Интересует правильная настройка ACL / PBR или статической маршрутизации
-
Хм, просто интересуюсь вашим ACL, так как, похоже, вы запрещаете 192.168.0.0/16, прежде чем разрешить 192.168.7.0/24. Поскольку последний находится в пределах первого, а все ACL имеют неявный ACE «запретить все», похоже, что ваш PBR не будет соответствовать ничему. Возможно, ACL должен иметь только второй ACE с разрешением или только этот ACE с запретом и последующим разрешением любого ACE. (Поскольку предыдущая ветка мне неизвестна, а в этой ветке не полностью описана топология, я не могу сказать, какой из двух пересмотренных ACL следует использовать). Кстати, я бы не рекомендовал использовать бесконечные аренды DHCP, так как это в некоторой степени нивелирует «динамичность».
-
Доброе утро Насколько я понимаю, Deny перед Permit должен был блокировать любую связь других VLAN с VLAN 8 [192.168.7.0/24] на уровне маршрутизатора, но оставаться на уровне коммутатора, а затем, конечно, разрешить 192.168.7.0/24, чтобы он мог маршрутизироваться в Интернет на следующем надежном 10.0.2.1. Я полагаю, что цель заключалась в том, чтобы сохранить локальную связь. Что касается бесконечного DHCP, то это забавно! Каждый раз, когда я смотрел на это, я говорил: «Ну, это странная команда для dhcp, учитывая, что она должна быть динамической», но да, я никогда не вникал в это, поэтому я действительно удалю это. НО, с учетом сказанного; У меня есть только vlan 192.168.1.0, который использует ISP 1, и vlan2 192.168.2.0, который использует ISP2. Коммутатор 10G, но когда я передаю данные из vlan 1 в vlan 2, скорость падает до 1G, скорости маршрутизатора, а не до 10G на коммутаторе.
-
Ой, моя ошибка, первый ACE ACL не полностью перекрывает второй ACE, потому что первый ACE имеет назначение /16, а второй ACE имеет любое назначение. Однако вместо того, чтобы блокировать трафик между другими VLAN и VLAN 8, именно первый ACE поддерживает нормальную маршрутизацию.
-
Не буду врать, я не совсем понимаю, что вы имеете в виду... Я знаю только, что то, что у меня есть, по-видимому, не позволяет ограничить связь локальной сетью коммутатора. Это сводит на нет все мои попытки использовать возможности 10G. На мой взгляд, не совсем понимая, как это реализовать, мне кажется, что мне нужно, чтобы VLAN «маршрутизировали» или обменивались данными, используя IP-адрес коммутатора в качестве шлюза, но тогда как они будут обращаться к своим интернет-провайдерам? Хм. Интересно, не приводит ли мой PBR, указывающий 192.168.7.0/24 иметь следующий прыжок как 10.0.2.1 [маршрутизатор ISP], к тому, что он маршрутизирует за пределы коммутатора, а затем обратно.
-
Хорошо, чтобы вы точно поняли: когда вы используете ACL с
PBR
, совпадение разрешения вызывает клаузу PBR, в которой оно используется. Совпадение отказа означает, что ACL не совпало, и клауза PBR переходит к следующей клаузе PBR, если таковая имеется. Также имейте в виду, что PBR — это, по сути, условная статическая маршрутизация. Политика PBR применяется к входящему трафику интерфейса. Рассмотрим следующие случаи: Трафик, направляющийся в VLAN 8, который 1) 192.168.0.0/16 => 192.168.7.0/24 и 2) не 192.168.0.0/16 => 192.168.7.0/24 и трафик из VLAN 8, который 3) 192.168.7.0/24 => 192.168.0.0/16 и 4) 192.168.7.0/24 => не 192.168.0.0/16 Случай 1: Первый SL ACE совпадает, но, поскольку это запрет, должна произойти нормальная маршрутизация, т. е. пакет будет маршрутизирован в 192.168.7.0/24 Случай 2: Ни один из SL ACE не совпадает, поэтому это неявный запрет, должна выполняться нормальная маршрутизация, т. е. пакет маршрутизируется в 192.168.7.0/24 Случай 3: Первый SL ACE совпадает, но поскольку это запрет, должна произойти нормальная маршрутизация, т. е. пакет направляется по маршруту 192.168.0.0/16 Случай 4: Второй SL ACE совпадает, но поскольку это разрешение, пакет маршрутизируется на 10.0.2.1 Кстати, поскольку вы используете коммутатор L3, я также думаю, что ip default-gateway 10.0.0.1
не должен быть
ip route 0.0.0.0 0.0.0.0 10.0.0.1 Кстати, глядя на ваш другой поток ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 часто плохо для Интернета, вам следует использовать IP следующего прыжка. -
Где вы видите «шлюз по умолчанию 10.0.0.1»? В моей последней рабочей конфигурации указано «ip route 0.0.0.0 0.0.0.0 10.0.0.1». Боже, я боюсь, что схожу с ума.
Кроме того, ip route gigabit ethernet 0/0/0 был на ISR, но его все еще можно изменить. Также предполагается, что следующим прыжком является сам IP-адрес WAN. -
Где вы видите «шлюз по умолчанию 10.0.0.1»? Внизу OP. Также предполагая, что следующим прыжком является сам IP-адрес WAN. Да, другое устройство, которое подключается к вашему маршрутизатору.
-
Приношу извинения, я опубликовал обновленную рабочую конфигурацию примерно шесть или семь сообщений назад и думал, что у меня правильный IP-маршрут.
-
Прошу прощения, я опубликовал обновленную рабочую конфигурацию примерно шесть или семь сообщений назад и думал, что у меня правильный IP-маршрут. Ах, это я должен извиниться, так как я вижу это (теперь) в одном из ваших следующих ответов. Интересно, позволит ли
PacketTracer
воспроизвести маршрутизацию, потому что для меня не очевидно, почему она не работает правильно. -
Я снова задаюсь вопросом, не приводит ли то, что мой явный PBR делает его (192.168.7.0) следующим прыжком его маршрутизатором 10.0.2.1, к тому, что он обходит коммутатор и попадает в ISR, а затем обратно в коммутатор.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти