取消
显示结果 
搜索替代 
您的意思是: 
cancel

求助cisco策略路由问题,已测试2811和4506都没实现,手生不懂

huangmingchao
Beginner
Beginner

新接了一个防火墙,想先测试,但是策略路由一直不生效,4506是没有反映,删除策略自动重启,2811是显示有匹配数据包,但是追踪路由下一跳还是原路由。
1 个已接受解答

已接受的解答

jingjian
Advocate
Advocate
第一,你可以把你的4506交换机的硬件配置通过show module命令贴出来,然后可以确认你的设备是否支持PBR
第二,因为2811路由器默认只有两个路由接口,如果想在2811上做PBR,那么你的深信服设备要连接到2811上,需要确认2811的接口是否够用
第三,因为你的拓扑中没有标注设备的互联地址,所以不能清楚的体现的你的网络流量的走向,请更新一下你的物理连接图
第四,你的配置是正确的,并没有任何问题

在原帖中查看解决方案

7 条回复7

jingjian
Advocate
Advocate
第一,你可以把你的4506交换机的硬件配置通过show module命令贴出来,然后可以确认你的设备是否支持PBR
第二,因为2811路由器默认只有两个路由接口,如果想在2811上做PBR,那么你的深信服设备要连接到2811上,需要确认2811的接口是否够用
第三,因为你的拓扑中没有标注设备的互联地址,所以不能清楚的体现的你的网络流量的走向,请更新一下你的物理连接图
第四,你的配置是正确的,并没有任何问题

YilinChen
Advocate
Advocate
本帖最后由 YilinChen 于 2017-11-13 12:57 编辑
如果不支持策略路由,还有另一种变通的办法:把深信服做为192.168.19.x网段的网关来实现测试:
第一步:
网络架构不变,深信服FW的内网口接4506上的接口为ACCESS模式,加到和192.168.19.X网段相同的VLAN内;
第二步:
a.将192.168.19.X网段的 SVI接口的IP变更,深信服FW的内网口设成原来192.168.19.X网段的网关IP;
b.不用改变SVI口的IP地址,而是改动192.168.19.X网段对应DHCP服务的配置,将网关IP改成 深信服FW的内网口的IP。
另,192.168.19.X网段内主机和其它网段的通信,通过深信服FW添加明细路由实现;

fortune
VIP Expert VIP Expert
VIP Expert
看看你的4500是否支持PBR ,不同的license 支持的特性不一样的哦,要确认