Jump to content
Калькуляторы

cisco 65/76 pbr и match

Натолкнулся на странную вещь.

У нас несколько аплинков.

Одному юрику необходимо чтоб его трафик ходил в обе стороны через ростелеком.

 

Для входящего - проанонсировали его /24 на ростелеком.

Для исходящего написали pbr:

match ip address (acl с его сеткой)

match ip next-hop (acl с ip второго аплинка, куда не должен идти)

set ip next hop (ip ростелекома)

повесили на интерфейсы с ядра.

 

Оказалось, что теперь трафик до других клиентов, включенных в этот пограничник идет через ростелеком, обратно и уже потом второму клиенту, то есть pbr не реагирует на match ip next-hop.

match interface тож пробовали.

 

Все это на 7609 c 720sup-3bxl 12.2(33)SRC3.

Проверили тож самое на 6509 с тем же супом и 12.2.(18) - тоже самое.

Примеров для pbr где проверялся бы не только ip по acl найти не могу.

 

Не уж то нельзя? Хотелось бы еще в паре мест такое реализовать для других целей, в частности заворот части адресов на нат.

Edited by Дегтярев Илья

Share this post


Link to post
Share on other sites
Натолкнулся на странную вещь.

У нас несколько аплинков.

Одному юрику необходимо чтоб его трафик ходил в обе стороны через ростелеком.

 

Для входящего - проанонсировали его /24 на ростелеком.

Для исходящего написали pbr:

match ip address (acl с его сеткой)

match ip next-hop (acl с ip второго аплинка, куда не должен идти)

set ip next hop (ip ростелекома)

повесили на интерфейсы с ядра.

 

Оказалось, что теперь трафик до других клиентов, включенных в этот пограничник идет через ростелеком, обратно и уже потом второму клиенту, то есть pbr не реагирует на match ip next-hop.

match interface тож пробовали.

 

Все это на 7609 c 720sup-3bxl 12.2(33)SRC3.

Проверили тож самое на 6509 с тем же супом и 12.2.(18) - тоже самое.

Примеров для pbr где проверялся бы не только ip по acl найти не могу.

 

Не уж то нельзя? Хотелось бы еще в паре мест такое реализовать для других целей, в частности заворот части адресов на нат.

а попробуйте:

если от uplink'ов full берете - через local-pref

если только default'ы - set ip default next-hop

 

Share this post


Link to post
Share on other sites
И тогда дофига нашего трафика пойдет в этот канал.

Нафиг не надо.

У нас несколько аплинков.

Одному юрику необходимо чтоб его трафик ходил в обе стороны через ростелеком.

Вы сами себе противоречите.

Если вам нужно отправить один префикс в конкретный uplink - так и сделайте для этого префикса необходимый local-pref.

Share this post


Link to post
Share on other sites

Нет, надо любой трафик этого клиента отправить в этот аплинк. Клиент оплатил почти полную полосу и нашего трафика там не более 10%. Терминировать канал на другой железке тоже не можем.

 

Гуглением попалась выдежка от 12.3 какие команды могут использовться в полиси для pbr.

Из match только ip address и lenght

Share this post


Link to post
Share on other sites
Нет, надо любой трафик этого клиента отправить в этот аплинк. Клиент оплатил почти полную полосу и нашего трафика там не более 10%. Терминировать канал на другой железке тоже не можем.

 

Гуглением попалась выдежка от 12.3 какие команды могут использовться в полиси для pbr.

Из match только ip address и lenght

Начните от сюда: http://oreilly.com/catalog/bgp/chapter/ch06.html

 

Share this post


Link to post
Share on other sites
Нет, надо любой трафик этого клиента отправить в этот аплинк. Клиент оплатил почти полную полосу и нашего трафика там не более 10%. Терминировать канал на другой железке тоже не можем.

Можно посмотреть в сторону VRF

Share this post


Link to post
Share on other sites

Вы там хоть одно слово про нестандартные случаи видели? Как воздействовать на глабальную таблицу и так знаю.

 

Можно посмотреть в сторону VRF

Угу, только так.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this