Comprar o Renovar
Comprar o Renovar
custom.ribbon_feed
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
246
Visitas
0
ÚTIL
3
Respuestas

Compatibilidad en la configuración de PBR en switch Cisco C9300

agomez1605
Level 1
Level 1

el ‎11-19-2023 10:12 AM

Saludos comunidad, espero estén muy bien. Un favor, si podrian colaborarme con la siguiente inquietud, la semana pasada en la empresa de un cliente se requirió enrutar el trafico de dos redes hacia unos servidores de logs se enviaran por medio de un gateway especifico (Que era la interfaz de un firewall) que cuando se enviaran los datos a los servidores 10.10.10.100 y 10.10.10.101 no se utilizara el gateway por defecto que era el switch si no que se fuera por el firewall (VLAN55: 192.168.55.100 y VL66: 192.168.66.100), para cual se configuro una Policy Base Routing en el switch (SW-LAN) a continuación presento la configuración realizada y la arquitectura (es muy sencilla).

 

agomez1605_0-1700417389304.png

 

ip access-list extended PBR-VLAN55
permit ip 192.168.55.0 0.0.0.255 host 10.10.10.100
permit ip 192.168.55.0 0.0.0.255 host 10.10.10.101
ip access-list extended PBR-VLAN66
permit ip 192.168.66.0 0.0.0.127 host 10.10.10.100
permit ip 192.168.66.0 0.0.0.127 host 10.10.10.101

route-map MAP-PBR-VLAN55 permit 10
match ip address PBR-VLAN55
set ip next-hop 192.168.55.100
route-map MAP-PBR-VLAN55 permit 1000
!
route-map MAP-PBR-VLAN66 permit 10
match ip address PBR-VLAN66
set ip next-hop 192.168.66.100
route-map MAP-PBR-VLAN66 permit 1000

interface Vlan55
ip address 192.168.55.1 255.255.255.0
ip policy route-map MAP-PBR-VLAN55
interface Vlan66
ip address 192.168.66.1 255.255.255.128
ip policy route-map MAP-PBR-VLAN66

Las politicas en el firewall permitian todo el trafico IP con origen de las VLAN55 y VLAN66 hacia los dos servidores, también evidenciaba match en las reglas del Policy Base Routing de que si se estaban aplicando la regla, pero no funcionaba,  el modelo del switch (SW-LAN) donde se configuro el PBR es C9300-24T Firmware 17.03.04 network-essentials. La configuración de PBR se removio del SW-LAN y se configuraron rutas estáticas en los 20 equipos Windows de esta forma si se tuvo comunicación:

Equipos en VLAN 55:

route -p add 10.10.10.100 mask 255.255.255.255 192.168.55.100

route -p add 10.10.10.101 mask 255.255.255.255 192.168.55.100

Equipos en VLAN 66:

route -p add 192.168.10.100 mask 255.255.255.255 192.168.66.100

route -p add 192.168.10.101 mask 255.255.255.255 192.168.66.100

Pero quisiera entender si es un tema de Firmware o un tema de configuración en el equipo.

Gracias!:.

Etiquetas:
0 Útil
3 RESPUESTAS 3

balaji.bandi
Hall of Fame
Hall of Fame

el ‎11-19-2023 11:14 AM

I am not sure the need to have  PBR here and personally i would not think that work.

check the PBR use case here and understand when to use PBR.

https://www.youtube.com/watch?v=KzwdIpvNSeI

BB

***** Rate All Helpful Responses *****

How to Ask The Cisco Community for Help

0 Útil

Julio E. Moisa
VIP
VIP

‎11-19-2023 03:34 PM - editado ‎11-19-2023 03:35 PM

Hola

Revisaste si los route-maps estaban generando hits?

Show route-map (nombre)

Tenias algun protocolo de enrutamiento en el switch? no se si entre el switch y el firewall tenias alguna conexion capa 3 punto a punto?.

 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<
0 Útil

agomez1605
Level 1
Level 1
En respuesta a Julio E. Moisa

el ‎11-19-2023 04:56 PM

Hola Julio, gusto en saludarte, 

Revisaste si los route-maps estaban generando hits?

Si inge si alcance ha ver que se generaron match tanto en las ACL como en el route-maps

Tenias algun protocolo de enrutamiento en el switch? no se si entre el switch y el firewall tenias alguna conexion capa 3 punto a punto?.

No, era un enlace capa 2 (Troncal) entre el SW-LAN -> SW-TO -> FIrewall Fortinet donde se había configurado interfaces de VLAN, VLAN55 con la IP 192.168.55.100 y VLAN66 con IP 192.168.66.100, se hizo una prueba de ping exitoso desde los equipos en VLAN55 pudieran alcanzar la interfaz de VLAN del firewall 192.168.55.100 y los equipos en VLAN66 pudieran alcanzar la otra interfaz de VLAN del firewall 192.168.66.100,

Nota: Como en estos momentos no tengo acceso al equipo y la configuración de PBR se removió no te puedo compartir una información o log de eventos mas detallada. No se si el PBR en Catalyst 9300 tiene algún inconveniente cuando se trabaja en interfaces de VLAN o la forma en que la se configuro no es la correcta.

Gracias por tu ayuda.

 

0 Útil

Navegue y encuentre contenido personalizado de la comunidad

Videos de R&S Documentos de R&S Blogs de R&S
Customers Also Viewed These Support Documents