artplanet Опубликовано 9 июля, 2017 (изменено) · Жалоба Читаем статью http://xgu.ru/wiki/Cisco_PBR и возникает несколько вопросов если изменить немного конфигурацию, а именно в обоих строчках роутмапа ставим один и тот же ACL: route-map POLICY permit 10 match ip address odd set ip next-hop verify-availability 192.168.1.5 1 track 1 route-map POLICY permit 20 match ip address odd set ip next-hop verify-availability 192.168.2.6 2 track 2 Суть в том - что хотим сделать полноценный резерв. И в случае когда первый next-hop не работает - трафик по тому же ACL полностью отправлялся по другому ACL а когда первый nexthop доступен - то весь трафик отправляется на первый next-hop Но если Мы правильно понимаем работу route-map - то пакеты которые попали в acl в 10ом правиле route-map уже не попадут в 20ое правило, даже при условии что next-hop там не доступен. И все пакеты будут обработаны стандартной таблицой маршрутизации. Есть ли у кого идеи как реализовать схему: один ACL, если первый next-hop доступен - весь трафик отправляем на него, если первый next-hop не доступен - отправляем весь трафик на второй next-hop, и вот только если оба next-hop не доступны - то только тогда отправляем трафик по стандартной таблице маршрутизации. Изменено 9 июля, 2017 пользователем artplanet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VitMain Опубликовано 9 июля, 2017 · Жалоба http://www.cisco.com/c/en/us/support/docs/ip/ip-routed-protocols/48003-pbrtracking.html route-map POLICY permit 10 match ip address odd set ip next-hop verify-availability 192.168.1.5 1 track 1 route-map POLICY permit 20 match ip address odd set ip next-hop verify-availability 192.168.2.6 2 track 2 route-map POLICY permit 30 match ip address odd должно помочь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 10 июля, 2017 · Жалоба эхххх.... на 6500 шасси есть подобная команда (config-route-map)#set ip next-hop ? A.B.C.D IP address of next hop dynamic application dynamically sets next hop encapsulate Encapsulation profile for VPN nexthop peer-address Use peer address (for BGP only) recursive Recursive next-hop self Use self address (for BGP only) verify-availability Verify if nexthop is reachable а вот на 4900m на которые мы решили перейти нет команды. config-route-map)#set ip next-hop ? A.B.C.D IP address of next hop dynamic application dynamically sets next hop peer-address Use peer address (for BGP only) recursive Recursive next-hop self Use self address (for BGP only) софт System image file is "bootflash:/cat4500e-entservicesk9-mz.152-2.E6.bin" как я понял на 49xx серии можно забыть о verify-availability и аналогов нет ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 10 июля, 2017 · Жалоба а статику с треками даёт нарисовать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 10 июля, 2017 · Жалоба статика не катит - так как нужен именно PBR - то есть нужно отправлять не весь трафик - а определенный (по source ip) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 10 июля, 2017 · Жалоба это понятно. просто вы можете указать next-hop - ип который статиком заворачивается за определенный next-hop, который имеет трек уже. ну аля route-map PBR permit 10 match ip address odd set ip next-hop 1.1.1.1 ip route 1.1.1.1 255.255.255.255 192.168.1.5 track 1 10 ip route 1.1.1.1 255.255.255.255 192.168.2.6 track 2 20 последнее - приоритет. за точность не ручаюсь - лень лезть в мануалы. ну и, конечно, не факт что всё это взлетит :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 10 июля, 2017 · Жалоба хз как такое переварит пару миллионов пакетов в секунду, нужно будет стенд сделать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 10 июля, 2017 · Жалоба начинаем поднимать стенд, итак, если PBR Имеет такой вид: show route-map TEST-PBR route-map TEST-PBR, permit, sequence 10 Match clauses: ip address (access-lists): TEST-PBR Set clauses: ip next-hop 10.10.128.1 Policy routing matches: 21 packets, 1260 bytes то трасса идет 1 80.87.207.152 0 msec 0 msec 0 msec 2 10.10.128.1 [AS 1299] 0 msec 0 msec 0 msec второй прыжок верный А вот если мы делаем PBR вида route-map TEST-PBR, permit, sequence 10 Match clauses: ip address (access-lists): TEST-PBR Set clauses: ip next-hop 192.168.1.1 Policy routing matches: 21 packets, 1260 bytes и просто прописываем статик роут: ip route 192.168.1.1 255.255.255.255 10.10.128.1 то трассирвока становится: 1 80.87.207.152 0 msec 0 msec 0 msec 2 80.87.207.155 [AS 1299] 0 msec 0 msec 0 msec то есть 2 прыжок не верный и статик роут просто игнорируется. Видимо для nexthop требуется наличие arp записи в тоже время трасса до ip 192.168.1.1 имеет вид: 1 80.87.207.152 0 msec 4 msec 0 msec 2 10.10.128.1 [AS 1299] 0 msec 0 msec 0 msec так что получается что next-hop на тот хост который доступен через статик роут не получится сделать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 10 июля, 2017 · Жалоба пока что видится только один вариант event manager applet InternetSupremet event syslog pattern "ip sla 1 reachability Up->Down" action 1.0 cli command "clear ip nat translation *" через подобное извращение программировать нужный next hop в PBR Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 10 июля, 2017 · Жалоба хм, на asr9k в принципе такая же логика - next-hop должен быть directly-connected и иметь arp запись. ну значит только вариант с извратом через EEM Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 10 июля, 2017 · Жалоба через EEM получилось реализовать то что было нужно - но это изврат. Но работать будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ikiliikkuja Опубликовано 14 июля, 2017 · Жалоба Но если Мы правильно понимаем работу route-map - то пакеты которые попали в acl в 10ом правиле route-map уже не попадут в 20ое правило, даже при условии что next-hop там не доступен. И все пакеты будут обработаны стандартной таблицой маршрутизации. Есть ли у кого идеи как реализовать схему: один ACL, если первый next-hop доступен - весь трафик отправляем на него, если первый next-hop не доступен - отправляем весь трафик на второй next-hop, и вот только если оба next-hop не доступны - то только тогда отправляем трафик по стандартной таблице маршрутизации. почему бы не route-map POLICY permit 10 match ip address odd set ip next-hop verify-availability 192.168.1.5 1 track 1 set ip next-hop verify-availability 192.168.2.6 2 track 2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 14 июля, 2017 · Жалоба Нет у него verify-availability Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 16 июля, 2017 · Жалоба а обновив софт с 152-2.E6.bin до 152-4.E2.bin verify-availability появился. интересно с чего такие изменения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 17 июля, 2017 · Жалоба Почитайте release notes к IOS, они для 49й постоянно допиливают какие-то полезные мелочи. Правда и неприятные баги в работавших фичах добавляются, например на 152-4.E в IPv6 BGP-сессии префиксы от не-Cisco соседа не принимались. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 19 июля, 2017 · Жалоба Странно, если бы там это не работало, но речь в топике про 4900 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Giga-Byte Опубликовано 20 июля, 2017 · Жалоба vurd действительно. заглянул на форум мысли развлечь от авраала за чашкой чая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...