.255 route-map SL permit 10 match ip address access-list SL set ip default next-hop 10.0.2.1
-
Здорово! Спасибо вам обоим за поддержку. Я счастлив.
]
-
Здравствуйте Я оставлю эту ветку как решенную, но, похоже, у меня возникла проблема при переходе с работающего коммутатора SG350XG на коммутатор 3850. У меня все настройки VLAN, ACL и PBR точно такие же, но, похоже, все вернулось к маршрутизации через маршрутизаторы, а затем обратно к коммутатору, вместо того, чтобы просто маршрутизироваться/оставаться локальным на коммутаторе, чтобы использовать скорость передачи 10G между VLAN. Вот «новая» конфигурация коммутатора 3850. Если кто-нибудь заметит что-то, что я упустил. !
version 16.12
!
ip routing
!
ip dhcp excluded-address 192.168.1.0 192.168.1.1
!
ip dhcp pool fbeye network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 1.1.1.1 lease infinite
!
ip dhcp pool fhc network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 1.1.1.1 lease infinite
!
ip dhcp pool ceyea network 192.168.3.0 255.255.255.0 default-router 192.168.3.1 dns-server 1.1.1.1 lease infinite
!
ip dhcp pool 4.0 network 192.168.4.0 255.255.255.0 default-router 192.168.4.1 dns-server 1.1.1.1 lease infinite
!
ip dhcp pool 5.0 network 192.168.5.0 255.255.255.0 default-router 192.168.5.1 dns-server 1.1.1.1 lease infinite
!
ip dhcp pool 6.0 network 192.168.6.0 255.255.255.0 default-router 192.168.6.1 dns-server 1.1.1.1 lease infinite
!
ip dhcp pool starlink network 192.168.7.0 255.255.255.0 default-router 192.168.7.1 dns-server 1.1.1.1 lease infinite
!
interface GigabitEthernet0/0 vrf forwarding Mgmt-vrf ip address 192.168.5.230 255.255.255.0 negotiation auto
!
interface GigabitEthernet4/0/1 no switchport ip address 10.0.0.2 255.255.255.0
!
interface GigabitEthernet4/0/2 no switchport ip address 10.0.2.2 255.255.255.0
!
interface GigabitEthernet4/0/13 switchport access vlan 6 switchport mode access spanning-tree portfast
!
interface GigabitEthernet4/0/14 switchport access vlan 6 switchport mode access spanning-tree portfast
!
interface GigabitEthernet4/0/15 switchport access vlan 6 switchport mode access spanning-tree portfast
!
interface GigabitEthernet4/0/16 switchport access vlan 6 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/37 switchport access vlan 2 switchport trunk native vlan 2 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/38 switchport access vlan 2 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/39 switchport access vlan 3 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/40 switchport access vlan 3 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/41 switchport access vlan 4 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/42 switchport access vlan 4 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/43 switchport access vlan 5 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/44 switchport access vlan 5 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/45 switchport access vlan 6 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/46 switchport access vlan 7 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/47 switchport access vlan 8 switchport mode access spanning-tree portfast
!
interface TenGigabitEthernet4/0/48 switchport access vlan 8 switchport mode access spanning-tree portfast
!
interface Vlan1 no ip address shutdown
!
interface Vlan2 ip address 192.168.1.1 255.255.255.0
!
interface Vlan3 ip address 192.168.2.1 255.255.255.0
!
interface Vlan4 ip address 192.168.3.1 255.255.255.0
!
interface Vlan5 ip address 192.168.4.1 255.255.255.0
!
interface Vlan6 ip address 192.168.5.1 255.255.255.0
!
interface Vlan7 ip address 192.168.6.1 255.255.255.0
!
interface Vlan8 ip address 192.168.7.1 255.255.255.0 ip policy route-map SL
!
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip route 0.0.0.0 0.0.0.0 10.0.0.1
!
!
ip access-list extended SL 10 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 20 permit ip 192.168.7.0 0.0.0.255 any
!
!
route-map SL permit 10 match ip address access-list SL set ip next-hop 10.0.2.1
! -
Хм, просто интересуюсь вашим ACL, так как, похоже, вы запрещаете 192.168.0.0/16, прежде чем разрешить 192.168.7.0/24. Поскольку последний находится в пределах первого, а все ACL имеют неявный ACE «запретить все», похоже, что ваш PBR не будет соответствовать ничему. Возможно, ACL должен иметь только второй ACE с разрешением или только этот ACE с запретом и последующим разрешением любого ACE. (Поскольку предыдущая ветка мне неизвестна, а в этой ветке не полностью описана топология, я не могу сказать, какой из двух пересмотренных ACL следует использовать). Кстати, я бы не рекомендовал использовать бесконечные аренды DHCP, так как это в некоторой степени нивелирует «динамичность».
-
Доброе утро Насколько я понимаю, Deny перед Permit должен был блокировать любую связь других VLAN с VLAN 8 [192.168.7.0/24] на уровне маршрутизатора, но оставаться на уровне коммутатора, а затем, конечно, разрешить 192.168.7.0/24, чтобы он мог маршрутизироваться в Интернет на следующем надежном 10.0.2.1. Я полагаю, что цель заключалась в том, чтобы сохранить локальную связь. Что касается бесконечного DHCP, то это забавно! Каждый раз, когда я смотрел на это, я говорил: «Ну, это странная команда для dhcp, учитывая, что она должна быть динамической», но да, я никогда не вникал в это, поэтому я действительно удалю это. НО, с учетом сказанного; У меня есть только vlan 192.168.1.0, который использует ISP 1, и vlan2 192.168.2.0, который использует ISP2. Коммутатор 10G, но когда я передаю данные из vlan 1 в vlan 2, скорость падает до 1G, скорости маршрутизатора, а не до 10G на коммутаторе.
-
Ой, моя ошибка, первый ACE ACL не полностью перекрывает второй ACE, потому что первый ACE имеет назначение /16, а второй ACE имеет любое назначение. Однако вместо того, чтобы блокировать трафик между другими VLAN и VLAN 8, именно первый ACE поддерживает нормальную маршрутизацию.
-
Не буду врать, я не совсем понимаю, что вы имеете в виду... Я знаю только, что то, что у меня есть, по-видимому, не позволяет ограничить связь локальной сетью коммутатора. Это сводит на нет все мои попытки использовать возможности 10G. На мой взгляд, не совсем понимая, как это реализовать, мне кажется, что мне нужно, чтобы VLAN «маршрутизировали» или обменивались данными, используя IP-адрес коммутатора в качестве шлюза, но тогда как они будут обращаться к своим интернет-провайдерам? Хм. Интересно, не приводит ли мой PBR, указывающий 192.168.7.0/24 иметь следующий прыжок как 10.0.2.1 [маршрутизатор ISP], к тому, что он маршрутизирует за пределы коммутатора, а затем обратно.
-
Хорошо, чтобы вы точно поняли: когда вы используете ACL с
PBR
, совпадение разрешения вызывает клаузу PBR, в которой оно используется. Совпадение отказа означает, что ACL не совпало, и клауза PBR переходит к следующей клаузе PBR, если таковая имеется. Также имейте в виду, что PBR — это, по сути, условная статическая маршрутизация. Политика PBR применяется к входящему трафику интерфейса. Рассмотрим следующие случаи: Трафик, направляющийся в VLAN 8, который 1) 192.168.0.0/16 => 192.168.7.0/24 и 2) не 192.168.0.0/16 => 192.168.7.0/24 и трафик из VLAN 8, который 3) 192.168.7.0/24 => 192.168.0.0/16 и 4) 192.168.7.0/24 => не 192.168.0.0/16 Случай 1: Первый SL ACE совпадает, но, поскольку это запрет, должна произойти нормальная маршрутизация, т. е. пакет будет маршрутизирован в 192.168.7.0/24 Случай 2: Ни один из SL ACE не совпадает, поэтому это неявный запрет, должна выполняться нормальная маршрутизация, т. е. пакет маршрутизируется в 192.168.7.0/24 Случай 3: Первый SL ACE совпадает, но поскольку это запрет, должна произойти нормальная маршрутизация, т. е. пакет направляется по маршруту 192.168.0.0/16 Случай 4: Второй SL ACE совпадает, но поскольку это разрешение, пакет маршрутизируется на 10.0.2.1 Кстати, поскольку вы используете коммутатор L3, я также думаю, что ip default-gateway 10.0.0.1
не должен быть
ip route 0.0.0.0 0.0.0.0 10.0.0.1 Кстати, глядя на ваш другой поток ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 часто плохо для Интернета, вам следует использовать IP следующего прыжка. -
Где вы видите «шлюз по умолчанию 10.0.0.1»? В моей последней рабочей конфигурации указано «ip route 0.0.0.0 0.0.0.0 10.0.0.1». Боже, я боюсь, что схожу с ума.
Кроме того, ip route gigabit ethernet 0/0/0 был на ISR, но его все еще можно изменить. Также предполагается, что следующим прыжком является сам IP-адрес WAN. -
Где вы видите «шлюз по умолчанию 10.0.0.1»? Внизу OP. Также предполагая, что следующим прыжком является сам IP-адрес WAN. Да, другое устройство, которое подключается к вашему маршрутизатору.
-
Приношу извинения, я опубликовал обновленную рабочую конфигурацию примерно шесть или семь сообщений назад и думал, что у меня правильный IP-маршрут.
-
Прошу прощения, я опубликовал обновленную рабочую конфигурацию примерно шесть или семь сообщений назад и думал, что у меня правильный IP-маршрут. Ах, это я должен извиниться, так как я вижу это (теперь) в одном из ваших следующих ответов. Интересно, позволит ли
PacketTracer
воспроизвести маршрутизацию, потому что для меня не очевидно, почему она не работает правильно. -
Я снова задаюсь вопросом, не приводит ли то, что мой явный PBR делает его (192.168.7.0) следующим прыжком его маршрутизатором 10.0.2.1, к тому, что он обходит коммутатор и попадает в ISR, а затем обратно в коммутатор.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти