The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"3850 и PBR"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"3850 и PBR"  +/
Сообщение от pogreb (ok), 20-Июн-22, 15:09 
Всем привет!
Подскажите, пожалуйста, по настройке Policy-based Routing
Можно ли сделать маршрут для одного ip адреса, а не для сети или VLAN?

На 3850 сделал следующее:

distrib#sh route-map 10.45.5.33
route-map 10.45.5.33, permit, sequence 10
Match clauses:
Set clauses:
ip next-hop 10.3.0.130
Policy routing matches: 522 packets, 51134 bytes

И прописал строку на VLAN интерфейсе

ip policy route-map 10.45.5.33

Для сервера 10.45.5.33 все норм заработало, но при этом отвалилось у остальных серверов из сети 10.45.5.0/24

PS: для настройки карты, я выполнял команду: match ip address 10.45.5.33


PS1: Сделал через ACL. Пинги до гугла есть, а в браузере ничего не открывается


distrib#sh route-map 10.45.5.33
route-map 10.45.5.33, permit, sequence 10
Match clauses:
ip address (access-lists): hvs-mail
Set clauses:
ip next-hop 10.3.0.130
Policy routing matches: 3 packets, 318 bytes
route-map 10.45.5.33, deny, sequence 20
Match clauses:
ip address (access-lists): VM-Network
Set clauses:
Policy routing matches: 0 packets, 0 bytes

distrib#sh access-lists hvs-mail (этим ACL разрешил ip адрес только одного сервера)
Extended IP access list hvs-mail
10 permit ip host 10.45.5.33 any (69 matches)
20 permit tcp host 10.45.5.33 any

distrib#sh access-lists VM-Network (этим заблокировал все остальные ip адреса в сети для route-map)
Extended IP access list VM-Network
10 permit ip 0.0.0.0 255.255.255.0 any

Интернет заработал после того как в ДНС указал 8.8.8.8. При указании моих ДНС в браузере странички не открывались, но пинги до гугла шли
Что то мне подсказывает, что я криво сделал. Можно ли как то заставить корректно работать первый вариант?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Andrey (??), 20-Июн-22, 15:50   +/

> distrib#sh access-lists VM-Network (этим заблокировал все остальные ip адреса в сети для
> route-map)
> Extended IP access list VM-Network
> 10 permit ip 0.0.0.0 255.255.255.0 any

Я что-то упустил или в ACL вместо wildcard с недавних пор пишется прямая маска сети?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от pogreb (ok), 20-Июн-22, 16:56   +/
>> distrib#sh access-lists VM-Network (этим заблокировал все остальные ip адреса в сети для
>> route-map)
>> Extended IP access list VM-Network
>> 10 permit ip 0.0.0.0 255.255.255.0 any
> Я что-то упустил или в ACL вместо wildcard с недавних пор пишется
> прямая маска сети?

Вооот, спасибо за ошибку, исправил. И с моими ДНС работать стало корректно.
Но что с реализацией PBR, корректно ли я реализовал с ACL?

Не. Все равно косяк. При такой реализации у меня сервер не видит AD, хотя в интернет правильно ходит.
Задача: есть два сервера которые надо выпустить без прокси сервера. Первый сервер это роль Mail для Exchange 2016 . Второй сервер это роль транспорта для Exchange 2016
У меня либо есть доступ к АД, но нет Интернета, либо есть Интернет, но нет доступа к АД.
Как мне правильно организовать маршрутизацию?


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3

3. Сообщение от pogreb (ok), 20-Июн-22, 17:04   +/
>[оверквотинг удален]
> Вооот, спасибо за ошибку, исправил. И с моими ДНС работать стало корректно.
> Но что с реализацией PBR, корректно ли я реализовал с ACL?
> Не. Все равно косяк. При такой реализации у меня сервер не видит
> AD, хотя в интернет правильно ходит.
> Задача: есть два сервера которые надо выпустить без прокси сервера. Первый сервер
> это роль Mail для Exchange 2016 . Второй сервер это роль
> транспорта для Exchange 2016
> У меня либо есть доступ к АД, но нет Интернета, либо есть
> Интернет, но нет доступа к АД.
> Как мне правильно организовать маршрутизацию?

https://dropmefiles.com/gGvnK

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #4

4. Сообщение от pogreb (ok), 20-Июн-22, 17:41   +/
>[оверквотинг удален]
>> Но что с реализацией PBR, корректно ли я реализовал с ACL?
>> Не. Все равно косяк. При такой реализации у меня сервер не видит
>> AD, хотя в интернет правильно ходит.
>> Задача: есть два сервера которые надо выпустить без прокси сервера. Первый сервер
>> это роль Mail для Exchange 2016 . Второй сервер это роль
>> транспорта для Exchange 2016
>> У меня либо есть доступ к АД, но нет Интернета, либо есть
>> Интернет, но нет доступа к АД.
>> Как мне правильно организовать маршрутизацию?
> https://dropmefiles.com/gGvnK

То есть сервер с up адресом 10.45.5.33/24 fw: 10.45.5.1 должен выйти в интернет через не стандартный выход в интернет. То есть должен идти через 10.3.0.130

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #5

5. Сообщение от pogreb (ok), 21-Июн-22, 10:48   +/
>[оверквотинг удален]
>>> Задача: есть два сервера которые надо выпустить без прокси сервера. Первый сервер
>>> это роль Mail для Exchange 2016 . Второй сервер это роль
>>> транспорта для Exchange 2016
>>> У меня либо есть доступ к АД, но нет Интернета, либо есть
>>> Интернет, но нет доступа к АД.
>>> Как мне правильно организовать маршрутизацию?
>> https://dropmefiles.com/gGvnK
> То есть сервер с up адресом 10.45.5.33/24 fw: 10.45.5.1 должен выйти в
> интернет через не стандартный выход в интернет. То есть должен идти
> через 10.3.0.130

Может мне обычный NAT для ip адреса сделать?
Можете подсказать как правильно?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #6

6. Сообщение от starlight (ok), 24-Июн-22, 01:44   +/
>[оверквотинг удален]
>>>> транспорта для Exchange 2016
>>>> У меня либо есть доступ к АД, но нет Интернета, либо есть
>>>> Интернет, но нет доступа к АД.
>>>> Как мне правильно организовать маршрутизацию?
>>> https://dropmefiles.com/gGvnK
>> То есть сервер с up адресом 10.45.5.33/24 fw: 10.45.5.1 должен выйти в
>> интернет через не стандартный выход в интернет. То есть должен идти
>> через 10.3.0.130
> Может мне обычный NAT для ip адреса сделать?
> Можете подсказать как правильно?

Если у вас есть прокси, как оно к маршрутизации относится? У вас же куда-то идут пакеты если прокси не настроен на сервере.. Вот там доступ и откройте, на пограничном маршрутизаторе или фаерволе, там есть наверно NAT или что-нибудь такое.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру