Buonasera a tutti.
Ho un Cisco 861, version CISCO861-K9, che gestisce una mia connettività per i diagnostici di officina.
Volevo fare in modo, creando una opportuna Policy Based Routed, di raggruppare tutte le rotte che vanno verso una destinazione diversa dal next.hop.
Esempio..
ip route 0.0.0.0 0.0.0.0 x.x.x.x (rotta di default vs Gateway)
ip route 10.10.0.0 255.255.255.0 y.y.y.y
ip route 10.20.0.0 255.255.255.0 y.y.y.y
ip route 10.30.0.0 255.255.255.0 y.y.y.y
L'intento era creare una PBR che raggruppasse tutte le route che vanno verso y.y.y.y e le autorizzasse per la mia subnet locale 192.168.1.0/24 senza creare gli ip-route uno per uno.
GRazie a tutti in anticipo delle eventuali risposte.
FILIPPO
[Router Cisco 861] Config Policy Based Routing
Moderatore: Federico.Lagni
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao Filippo.
Basta che crei una access-list con il traffico che vuoi dirottare e lo applichi alla PBR.
Dove sta il problema?
Paolo
Basta che crei una access-list con il traffico che vuoi dirottare e lo applichi alla PBR.
Dove sta il problema?
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 17
- Iscritto il: lun 30 mar , 2015 6:32 pm
Paolo, intanto ti ringrazio per la pronta risposta..
Il problema è che non ho mai configurato questa coa e, provando una guida che ho trovato online, applicandola alla lettera, non mi ha funzionato.
Ho creato una acl
ip access-list standard ROTTE_NS
Poi ho inserito all'interno le tre rotte di destinazione desiderate
permit ip any 10.10.0.0/24
permit ip any 10.10.1.0/24
permit ip any 10.10.3.0/24
Creato la route-map
route-map NS permit 10
match ip address ROTTE_NS
set ip next-hop y.y.y.y
Poi l'ho applicata all'interfaccia
int g0/0 (LAN)
ip access group ROTTE_NS
Tracciando però una delle route desiderate questa continua ad uscire dal primary default gateway.
Sbaglio di sicuro qualcosa da qualche parte, essendo la prima volta che affronto una config del genere (fino ad oggi infatti ho sempre inserito le rotte una per una)..
Il problema è che non ho mai configurato questa coa e, provando una guida che ho trovato online, applicandola alla lettera, non mi ha funzionato.
Ho creato una acl
ip access-list standard ROTTE_NS
Poi ho inserito all'interno le tre rotte di destinazione desiderate
permit ip any 10.10.0.0/24
permit ip any 10.10.1.0/24
permit ip any 10.10.3.0/24
Creato la route-map
route-map NS permit 10
match ip address ROTTE_NS
set ip next-hop y.y.y.y
Poi l'ho applicata all'interfaccia
int g0/0 (LAN)
ip access group ROTTE_NS
Tracciando però una delle route desiderate questa continua ad uscire dal primary default gateway.
Sbaglio di sicuro qualcosa da qualche parte, essendo la prima volta che affronto una config del genere (fino ad oggi infatti ho sempre inserito le rotte una per una)..
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao.
Non devi applicare la ACL all'interfaccia ma la policy route con il comando ip policy route-map NS.
Paolo
Non devi applicare la ACL all'interfaccia ma la policy route con il comando ip policy route-map NS.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 17
- Iscritto il: lun 30 mar , 2015 6:32 pm
Nel dettaglio, ho operato, senza successo, come di seguito:
1- Creata la relativa ACL:
(config)#ip access-list extended FIAT
con le relative regole:
(config-ext-nacl)# permit ip 192.168.87.0 0.0.0.255 10.52.52.0 0.0.0.255
permit ip 192.168.87.0 0.0.0.255 10.52.53.0 0.0.0.255
permit ip 192.168.87.0 0.0.0.255 10.59.0.0 0.0.0.255
permit ip 192.168.87.0 0.0.0.255 10.59.1.0 0.0.0.255
2- Creata la Route Map
(config)#route-map RFIAT permit 10
(config-route-map)match ip address FIAT
(config-route-map)set ip next-hop 192.168.87.90
3- Per finire, ho applicato la Route Map all'interfaccia "internal", nel mio caso Vlan1
(config)#interface Vlan1
(config-if)#ip policy route-map RFIAT
Nonostante tutto, se faccio una traceroute di un ip, ad esempio, 10.59.1.10, continua ad essere diretto verso il default-gateway e non verso 192.168.87.90.
Il "debug-ping" ovviamente, non funziona.
Mentre, se opero con il classico comando
ip route 10.59.1.0 255.255.255.0 192.168.87.90
Ovviamente,tutto funziona in modo regolare.
Non capisco dove stò sbagliando sinceramente, anche se, come detto in testata, è la
prima volta che opero scelgliendo una config in route-map.
Grazie di nuovo a tutti per le eventuali risposte.
1- Creata la relativa ACL:
(config)#ip access-list extended FIAT
con le relative regole:
(config-ext-nacl)# permit ip 192.168.87.0 0.0.0.255 10.52.52.0 0.0.0.255
permit ip 192.168.87.0 0.0.0.255 10.52.53.0 0.0.0.255
permit ip 192.168.87.0 0.0.0.255 10.59.0.0 0.0.0.255
permit ip 192.168.87.0 0.0.0.255 10.59.1.0 0.0.0.255
2- Creata la Route Map
(config)#route-map RFIAT permit 10
(config-route-map)match ip address FIAT
(config-route-map)set ip next-hop 192.168.87.90
3- Per finire, ho applicato la Route Map all'interfaccia "internal", nel mio caso Vlan1
(config)#interface Vlan1
(config-if)#ip policy route-map RFIAT
Nonostante tutto, se faccio una traceroute di un ip, ad esempio, 10.59.1.10, continua ad essere diretto verso il default-gateway e non verso 192.168.87.90.
Il "debug-ping" ovviamente, non funziona.
Mentre, se opero con il classico comando
ip route 10.59.1.0 255.255.255.0 192.168.87.90
Ovviamente,tutto funziona in modo regolare.
Non capisco dove stò sbagliando sinceramente, anche se, come detto in testata, è la
prima volta che opero scelgliendo una config in route-map.
Grazie di nuovo a tutti per le eventuali risposte.
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao.
Per capire meglio il problema il traceroute lo fai da un PC o dal router?
Paolo
Per capire meglio il problema il traceroute lo fai da un PC o dal router?
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Fallo da un PC. Vedrai che funziona.
Per farlo funzionare anche dal router devi dare anche il comando ip local policy route-map RFIAT .
Inoltre quando dai il traceroute dal router ricordati di specificare l'ip sorgente.
Paolo
Per farlo funzionare anche dal router devi dare anche il comando ip local policy route-map RFIAT .
Inoltre quando dai il traceroute dal router ricordati di specificare l'ip sorgente.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Risolto?
Paolo
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 17
- Iscritto il: lun 30 mar , 2015 6:32 pm
Paolo buongiorno.
Ti ringrazio di cuore, in effetti dai pc FUNZIONA.
Non mi sono perso ad applicare anche localmente sul router la policy, in effetti è più che sufficiente che dai pc tutto vada regolamente nelle giuste destinazioni.
Grazie ancora per aver perso un pò del tuo tempo sul mio caso.
FILIPPO
Ti ringrazio di cuore, in effetti dai pc FUNZIONA.
Non mi sono perso ad applicare anche localmente sul router la policy, in effetti è più che sufficiente che dai pc tutto vada regolamente nelle giuste destinazioni.
Grazie ancora per aver perso un pò del tuo tempo sul mio caso.
FILIPPO
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Prego.
Buona giornata
Paolo
Buona giornata
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)