Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
766
Visitas
5
ÚTIL
8
Respuestas

PBR questions

soporteca
Level 1
Level 1

el ‎08-31-2018 08:23 AM

Estimados,

Estoy frente a la siguiente situación:

Tengo un 4900 con PBR habilitado . El mismo tiene configuradas 3 vlans interfaces. La situaciones que hemos generado una PBR para que la vlan124 en este caso, si necesita ir a internet salga por un router especifico, y en caso de necesitar otras redes salga por un firewall de borde interno.

Eso funciona perfectamente, pero el problema surge cuando desde una vlan que tiene como gateway este switch 4900 quiero llegar a otra vlan en la misma situación. Es decir, ir desde la vlan124 a la vlan123, las cuales ambas tienen su vlan interface en el SW 4900. Para que eso funcione me obliga a poner una ruta en la PBR y luego en el firewall a donde ese paquete va, debo poner una ruta de retorno, lo que me genera un bucle, que si bien no es perceptible, no deberia pasar.

Si elimino la PBR el ruteo entre vlans anda perfecto. Hay alguna solución para esto?

Gracias

Mariano

Etiquetas:
0 Útil
8 RESPUESTAS 8

Julio E. Moisa
VIP
VIP

‎08-31-2018 08:36 AM - editado ‎08-31-2018 08:39 AM

Hola Mariano,

Es posible conocer la configuración, por lo general para manipular el trafico entrante en una SVI y que este trafico escoja el siguiente salto (segun lo que se desea) se utiliza el siguiente comando en el route-map creado y bajo el match deseado: set ip next hop <IP del siguiente salto>, en este caso el firewall. En el firewall si debe existir una ruta de regreso hacia esa red donde se origino el trafico.

Este tipo de manipulacion es solo apreciado en el data plane.

 

Cualquier consulta quedo a las ordenes. 

 

 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<
0 Útil

soporteca
Level 1
Level 1
En respuesta a Julio E. Moisa

el ‎08-31-2018 09:24 AM

Hola

Gracias por tu respuesta. Efecitvamente ese comando es el que use. En este caso a mi parece que lo ogico es que si yo voy desde la red 192.168.4.0 a la 10.1.1.0, las cuales tiene la internface .1 en el mismo SW lo logico seria que el sw las saque por la interface, en lugar de aplicar la PBR.

Te adjunto debajo las access list ,las PBR y rutas

Gracias

Mariano

Extended IP access list 130
    10 permit ip 192.168.4.0 0.0.0.255 192.168.0.0 0.0.255.255 (3344 matches)
    20 permit ip 192.168.4.0 0.0.0.255 10.17.0.0 0.0.255.255
    30 permit ip 192.168.4.0 0.0.0.255 10.1.1.0 0.0.0.255 (14 matches)
switch4900#sh access-lists 131
Extended IP access list 131
    10 permit ip 192.168.4.0 0.0.0.255 any (523 matches)

------------------------

Route-map

route-map vlanIT, permit, sequence 10
  Match clauses:
    ip address (access-lists): 130
  Set clauses:
    ip next-hop 192.168.253.254
  Policy routing matches: 3398 packets, 756684 bytes
route-map vlanIT, permit, sequence 11
  Match clauses:
    ip address (access-lists): 131
  Set clauses:
    ip next-hop 172.18.1.254
  Policy routing matches: 524 packets, 167540 bytes

 

-------------------

Rutas por default

 

S*    0.0.0.0/0 [1/0] via 192.168.253.254
      10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        10.1.1.0/24 is directly connected, Vlan124
L        10.1.1.253/32 is directly connected, Vlan124
      172.18.0.0/16 is variably subnetted, 2 subnets, 2 masks
C        172.18.1.0/24 is directly connected, Vlan125
L        172.18.1.1/32 is directly connected, Vlan125
S     192.168.2.0/24 [1/0] via 192.168.253.254
      192.168.4.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.4.0/24 is directly connected, Vlan104
L        192.168.4.1/32 is directly connected, Vlan104
      192.168.54.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.54.0/24 is directly connected, Vlan225
L        192.168.54.1/32 is directly connected, Vlan225
      192.168.253.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.253.252/30 is directly connected, GigabitEthernet2/11
L        192.168.253.253/32 is directly connected, GigabitEthernet2/11

 

0 Útil

Diana Karolina Rojas
Cisco Employee
Cisco Employee
En respuesta a soporteca

el ‎08-31-2018 12:56 PM

Buenas tardes estimado, 

 

Te recuerdo que el PBR se aplica antes de que el router se pueda dar cuenta que la ruta esta directamente conectada a el ya que el no mira la tabla de ruteo, por lo que veo en la primera ACL del PBR estas manipulando el tráfico entre redes internas, a modo de testing prueba lo siguiente:

 

 (Saca la ACL 130 con su route-map)

 

Extended IP access list 131
    1 deny ip 192.168.4.0 0.0.0.255 192.168.0.0 0.0.255.255 
    2 deny ip 192.168.4.0 0.0.0.255 10.17.0.0 0.0.255.255
    3 deny ip 192.168.4.0 0.0.0.255 10.1.1.0 0.0.0.255 
    10 permit ip 192.168.4.0 0.0.0.255 any 

 

Si lo haces de la siguiente manera tus 3 primeras sentencias harán que se ruteen por la tabla de ruteo (y si están directamente conectadas se verán sin problemas) y la última hará que el resto del tráfico se desvíe al equipo de tu preferencia.

Por favor no olvides calificar las respuestas útiles.

 

Saludos,

Julio E. Moisa
VIP
VIP
En respuesta a Diana Karolina Rojas

el ‎08-31-2018 01:08 PM

Adicional a lo que menciona Diana, si deseas dejarlo solo para internet puedes denegar desde tu red de origen hacia tu red de destino de las clases A /8, B/12 y C/16 (sumarizadas)

 

Esto ayudara para que todo tráfico privado no sea considerado en la coincidencia y solamente lo que está en ANY se enrutara hacia tu siguiente salto especifico

 

Saludos

 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<
0 Útil

soporteca
Level 1
Level 1
En respuesta a Diana Karolina Rojas

‎09-04-2018 05:54 AM - editado ‎09-04-2018 05:57 AM

hola! gracias por tu rta.recien hoy vuelvo a la oficina. Antes de aplicar el deny: que deberia hacer con el route map en la seq 10, la cual saca el trafico por la ip 192.168.253.254? Entiendo que no se aplica ya que no matchea, teniendo en cuenta que la 130 deja de existir.

saludos

Gracias

0 Útil

Julio E. Moisa
VIP
VIP
En respuesta a soporteca

‎09-04-2018 06:08 AM - editado ‎09-04-2018 06:24 AM

Hola, 

Basicamente tu configuración debe ser:

 

ip access-list extended PBR

deny ip 192.168.4.0 0.0.0.255 10.0.0.0 0.255.255.255

deny ip 192.168.4.0 0.0.0.255 172.16.0.0 0.15.255.255

deny ip 192.168.4.0 0.0.0.255 192.168.0.0 0.0.255.255

permit ip 192.168.4.0 0.0.0.255 any

 

route-map MANIPULACION permit 5

match ip address PBR

set ip next-hop <la direccion IP del siguiente salto por donde debe irse el trafico de Internet>

 

interface vlan 4

ip policy route-map MANIPULACION

 

Como se puede observar en la lista de acceso, estoy denegando o en pocas palabras que no match ninguna red privada, lo unico que hara match es cualquier destino desconocido como lo es Internet, entonces cualquier trafico a una red desconocida sera enviada al siguiente salto, el cual debe ser tu router secundario de Internet. Ya si deseas que otras redes conocidas tambien fluyan a traves del siguiente salto, debes especificarlo. En la ACL yo ocupe nombre, pero puedes utilizar ACL numeradas tal como lo has hecho. 

 

Nota: toma en consideracion que solo puedes visualizar el trafico desde el data plane, prueba desde una computadora, esto no se puede probar desde el router. 

 

Espero sea util.

:-)

 

 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<
0 Útil

soporteca
Level 1
Level 1
En respuesta a Julio E. Moisa

el ‎09-04-2018 10:45 AM

hola!

acabo de aplicar tu respuesta y sigue haceidno el rulo

[root@seginfo ~]# traceroute 192.168.50.5
traceroute to 192.168.50.5 (192.168.50.5), 30 hops max, 60 byte packets
 1  intrafire0(192.168.4.1)  2.286 ms  2.351 ms  2.478 ms
 2  192.168.253.254 (192.168.253.254)  0.422 ms  0.411 ms  0.388 ms
 3  192.168.253.253 (192.168.253.253)  2.460 ms  2.554 ms  2.651 ms

 

Te paso a explicar:

192.168.4.17 es mi host desde donde tiro el TR

192.168.4.1 es el DG en esta caso el cisco 4900

192.168.254.254 es el firewall interno (aca hace el bucle)

192.168.253.253 el cisco 4900 

y luego llega a destino

La vlan id es 5 y la red es 50

Gracias

aplique las pbr segun tu sug.

 

Extended IP access list 120
    10 deny ip 192.168.50.0 0.0.0.255 192.168.0.0 0.0.255.255
    20 permit ip 192.168.50.0 0.0.0.255 any

---------

route-map vlan_tel, permit, sequence 5
  Match clauses:
    ip address (access-lists): 120
  Set clauses:
    ip next-hop 172.18.1.254

interface Vlan5
 ip address 192.168.50.254 255.255.255.0
 ip policy route-map vlan_tel
end

0 Útil

soporteca
Level 1
Level 1
En respuesta a soporteca

el ‎09-05-2018 10:33 AM

Estimados,

hago un update de la situacion.

Genere una nueva vlan (la 225) para realizar test. La situacion es la siguiente

 

Si quero llegar a una ip cuyo DG es unainterface del Core, usando este PBR el trace no lo saca por la interface propia, si no lo que manda a su DG y vuelve desde este mismo

Extended IP access list 121
    30 deny ip 192.168.54.0 0.0.0.255 10.1.1.0 0.0.0.255 (50 matches)
    50 deny ip 192.168.54.0 0.0.0.255 192.168.4.0 0.0.0.255
    60 deny ip 192.168.54.0 0.0.0.255 10.17.1.0 0.0.0.255
    70 deny ip 192.168.54.0 0.0.0.255 192.168.50.0 0.0.0.255
    80 deny ip 192.168.54.0 0.0.0.255 192.168.2.0 0.0.0.255
    90 permit ip 192.168.54.0 0.0.0.255 any (10 matches)

En este caso mi host es 192.168.54.2.

Cuando hago un trace pierdo rastro * despues del primer salto. Ahora bien,  si voy a un host que esta detras del firewall paso sin problemas.

Alguna sugerencia?

Gracias

0 Útil

Navegue y encuentre contenido personalizado de la comunidad

Videos de R&S Documentos de R&S Blogs de R&S
Customers Also Viewed These Support Documents