el 08-31-2018 08:23 AM
Estimados,
Estoy frente a la siguiente situación:
Tengo un 4900 con PBR habilitado . El mismo tiene configuradas 3 vlans interfaces. La situaciones que hemos generado una PBR para que la vlan124 en este caso, si necesita ir a internet salga por un router especifico, y en caso de necesitar otras redes salga por un firewall de borde interno.
Eso funciona perfectamente, pero el problema surge cuando desde una vlan que tiene como gateway este switch 4900 quiero llegar a otra vlan en la misma situación. Es decir, ir desde la vlan124 a la vlan123, las cuales ambas tienen su vlan interface en el SW 4900. Para que eso funcione me obliga a poner una ruta en la PBR y luego en el firewall a donde ese paquete va, debo poner una ruta de retorno, lo que me genera un bucle, que si bien no es perceptible, no deberia pasar.
Si elimino la PBR el ruteo entre vlans anda perfecto. Hay alguna solución para esto?
Gracias
Mariano
08-31-2018 08:36 AM - editado 08-31-2018 08:39 AM
Hola Mariano,
Es posible conocer la configuración, por lo general para manipular el trafico entrante en una SVI y que este trafico escoja el siguiente salto (segun lo que se desea) se utiliza el siguiente comando en el route-map creado y bajo el match deseado: set ip next hop <IP del siguiente salto>, en este caso el firewall. En el firewall si debe existir una ruta de regreso hacia esa red donde se origino el trafico.
Este tipo de manipulacion es solo apreciado en el data plane.
Cualquier consulta quedo a las ordenes.
el 08-31-2018 09:24 AM
Hola
Gracias por tu respuesta. Efecitvamente ese comando es el que use. En este caso a mi parece que lo ogico es que si yo voy desde la red 192.168.4.0 a la 10.1.1.0, las cuales tiene la internface .1 en el mismo SW lo logico seria que el sw las saque por la interface, en lugar de aplicar la PBR.
Te adjunto debajo las access list ,las PBR y rutas
Gracias
Mariano
Extended IP access list 130
10 permit ip 192.168.4.0 0.0.0.255 192.168.0.0 0.0.255.255 (3344 matches)
20 permit ip 192.168.4.0 0.0.0.255 10.17.0.0 0.0.255.255
30 permit ip 192.168.4.0 0.0.0.255 10.1.1.0 0.0.0.255 (14 matches)
switch4900#sh access-lists 131
Extended IP access list 131
10 permit ip 192.168.4.0 0.0.0.255 any (523 matches)
------------------------
Route-map
route-map vlanIT, permit, sequence 10
Match clauses:
ip address (access-lists): 130
Set clauses:
ip next-hop 192.168.253.254
Policy routing matches: 3398 packets, 756684 bytes
route-map vlanIT, permit, sequence 11
Match clauses:
ip address (access-lists): 131
Set clauses:
ip next-hop 172.18.1.254
Policy routing matches: 524 packets, 167540 bytes
-------------------
Rutas por default
S* 0.0.0.0/0 [1/0] via 192.168.253.254
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.1.1.0/24 is directly connected, Vlan124
L 10.1.1.253/32 is directly connected, Vlan124
172.18.0.0/16 is variably subnetted, 2 subnets, 2 masks
C 172.18.1.0/24 is directly connected, Vlan125
L 172.18.1.1/32 is directly connected, Vlan125
S 192.168.2.0/24 [1/0] via 192.168.253.254
192.168.4.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.4.0/24 is directly connected, Vlan104
L 192.168.4.1/32 is directly connected, Vlan104
192.168.54.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.54.0/24 is directly connected, Vlan225
L 192.168.54.1/32 is directly connected, Vlan225
192.168.253.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.253.252/30 is directly connected, GigabitEthernet2/11
L 192.168.253.253/32 is directly connected, GigabitEthernet2/11
el 08-31-2018 12:56 PM
Buenas tardes estimado,
Te recuerdo que el PBR se aplica antes de que el router se pueda dar cuenta que la ruta esta directamente conectada a el ya que el no mira la tabla de ruteo, por lo que veo en la primera ACL del PBR estas manipulando el tráfico entre redes internas, a modo de testing prueba lo siguiente:
(Saca la ACL 130 con su route-map)
Extended IP access list 131
1 deny ip 192.168.4.0 0.0.0.255 192.168.0.0 0.0.255.255
2 deny ip 192.168.4.0 0.0.0.255 10.17.0.0 0.0.255.255
3 deny ip 192.168.4.0 0.0.0.255 10.1.1.0 0.0.0.255
10 permit ip 192.168.4.0 0.0.0.255 any
Si lo haces de la siguiente manera tus 3 primeras sentencias harán que se ruteen por la tabla de ruteo (y si están directamente conectadas se verán sin problemas) y la última hará que el resto del tráfico se desvíe al equipo de tu preferencia.
Por favor no olvides calificar las respuestas útiles.
Saludos,
el 08-31-2018 01:08 PM
Adicional a lo que menciona Diana, si deseas dejarlo solo para internet puedes denegar desde tu red de origen hacia tu red de destino de las clases A /8, B/12 y C/16 (sumarizadas)
Esto ayudara para que todo tráfico privado no sea considerado en la coincidencia y solamente lo que está en ANY se enrutara hacia tu siguiente salto especifico
Saludos
09-04-2018 05:54 AM - editado 09-04-2018 05:57 AM
hola! gracias por tu rta.recien hoy vuelvo a la oficina. Antes de aplicar el deny: que deberia hacer con el route map en la seq 10, la cual saca el trafico por la ip 192.168.253.254? Entiendo que no se aplica ya que no matchea, teniendo en cuenta que la 130 deja de existir.
saludos
Gracias
09-04-2018 06:08 AM - editado 09-04-2018 06:24 AM
Hola,
Basicamente tu configuración debe ser:
ip access-list extended PBR
deny ip 192.168.4.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 192.168.4.0 0.0.0.255 172.16.0.0 0.15.255.255
deny ip 192.168.4.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 192.168.4.0 0.0.0.255 any
route-map MANIPULACION permit 5
match ip address PBR
set ip next-hop <la direccion IP del siguiente salto por donde debe irse el trafico de Internet>
interface vlan 4
ip policy route-map MANIPULACION
Como se puede observar en la lista de acceso, estoy denegando o en pocas palabras que no match ninguna red privada, lo unico que hara match es cualquier destino desconocido como lo es Internet, entonces cualquier trafico a una red desconocida sera enviada al siguiente salto, el cual debe ser tu router secundario de Internet. Ya si deseas que otras redes conocidas tambien fluyan a traves del siguiente salto, debes especificarlo. En la ACL yo ocupe nombre, pero puedes utilizar ACL numeradas tal como lo has hecho.
Nota: toma en consideracion que solo puedes visualizar el trafico desde el data plane, prueba desde una computadora, esto no se puede probar desde el router.
Espero sea util.
:-)
el 09-04-2018 10:45 AM
hola!
acabo de aplicar tu respuesta y sigue haceidno el rulo
[root@seginfo ~]# traceroute 192.168.50.5
traceroute to 192.168.50.5 (192.168.50.5), 30 hops max, 60 byte packets
1 intrafire0(192.168.4.1) 2.286 ms 2.351 ms 2.478 ms
2 192.168.253.254 (192.168.253.254) 0.422 ms 0.411 ms 0.388 ms
3 192.168.253.253 (192.168.253.253) 2.460 ms 2.554 ms 2.651 ms
Te paso a explicar:
192.168.4.17 es mi host desde donde tiro el TR
192.168.4.1 es el DG en esta caso el cisco 4900
192.168.254.254 es el firewall interno (aca hace el bucle)
192.168.253.253 el cisco 4900
y luego llega a destino
La vlan id es 5 y la red es 50
Gracias
aplique las pbr segun tu sug.
Extended IP access list 120
10 deny ip 192.168.50.0 0.0.0.255 192.168.0.0 0.0.255.255
20 permit ip 192.168.50.0 0.0.0.255 any
---------
route-map vlan_tel, permit, sequence 5
Match clauses:
ip address (access-lists): 120
Set clauses:
ip next-hop 172.18.1.254
interface Vlan5
ip address 192.168.50.254 255.255.255.0
ip policy route-map vlan_tel
end
el 09-05-2018 10:33 AM
Estimados,
hago un update de la situacion.
Genere una nueva vlan (la 225) para realizar test. La situacion es la siguiente
Si quero llegar a una ip cuyo DG es unainterface del Core, usando este PBR el trace no lo saca por la interface propia, si no lo que manda a su DG y vuelve desde este mismo
Extended IP access list 121
30 deny ip 192.168.54.0 0.0.0.255 10.1.1.0 0.0.0.255 (50 matches)
50 deny ip 192.168.54.0 0.0.0.255 192.168.4.0 0.0.0.255
60 deny ip 192.168.54.0 0.0.0.255 10.17.1.0 0.0.0.255
70 deny ip 192.168.54.0 0.0.0.255 192.168.50.0 0.0.0.255
80 deny ip 192.168.54.0 0.0.0.255 192.168.2.0 0.0.0.255
90 permit ip 192.168.54.0 0.0.0.255 any (10 matches)
En este caso mi host es 192.168.54.2.
Cuando hago un trace pierdo rastro * despues del primer salto. Ahora bien, si voy a un host que esta detras del firewall paso sin problemas.
Alguna sugerencia?
Gracias
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad