Jump to content
Калькуляторы

Cisco 3750G и роут-мапы Нужен матчинг с условием "И"

Всем доброго дня.

Есть Cisco 3750G.

Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 12.2(50)SE2, RELEASE SOFTWARE (fc2)

 

Нужно сделать PBR.

Условия, по которым нужно матчить, находятся в двух ACL. Необходимо, что бы условие выполнялось при попадании пакета В ОБА АЦЛ.

Так как это свич 3х50, то есть определенные нюансы работы PBR и построения АЦЛ.

 

Делаю так:

interface Vlan18
ip address 192.168.10.1 255.255.255.0
ip policy route-map TO_GATE_2
!
! Список все сетей интернета
ip access-list extended ACCESS_TO_INET
permit ip any 1.0.0.0 0.255.255.255
permit ip any 2.0.0.0 1.255.255.255
permit ip any 4.0.0.0 3.255.255.255
permit ip any 8.0.0.0 1.255.255.255
permit ip any 10.0.0.0 0.255.255.255
permit ip any 11.0.0.0 0.255.255.255
permit ip any 12.0.0.0 3.255.255.255
permit ip any 16.0.0.0 15.255.255.255
permit ip any 32.0.0.0 31.255.255.255
permit ip any 64.0.0.0 31.255.255.255
permit ip any 96.0.0.0 15.255.255.255
permit ip any 112.0.0.0 7.255.255.255
permit ip any 120.0.0.0 3.255.255.255
permit ip any 124.0.0.0 1.255.255.255
permit ip any 126.0.0.0 0.255.255.255
permit ip any 128.0.0.0 31.255.255.255
permit ip any 160.0.0.0 7.255.255.255
permit ip any 168.0.0.0 3.255.255.255
permit ip any 172.0.0.0 0.15.255.255
permit ip any 172.32.0.0 0.31.255.255
permit ip any 172.64.0.0 0.63.255.255
permit ip any 172.128.0.0 0.127.255.255
permit ip any 173.0.0.0 0.255.255.255
permit ip any 174.0.0.0 1.255.255.255
permit ip any 176.0.0.0 15.255.255.255
permit ip any 192.0.0.0 0.127.255.255
permit ip any 192.128.0.0 0.31.255.255
permit ip any 192.160.0.0 0.7.255.255
permit ip any 192.169.0.0 0.0.255.255
permit ip any 192.170.0.0 0.1.255.255
permit ip any 192.172.0.0 0.3.255.255
permit ip any 192.176.0.0 0.15.255.255
permit ip any 192.192.0.0 0.63.255.255
permit ip any 193.0.0.0 0.255.255.255
permit ip any 194.0.0.0 1.255.255.255
permit ip any 196.0.0.0 3.255.255.255
permit ip any 200.0.0.0 7.255.255.255
permit ip any 208.0.0.0 15.255.255.255
!
! Эти сети отправляем на второй шейпер
ip access-list extended TO_SHAPER_2
permit ip 192.168.10.0 0.0.0.255 any
!
! Эти ипы пускаем через первый шейпер
ip access-list extended WHITE_IP_LIST
permit ip host 192.168.10.3 any
!
route-map TO_GATE_2 permit 10
match ip address ACCESS_TO_INET
match ip address WHITE_IP_LIST
set ip next-hop 10.0.121.1
!
route-map TO_GATE_2 permit 20
match ip address ACCESS_TO_INET
match ip address TO_SHAPER_2
set ip next-hop 10.0.121.3
!

 

Проблема вот в чем:

Согласно вот ТАКОМУ примеру (выдержка из поста). Вообщем, этот пример именно то, что я и пытаюсь сделать на своей циске.

route-map ISP permit 10 
match ip address Access_to_Inet 
match ip address ISP1_subnets_source 
set ip next-hop ISP1_GW 
!
route-map ISP permit 20 
match ip address Access_to_Inet 
match ip address ISP2_subnets_source 
set ip next-hop ISP2_GW

и ТАКОМУ примеру

Если после параметра match идет несколько опций, то к ним применяется логика "ИЛИ", то есть должен совпасть один из перечисленных параметров. Если задано несколько параметров match в отдельных строках, то к ним применяется логика "И", то есть должны совпасть все параметры.
мой конфиг должен работать верно.

В мане по циске написано както туманно:

match ip address {access-list-number | access-list-name} [...access-list-number | ...access-list-name]

Match the source and destination IP address that is permitted by one or more standard or extended access lists.

Реально же, после ввода роут-мапа с двумя матчами

route-map TO_GATE_2 permit 10

match ip address ACCESS_TO_INET

match ip address WHITE_IP_LIST

set ip next-hop 10.0.121.1

получаю вот это - ОДИН матч:
route-map TO_GATE_2 permit 10

match ip address ACCESS_TO_INET WHITE_IP_LIST

set ip next-hop 10.0.121.1

Соответственно, отрабатывает правило "ИЛИ" в списке АЦЛ. Тоесть, пакет проверяется на ПЕРВОЕ совпадение со всех списков АЦЛ.

А мне нужно, что бы пакет проверялся ПО ВСЕМ спискам (два в данном случае) и в случае попадания ВО ВСЕ списки - выполнялся set ip.

 

В связи с этим вопрос: КАК можно сделать проверку с условием "И" в роут-мапах для PBR ???

Share this post


Link to post
Share on other sites

попробуйте что-нибудь потипу такого:

 

route-map test permit 10

match ip address 1

set tag 2

continue 20

!

route-map test permit 15

match ip address 2

set tag 2

continue 20

!

route-map test permit 20

match tag 2

set ip next-hop ...

!

 

 

Share this post


Link to post
Share on other sites

000022: *Mar  1 02:14:00.142: %PBR-3-UNSUPPORTED_RMAP: Route-map TO_GATE_2 not supported for Policy-Based Routing

Это происходит после ввода команды continue.

Share this post


Link to post
Share on other sites

Пробовал также залить ИОС из ПРИМЕРА.

Там вроде как 12.2(35)SE, заливал 12.2(35)SE3.

Эффект тот же (

Share this post


Link to post
Share on other sites

для вашей задачи правильней использовать vrf-lite

Share this post


Link to post
Share on other sites

Уже думал над этим ..((

Будет ли работоспособным такой утопический вариант:

В vrf1 вынести все вланы с клиентскими подсетями. Там будет роутится вся локалка.

В глобале оставить шейперы и дефолт с vrf1 (локальной сети).

В глобале (где будет уже только трафик, который идет в инет) сделать PBR и разбрасывать клиентские подсети на разные шейперы.

Как такая идейка ? ))

Вообще, возможно ли только на одной 3750 сделать роутинг между врф-глобал ??

 

п.с. Хочется все это сделать на ОДНОМ свиче. Потому что на двух проблем то нет в принципе.

 

п.п.с. Также, хочется узнать, ПОЧЕМУ НЕ РАБОТАЕТ вышеприведенный пример про два match, хотя в статье пишут, что все ок ??

Edited by Elisium

Share this post


Link to post
Share on other sites
п.п.с. Также, хочется узнать, ПОЧЕМУ НЕ РАБОТАЕТ вышеприведенный пример про два match, хотя в статье пишут, что все ок ??
Ап.

Неужели нет цискарей на форуме или 3750 отстойная железка ?

Да и в инете именно на ту ссылку часто ссылаются.

п.с. с врфом разобрался.

Edited by Elisium

Share this post


Link to post
Share on other sites
п.п.с. Также, хочется узнать, ПОЧЕМУ НЕ РАБОТАЕТ вышеприведенный пример про два match, хотя в статье пишут, что все ок ??
Ап.

Неужели нет цискарей на форуме или 3750 отстойная железка ?

Да и в инете именно на ту ссылку часто ссылаются.

п.с. с врфом разобрался.

Часть вланов в один vrf, часть в другой. Соотвествнно в vrf1 default на первый шейпер, в vrf2 на второй шейпер + роутликинг между vrf'ами ?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this