Elisium 10 Posted 2011-03-04 12:48:08 Share Posted 2011-03-04 12:48:08 Всем доброго дня. Есть Cisco 3750G. Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 12.2(50)SE2, RELEASE SOFTWARE (fc2) Нужно сделать PBR. Условия, по которым нужно матчить, находятся в двух ACL. Необходимо, что бы условие выполнялось при попадании пакета В ОБА АЦЛ. Так как это свич 3х50, то есть определенные нюансы работы PBR и построения АЦЛ. Делаю так: interface Vlan18 ip address 192.168.10.1 255.255.255.0 ip policy route-map TO_GATE_2 ! ! Список все сетей интернета ip access-list extended ACCESS_TO_INET permit ip any 1.0.0.0 0.255.255.255 permit ip any 2.0.0.0 1.255.255.255 permit ip any 4.0.0.0 3.255.255.255 permit ip any 8.0.0.0 1.255.255.255 permit ip any 10.0.0.0 0.255.255.255 permit ip any 11.0.0.0 0.255.255.255 permit ip any 12.0.0.0 3.255.255.255 permit ip any 16.0.0.0 15.255.255.255 permit ip any 32.0.0.0 31.255.255.255 permit ip any 64.0.0.0 31.255.255.255 permit ip any 96.0.0.0 15.255.255.255 permit ip any 112.0.0.0 7.255.255.255 permit ip any 120.0.0.0 3.255.255.255 permit ip any 124.0.0.0 1.255.255.255 permit ip any 126.0.0.0 0.255.255.255 permit ip any 128.0.0.0 31.255.255.255 permit ip any 160.0.0.0 7.255.255.255 permit ip any 168.0.0.0 3.255.255.255 permit ip any 172.0.0.0 0.15.255.255 permit ip any 172.32.0.0 0.31.255.255 permit ip any 172.64.0.0 0.63.255.255 permit ip any 172.128.0.0 0.127.255.255 permit ip any 173.0.0.0 0.255.255.255 permit ip any 174.0.0.0 1.255.255.255 permit ip any 176.0.0.0 15.255.255.255 permit ip any 192.0.0.0 0.127.255.255 permit ip any 192.128.0.0 0.31.255.255 permit ip any 192.160.0.0 0.7.255.255 permit ip any 192.169.0.0 0.0.255.255 permit ip any 192.170.0.0 0.1.255.255 permit ip any 192.172.0.0 0.3.255.255 permit ip any 192.176.0.0 0.15.255.255 permit ip any 192.192.0.0 0.63.255.255 permit ip any 193.0.0.0 0.255.255.255 permit ip any 194.0.0.0 1.255.255.255 permit ip any 196.0.0.0 3.255.255.255 permit ip any 200.0.0.0 7.255.255.255 permit ip any 208.0.0.0 15.255.255.255 ! ! Эти сети отправляем на второй шейпер ip access-list extended TO_SHAPER_2 permit ip 192.168.10.0 0.0.0.255 any ! ! Эти ипы пускаем через первый шейпер ip access-list extended WHITE_IP_LIST permit ip host 192.168.10.3 any ! route-map TO_GATE_2 permit 10 match ip address ACCESS_TO_INET match ip address WHITE_IP_LIST set ip next-hop 10.0.121.1 ! route-map TO_GATE_2 permit 20 match ip address ACCESS_TO_INET match ip address TO_SHAPER_2 set ip next-hop 10.0.121.3 ! Проблема вот в чем: Согласно вот ТАКОМУ примеру (выдержка из поста). Вообщем, этот пример именно то, что я и пытаюсь сделать на своей циске. route-map ISP permit 10 match ip address Access_to_Inet match ip address ISP1_subnets_source set ip next-hop ISP1_GW ! route-map ISP permit 20 match ip address Access_to_Inet match ip address ISP2_subnets_source set ip next-hop ISP2_GW и ТАКОМУ примеру Если после параметра match идет несколько опций, то к ним применяется логика "ИЛИ", то есть должен совпасть один из перечисленных параметров. Если задано несколько параметров match в отдельных строках, то к ним применяется логика "И", то есть должны совпасть все параметры. мой конфиг должен работать верно. В мане по циске написано както туманно: match ip address {access-list-number | access-list-name} [...access-list-number | ...access-list-name]Match the source and destination IP address that is permitted by one or more standard or extended access lists. Реально же, после ввода роут-мапа с двумя матчами route-map TO_GATE_2 permit 10 match ip address ACCESS_TO_INET match ip address WHITE_IP_LIST set ip next-hop 10.0.121.1 получаю вот это - ОДИН матч: route-map TO_GATE_2 permit 10 match ip address ACCESS_TO_INET WHITE_IP_LIST set ip next-hop 10.0.121.1 Соответственно, отрабатывает правило "ИЛИ" в списке АЦЛ. Тоесть, пакет проверяется на ПЕРВОЕ совпадение со всех списков АЦЛ. А мне нужно, что бы пакет проверялся ПО ВСЕМ спискам (два в данном случае) и в случае попадания ВО ВСЕ списки - выполнялся set ip. В связи с этим вопрос: КАК можно сделать проверку с условием "И" в роут-мапах для PBR ??? Link to post Share on other sites
Ajar 93 Posted 2011-03-04 14:47:54 Share Posted 2011-03-04 14:47:54 Может вы продумаете другой вариант "активации" пользователей ? Кстати а разве 3750 вытянет шейпер ? (в калссическом понимании) Что я не могу понять логики работы вашего коммутатора л3 ... ip access-list extended ACCESS_TO_INET = ip route 0.0.0.0 0.0.0.0 my_default или вы хотите распределить пользователей на несколько провайдеров ? Link to post Share on other sites
Elisium 10 Posted 2011-03-04 14:53:48 Author Share Posted 2011-03-04 14:53:48 Ознакомьтесь с http://www.certification.ru/cgi-bin/forum.cgi?archive=1&action=thread&id=28972 "Все совсем не так плохо, как кажется. На самом деле все еще хуже" (с) Задача именно в таком решении совсем не так тривиальна, как кажется. Link to post Share on other sites
Ajar 93 Posted 2011-03-04 15:34:22 Share Posted 2011-03-04 15:34:22 Ознакомьтесь с http://www.certification.ru/cgi-bin/forum.cgi?archive=1&action=thread&id=28972 "Все совсем не так плохо, как кажется. На самом деле все еще хуже" (с) Задача именно в таком решении совсем не так тривиальна, как кажется. Да , уже понял ... Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now