Cisco 3750G и роут-мапы

[Elisium 10]

Всем доброго дня.

Есть Cisco 3750G.

Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 12.2(50)SE2, RELEASE SOFTWARE (fc2)

 

Нужно сделать PBR.

Условия, по которым нужно матчить, находятся в двух ACL. Необходимо, что бы условие выполнялось при попадании пакета В ОБА АЦЛ.

Так как это свич 3х50, то есть определенные нюансы работы PBR и построения АЦЛ.

 

Делаю так:

interface Vlan18
ip address 192.168.10.1 255.255.255.0
ip policy route-map TO_GATE_2
!
! Список все сетей интернета
ip access-list extended ACCESS_TO_INET
permit ip any 1.0.0.0 0.255.255.255
permit ip any 2.0.0.0 1.255.255.255
permit ip any 4.0.0.0 3.255.255.255
permit ip any 8.0.0.0 1.255.255.255
permit ip any 10.0.0.0 0.255.255.255
permit ip any 11.0.0.0 0.255.255.255
permit ip any 12.0.0.0 3.255.255.255
permit ip any 16.0.0.0 15.255.255.255
permit ip any 32.0.0.0 31.255.255.255
permit ip any 64.0.0.0 31.255.255.255
permit ip any 96.0.0.0 15.255.255.255
permit ip any 112.0.0.0 7.255.255.255
permit ip any 120.0.0.0 3.255.255.255
permit ip any 124.0.0.0 1.255.255.255
permit ip any 126.0.0.0 0.255.255.255
permit ip any 128.0.0.0 31.255.255.255
permit ip any 160.0.0.0 7.255.255.255
permit ip any 168.0.0.0 3.255.255.255
permit ip any 172.0.0.0 0.15.255.255
permit ip any 172.32.0.0 0.31.255.255
permit ip any 172.64.0.0 0.63.255.255
permit ip any 172.128.0.0 0.127.255.255
permit ip any 173.0.0.0 0.255.255.255
permit ip any 174.0.0.0 1.255.255.255
permit ip any 176.0.0.0 15.255.255.255
permit ip any 192.0.0.0 0.127.255.255
permit ip any 192.128.0.0 0.31.255.255
permit ip any 192.160.0.0 0.7.255.255
permit ip any 192.169.0.0 0.0.255.255
permit ip any 192.170.0.0 0.1.255.255
permit ip any 192.172.0.0 0.3.255.255
permit ip any 192.176.0.0 0.15.255.255
permit ip any 192.192.0.0 0.63.255.255
permit ip any 193.0.0.0 0.255.255.255
permit ip any 194.0.0.0 1.255.255.255
permit ip any 196.0.0.0 3.255.255.255
permit ip any 200.0.0.0 7.255.255.255
permit ip any 208.0.0.0 15.255.255.255
!
! Эти сети отправляем на второй шейпер
ip access-list extended TO_SHAPER_2
permit ip 192.168.10.0 0.0.0.255 any
!
! Эти ипы пускаем через первый шейпер
ip access-list extended WHITE_IP_LIST
permit ip host 192.168.10.3 any
!
route-map TO_GATE_2 permit 10
match ip address ACCESS_TO_INET
match ip address WHITE_IP_LIST
set ip next-hop 10.0.121.1
!
route-map TO_GATE_2 permit 20
match ip address ACCESS_TO_INET
match ip address TO_SHAPER_2
set ip next-hop 10.0.121.3
!

 

Проблема вот в чем:

Согласно вот ТАКОМУ примеру (выдержка из поста). Вообщем, этот пример именно то, что я и пытаюсь сделать на своей циске.

route-map ISP permit 10 
match ip address Access_to_Inet 
match ip address ISP1_subnets_source 
set ip next-hop ISP1_GW 
!
route-map ISP permit 20 
match ip address Access_to_Inet 
match ip address ISP2_subnets_source 
set ip next-hop ISP2_GW

и ТАКОМУ примеру

Если после параметра match идет несколько опций, то к ним применяется логика "ИЛИ", то есть должен совпасть один из перечисленных параметров. Если задано несколько параметров match в отдельных строках, то к ним применяется логика "И", то есть должны совпасть все параметры.

мой конфиг должен работать верно.

В мане по циске написано както туманно:

match ip address {access-list-number | access-list-name} [...access-list-number | ...access-list-name]

Match the source and destination IP address that is permitted by one or more standard or extended access lists.

 

Реально же, после ввода роут-мапа с двумя матчами

route-map TO_GATE_2 permit 10

match ip address ACCESS_TO_INET

match ip address WHITE_IP_LIST

set ip next-hop 10.0.121.1

получаю вот это - ОДИН матч:

route-map TO_GATE_2 permit 10

match ip address ACCESS_TO_INET WHITE_IP_LIST

set ip next-hop 10.0.121.1

 

Соответственно, отрабатывает правило "ИЛИ" в списке АЦЛ. Тоесть, пакет проверяется на ПЕРВОЕ совпадение со всех списков АЦЛ.

А мне нужно, что бы пакет проверялся ПО ВСЕМ спискам (два в данном случае) и в случае попадания ВО ВСЕ списки - выполнялся set ip.

 

В связи с этим вопрос: КАК можно сделать проверку с условием "И" в роут-мапах для PBR ???

[Ajar 92]

Может вы продумаете другой вариант "активации" пользователей ? Кстати а разве 3750 вытянет шейпер ? (в калссическом понимании)

 

Что я не могу понять логики работы вашего коммутатора л3 ...

 

 

ip access-list extended ACCESS_TO_INET = ip route 0.0.0.0 0.0.0.0 my_default

 

 

или вы хотите распределить пользователей на несколько провайдеров ?

[Elisium 10]

Ознакомьтесь с http://www.certification.ru/cgi-bin/forum.cgi?archive=1&action=thread&id=28972

"Все совсем не так плохо, как кажется. На самом деле все еще хуже" (с)

Задача именно в таком решении совсем не так тривиальна, как кажется.

[Ajar 92]

Ознакомьтесь с http://www.certification.ru/cgi-bin/forum.cgi?archive=1&action=thread&id=28972

"Все совсем не так плохо, как кажется. На самом деле все еще хуже" (с)

Задача именно в таком решении совсем не так тривиальна, как кажется.

Да , уже понял ...