Elisium Опубликовано 4 марта, 2011 · Жалоба Всем доброго дня. Есть Cisco 3750G. Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 12.2(50)SE2, RELEASE SOFTWARE (fc2) Нужно сделать PBR. Условия, по которым нужно матчить, находятся в двух ACL. Необходимо, что бы условие выполнялось при попадании пакета В ОБА АЦЛ. Так как это свич 3х50, то есть определенные нюансы работы PBR и построения АЦЛ. Делаю так: interface Vlan18 ip address 192.168.10.1 255.255.255.0 ip policy route-map TO_GATE_2 ! ! Список все сетей интернета ip access-list extended ACCESS_TO_INET permit ip any 1.0.0.0 0.255.255.255 permit ip any 2.0.0.0 1.255.255.255 permit ip any 4.0.0.0 3.255.255.255 permit ip any 8.0.0.0 1.255.255.255 permit ip any 10.0.0.0 0.255.255.255 permit ip any 11.0.0.0 0.255.255.255 permit ip any 12.0.0.0 3.255.255.255 permit ip any 16.0.0.0 15.255.255.255 permit ip any 32.0.0.0 31.255.255.255 permit ip any 64.0.0.0 31.255.255.255 permit ip any 96.0.0.0 15.255.255.255 permit ip any 112.0.0.0 7.255.255.255 permit ip any 120.0.0.0 3.255.255.255 permit ip any 124.0.0.0 1.255.255.255 permit ip any 126.0.0.0 0.255.255.255 permit ip any 128.0.0.0 31.255.255.255 permit ip any 160.0.0.0 7.255.255.255 permit ip any 168.0.0.0 3.255.255.255 permit ip any 172.0.0.0 0.15.255.255 permit ip any 172.32.0.0 0.31.255.255 permit ip any 172.64.0.0 0.63.255.255 permit ip any 172.128.0.0 0.127.255.255 permit ip any 173.0.0.0 0.255.255.255 permit ip any 174.0.0.0 1.255.255.255 permit ip any 176.0.0.0 15.255.255.255 permit ip any 192.0.0.0 0.127.255.255 permit ip any 192.128.0.0 0.31.255.255 permit ip any 192.160.0.0 0.7.255.255 permit ip any 192.169.0.0 0.0.255.255 permit ip any 192.170.0.0 0.1.255.255 permit ip any 192.172.0.0 0.3.255.255 permit ip any 192.176.0.0 0.15.255.255 permit ip any 192.192.0.0 0.63.255.255 permit ip any 193.0.0.0 0.255.255.255 permit ip any 194.0.0.0 1.255.255.255 permit ip any 196.0.0.0 3.255.255.255 permit ip any 200.0.0.0 7.255.255.255 permit ip any 208.0.0.0 15.255.255.255 ! ! Эти сети отправляем на второй шейпер ip access-list extended TO_SHAPER_2 permit ip 192.168.10.0 0.0.0.255 any ! ! Эти ипы пускаем через первый шейпер ip access-list extended WHITE_IP_LIST permit ip host 192.168.10.3 any ! route-map TO_GATE_2 permit 10 match ip address ACCESS_TO_INET match ip address WHITE_IP_LIST set ip next-hop 10.0.121.1 ! route-map TO_GATE_2 permit 20 match ip address ACCESS_TO_INET match ip address TO_SHAPER_2 set ip next-hop 10.0.121.3 ! Проблема вот в чем: Согласно вот ТАКОМУ примеру (выдержка из поста). Вообщем, этот пример именно то, что я и пытаюсь сделать на своей циске. route-map ISP permit 10 match ip address Access_to_Inet match ip address ISP1_subnets_source set ip next-hop ISP1_GW ! route-map ISP permit 20 match ip address Access_to_Inet match ip address ISP2_subnets_source set ip next-hop ISP2_GW и ТАКОМУ примеру Если после параметра match идет несколько опций, то к ним применяется логика "ИЛИ", то есть должен совпасть один из перечисленных параметров. Если задано несколько параметров match в отдельных строках, то к ним применяется логика "И", то есть должны совпасть все параметры. мой конфиг должен работать верно.В мане по циске написано както туманно: match ip address {access-list-number | access-list-name} [...access-list-number | ...access-list-name]Match the source and destination IP address that is permitted by one or more standard or extended access lists. Реально же, после ввода роут-мапа с двумя матчами route-map TO_GATE_2 permit 10 match ip address ACCESS_TO_INET match ip address WHITE_IP_LIST set ip next-hop 10.0.121.1 получаю вот это - ОДИН матч:route-map TO_GATE_2 permit 10 match ip address ACCESS_TO_INET WHITE_IP_LIST set ip next-hop 10.0.121.1 Соответственно, отрабатывает правило "ИЛИ" в списке АЦЛ. Тоесть, пакет проверяется на ПЕРВОЕ совпадение со всех списков АЦЛ. А мне нужно, что бы пакет проверялся ПО ВСЕМ спискам (два в данном случае) и в случае попадания ВО ВСЕ списки - выполнялся set ip. В связи с этим вопрос: КАК можно сделать проверку с условием "И" в роут-мапах для PBR ??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 4 марта, 2011 · Жалоба попробуйте что-нибудь потипу такого: route-map test permit 10 match ip address 1 set tag 2 continue 20 ! route-map test permit 15 match ip address 2 set tag 2 continue 20 ! route-map test permit 20 match tag 2 set ip next-hop ... ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Elisium Опубликовано 4 марта, 2011 · Жалоба 000022: *Mar 1 02:14:00.142: %PBR-3-UNSUPPORTED_RMAP: Route-map TO_GATE_2 not supported for Policy-Based Routing Это происходит после ввода команды continue. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Elisium Опубликовано 4 марта, 2011 · Жалоба Пробовал также залить ИОС из ПРИМЕРА. Там вроде как 12.2(35)SE, заливал 12.2(35)SE3. Эффект тот же ( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemYaN Опубликовано 4 марта, 2011 · Жалоба для вашей задачи правильней использовать vrf-lite Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Elisium Опубликовано 4 марта, 2011 (изменено) · Жалоба Уже думал над этим ..(( Будет ли работоспособным такой утопический вариант: В vrf1 вынести все вланы с клиентскими подсетями. Там будет роутится вся локалка. В глобале оставить шейперы и дефолт с vrf1 (локальной сети). В глобале (где будет уже только трафик, который идет в инет) сделать PBR и разбрасывать клиентские подсети на разные шейперы. Как такая идейка ? )) Вообще, возможно ли только на одной 3750 сделать роутинг между врф-глобал ?? п.с. Хочется все это сделать на ОДНОМ свиче. Потому что на двух проблем то нет в принципе. п.п.с. Также, хочется узнать, ПОЧЕМУ НЕ РАБОТАЕТ вышеприведенный пример про два match, хотя в статье пишут, что все ок ?? Изменено 4 марта, 2011 пользователем Elisium Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Elisium Опубликовано 6 марта, 2011 (изменено) · Жалоба п.п.с. Также, хочется узнать, ПОЧЕМУ НЕ РАБОТАЕТ вышеприведенный пример про два match, хотя в статье пишут, что все ок ??Ап.Неужели нет цискарей на форуме или 3750 отстойная железка ? Да и в инете именно на ту ссылку часто ссылаются. п.с. с врфом разобрался. Изменено 6 марта, 2011 пользователем Elisium Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemYaN Опубликовано 6 марта, 2011 · Жалоба п.п.с. Также, хочется узнать, ПОЧЕМУ НЕ РАБОТАЕТ вышеприведенный пример про два match, хотя в статье пишут, что все ок ??Ап.Неужели нет цискарей на форуме или 3750 отстойная железка ? Да и в инете именно на ту ссылку часто ссылаются. п.с. с врфом разобрался. Часть вланов в один vrf, часть в другой. Соотвествнно в vrf1 default на первый шейпер, в vrf2 на второй шейпер + роутликинг между vrf'ами ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...