Ho un 877 con una semplice configurazione ATM0.1----NAT---VLAN1 con una route 0.0.0.0 0.0.0.0 atm0.1
Ora ho bisogno che solo per un paio di macchine in lan, la route 0.0.0.0 0.0.0.0 debba essere indirizzata verso un ip di un gateway appartenente alla VLAN3
Tutte le altre macchine in lan devono ignorare l'esistenza di vlan3
Devo impostare quindi una route in base all'IP sorgente.
Come posso gestire la cosa ???
Grazie
Ciao
Routing in base all' IP di origine
Moderatore: Federico.Lagni
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Una route-map impostata sulla vlan1 con il next-hop diverso per quelle macchine.
Crei un'acl di selezione per le macchine che ti interessano e la imposti come acl di selezione nella route-map.
Se cerchi nel forum ci sono alcuni esempi a riguardo.
AFAIK è l'unica idea che mi viene in mente.
Rizio
Crei un'acl di selezione per le macchine che ti interessano e la imposti come acl di selezione nella route-map.
Se cerchi nel forum ci sono alcuni esempi a riguardo.
AFAIK è l'unica idea che mi viene in mente.
Rizio
Si vis pacem para bellum
-
digitel
- Cisco fan
- Messaggi: 62
- Iscritto il: lun 09 feb , 2009 8:21 am
Grazie per la risposta
La lan e' collegata alla vlan1 che ha ip 192.168.1.1 ed e' nattata verso l'esterno
Ho creato una VLAN3 sulla FE3 a cui e' connesso un router 10.0.0.254 di un altro provider
Interface Fastethernet3
switchport access vlan 3
Interface vlan3
ip addr 10.0.0.1 255.255.255.0
ho creato una route map associata alla vlan3
route-map PROVA permit 100
match ip address 110
set ip next-hop 10.0.0.254 (l'IP del secondo router)
Interface vlan3
ip policy route-map PROVA
quindi ho creato l'access list relativa
access-list 110 permit ip any host 192.168.1.50 (l'indirizzo del mio pc che deve usare il secondo router come gateway)
Puntualmente NON funziona nulla......dalla console del cisco pingo sia il mio pc che il secondo router ma non avviene il routing tra le VLAN secondo la policy specificata
Sto tralasciando qualcosa di grossolano ???
Oppure l'access-list va in conflitto con altre relative al nat (che poi sono sempre le solite semplici...) ???
Grazie
La lan e' collegata alla vlan1 che ha ip 192.168.1.1 ed e' nattata verso l'esterno
Ho creato una VLAN3 sulla FE3 a cui e' connesso un router 10.0.0.254 di un altro provider
Interface Fastethernet3
switchport access vlan 3
Interface vlan3
ip addr 10.0.0.1 255.255.255.0
ho creato una route map associata alla vlan3
route-map PROVA permit 100
match ip address 110
set ip next-hop 10.0.0.254 (l'IP del secondo router)
Interface vlan3
ip policy route-map PROVA
quindi ho creato l'access list relativa
access-list 110 permit ip any host 192.168.1.50 (l'indirizzo del mio pc che deve usare il secondo router come gateway)
Puntualmente NON funziona nulla......dalla console del cisco pingo sia il mio pc che il secondo router ma non avviene il routing tra le VLAN secondo la policy specificata
Sto tralasciando qualcosa di grossolano ???
Oppure l'access-list va in conflitto con altre relative al nat (che poi sono sempre le solite semplici...) ???
Grazie
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
La policy devi metterla sull'interfaccia Vlan1.
Paolo
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
digitel
- Cisco fan
- Messaggi: 62
- Iscritto il: lun 09 feb , 2009 8:21 am
oops...infatti....sono i pacchetti in arrivo sulla Vlan1 che devono seguire la regola della route map... 
Comunque la cosa non funziona, il routing dei pacchetti con sorgente 192.168.1.50 avviene sempre tramite la atm ...
Puo' essere che la access-list che gestisce il nat o quella della vlan1 siano prioritarie rispetto alla access-list della route map ??
La mia vlan1 ha un "access group 103 in" relativo ad una access list per bloccare l'SMTP:
access-list 103 permit tcp host 192.168.1.10 any eq smtp
access-list 103 deny tcp any any eq smtp
access-list 103 permit ip any any
e il nat viene gestito con la 101
ip nat inside source list 101 pool POOL overload
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
poi c'e' la route di default
ip route 0.0.0.0 0.0.0.0 atm0.1
ovviamente dal pc desiderato 192.168.1.50 riesco a pingare il secondo router sulla vlan3 e viceversa
qualche suggerimento ??
Comunque la cosa non funziona, il routing dei pacchetti con sorgente 192.168.1.50 avviene sempre tramite la atm ...
Puo' essere che la access-list che gestisce il nat o quella della vlan1 siano prioritarie rispetto alla access-list della route map ??
La mia vlan1 ha un "access group 103 in" relativo ad una access list per bloccare l'SMTP:
access-list 103 permit tcp host 192.168.1.10 any eq smtp
access-list 103 deny tcp any any eq smtp
access-list 103 permit ip any any
e il nat viene gestito con la 101
ip nat inside source list 101 pool POOL overload
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
poi c'e' la route di default
ip route 0.0.0.0 0.0.0.0 atm0.1
ovviamente dal pc desiderato 192.168.1.50 riesco a pingare il secondo router sulla vlan3 e viceversa
qualche suggerimento ??
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Prova ad utilizzare un'access-list extended per selezionare il traffico che vuoi matchare.
Rizio
Rizio
Si vis pacem para bellum
