cisco 881 route-map

[kapydan]

всем доброго времени суток.

может кто-то сталкивался с подобной ситуацией, сам уже что-то не могу догнать, может что-то пропустил.

 

есть cisco 881, на ней есть основной пул адресов (корпоративная подсеть 10.x.y.0/24) и есть дополнительный пул адресов (192.168.0.x/24), который создан чисто для гостевого ви-фи чтобы не пересекался с внутренней сетью. пк из 10.x.y.0 сети ходят в инет через прокси в центральном офисе.

для 192й сети создается свой dhcp-pool

ip dhcp pool wifi

network 192.168.0.0 255.255.255.0

dns-server 8.8.8.8

default-router 192.168.0.

 

int vlan для нее же

interface Vlan xyz

ip address 192.168.0.1 255.255.255.0

ip access-group vlan xyz in

ip flow ingress

ip nat inside

ip virtual-reassembly in

ip policy route-map wifi

 

делается два acl - на разрешение и запрет

ip access-list extended rmap xyz

permit ip 192.168.0.0 0.0.0.255 any

ip access-list extended vlan xyz

deny ip any 10.0.0.0 0.255.255.255

deny ip any 172.16.0.0 0.15.255.255

deny ip any 192.168.0.0 0.0.255.255

permit ip any any

 

и в конце сам роут-мап

route-map wifi permit 10

match ip address rmap xyz

set ip default next-hop - здесь указывается gw от провайдера

 

 

и в конце концов, ничего не работает. можно ли определить, что это проблема с железкой или нет. самое интересное в том, что не так давно делал подобную схему в другом филиале - там завелось без проблем. может ли что-то ограничивать сам провайдер?

[Tosha]

deny правила в ACL для route-map плохая идея.

Если Вам не надо роутить эти адреса - зароутите их просто в null, или же просто ACL их подавите

Если Вам надо роутить их в другое место то так и напишите куда

И вообще зачем Вам route-map для правила "permit ip any any" - проще просто маршрут прописать

 

В общем излагайте задачу полностью - что сидит на адресах 10.0.0.0 0.255.255.255 172.16.0.0 0.15.255.255 192.168.0.0 0.0.255.255

и почему не получается обойтись обычным классическим статическим, если хотите, роутингом.

[VolanD666]

По разным VRF не лучше распихать это?

[kapydan]

https://yadi.sk/d/JY8p0FaC3ENbKi - тут часть конфига.

 

ну, есть удаленный офис и магазин, там стоит 881 циска с приходящим одним кабелем от провайдера. внезапно, оказалось необходимым настроить ви-фи сеть (потом оказалось, что нужно аж две), чтобы она никак не пересекалась с внутренней сетью. для чего было решено сделать такую схему - dhcp-pool, acl для списка адресов 192.168.0.х и 192.168.1.х и настроить route-map с указанием next-hopом шлюза от провайдера. несколько месяцев назад делал такую же схему в другом филиале на такой же 881 циске - там все завелось без проблем, а тут никак.

[ShyLion]

https://yadi.sk/d/JY8p0FaC3ENbKi - тут часть конфига.

 

ну, есть удаленный офис и магазин, там стоит 881 циска с приходящим одним кабелем от провайдера. внезапно, оказалось необходимым настроить ви-фи сеть (потом оказалось, что нужно аж две), чтобы она никак не пересекалась с внутренней сетью. для чего было решено сделать такую схему - dhcp-pool, acl для списка адресов 192.168.0.х и 192.168.1.х и настроить route-map с указанием next-hopом шлюза от провайдера. несколько месяцев назад делал такую же схему в другом филиале на такой же 881 циске - там все завелось без проблем, а тут никак.

 

Если дефолт-маршрут для всех один и тот-же - на кой хрен там полиси-роутинг? Обычный acl надо поставить на интерфейс с вифи и всех делов.

[zhenya`]

В ацл денай на 192.168 блок и из него же адреса.. тут пбр не нужен, хватит ацл