Witam,
Dostałem coś takiego zamiast routera Cisco i mam problem.
Muszę zrobić tak aby dwie sieci korzystały z innych łącz internetowych
np. mam dwie sieci skonfigurowane
172.16.0.0 255.255.128.0
172.17.0.0 255.255.128.0
mam dwa łącza zewnętrzne
provider1
provider2
jak daję
ip route-static 172.16.0.0 255.55.128.0 interfejs_provider1
ip route-static 172.17.0.0 255.55.128.0 interfejs_provider2
to nie działa - brak dostępu do internetu
ja dam ip route-static 0.0.0.0 0.0.0.0 adres provider1
to działa ok
jak am zrobić te ip route aby z konkretnej sieci wysyłał ruch na konkretnego providera
z góry dzięki za pomoc
Router Huawei AR2200 dwa LAN i dwa łącza internetowe.
-
KrzysztofP
- member
- Posty: 30
- Rejestracja: 03 wrz 2013, 17:07
-
KrzysztofP
- member
- Posty: 30
- Rejestracja: 03 wrz 2013, 17:07
-
KrzysztofP
- member
- Posty: 30
- Rejestracja: 03 wrz 2013, 17:07
sieci nie muszą być rozdzielone
co do przykładu podanego przez Ciebie to tam jest ospf, a ja chciałbym aby routing był statyczny
no ale dzięki Twojej podpowiedzi poszukałem przykłady PBR na Huawei i znalazłem coś takiego
http://support.huawei.com/ecommunity/bbs/10203575.html
ja potrzebuje właśnie coś takiego, ale nie działa mi
czy w takim przypadku mam ustawiać dwa wpisy ip route
ip route-static 172.16.0.0 255.55.128.0 interfejs_provider1
ip route-static 172.17.0.0 255.55.128.0 interfejs_provider2
???
jak ustawie pbr czyli
acl-ki juz miałem wcześniej
traffic classifier
traffic behavior
traffic policy
no i do interfejsu WAN traffic-policy na inbound
no ale nie działa
co do przykładu podanego przez Ciebie to tam jest ospf, a ja chciałbym aby routing był statyczny
no ale dzięki Twojej podpowiedzi poszukałem przykłady PBR na Huawei i znalazłem coś takiego
http://support.huawei.com/ecommunity/bbs/10203575.html
ja potrzebuje właśnie coś takiego, ale nie działa mi
czy w takim przypadku mam ustawiać dwa wpisy ip route
ip route-static 172.16.0.0 255.55.128.0 interfejs_provider1
ip route-static 172.17.0.0 255.55.128.0 interfejs_provider2
???
jak ustawie pbr czyli
acl-ki juz miałem wcześniej
traffic classifier
traffic behavior
traffic policy
no i do interfejsu WAN traffic-policy na inbound
no ale nie działa
Poczytaj o PBR co jest najpierw wykorzystywane tablica routingu czy polityka - pomoże w konfiguracjiKrzysztofP pisze:sieci nie muszą być rozdzielone
co do przykładu podanego przez Ciebie to tam jest ospf, a ja chciałbym aby routing był statyczny
no ale dzięki Twojej podpowiedzi poszukałem przykłady PBR na Huawei i znalazłem coś takiego
http://support.huawei.com/ecommunity/bbs/10203575.html
ja potrzebuje właśnie coś takiego, ale nie działa mi
czy w takim przypadku mam ustawiać dwa wpisy ip route
ip route-static 172.16.0.0 255.55.128.0 interfejs_provider1
ip route-static 172.17.0.0 255.55.128.0 interfejs_provider2
???
jak ustawie pbr czyli
acl-ki juz miałem wcześniej
traffic classifier
traffic behavior
traffic policy
no i do interfejsu WAN traffic-policy na inbound
no ale nie działa
. Trasy statyczne które podałeś są niepotrzebne. Zdefiniuj default route na jednego z operatorów lub dwóch dla load balancingu (możesz użyć NQA do weryfikacji trasy), zapewni to wyjście dla ruchu którego nie uwzględnisz w PBR oraz ruchu generowanego z routera. Poszukaj dokumentu "Huawei AR150&AR160&AR200&AR1200&AR2200&AR3200 Product Documentation" dla swojej wersji VRP - zawiera przykłady które mogą pomóc przy konfiguracji.
Cześć,
Może coś takiego zadziała (nie mam gdzie tego przetestować bo eNSP nie wspiera tej funkcjonalności).
Prosta topologia:
VLAN10,VLAN20------Switch_L3---10.10.30.0/30----ROUTER---ISP1,ISP2
Może coś takiego zadziała (nie mam gdzie tego przetestować bo eNSP nie wspiera tej funkcjonalności).
Prosta topologia:
VLAN10,VLAN20------Switch_L3---10.10.30.0/30----ROUTER---ISP1,ISP2
Kod: Zaznacz cały
#
ip local policy-based-route test
#
acl number 2000
rule 10 permit source 10.10.10.0 0.0.0.255
rule 20 permit source 10.10.20.0 0.0.0.255
acl number 2001
rule 10 permit source 10.10.10.0 0.0.0.255
acl number 2002
rule 20 permit source 10.10.20.0 0.0.0.255
#
interface GigabitEthernet0/0/0 <--ISP1
ip address 1.1.1.1 255.255.255.252
nat outbound 2000
#
interface GigabitEthernet0/0/1 <--ISP2
ip address 3.3.3.1 255.255.255.252
nat outbound 2000
#
interface GigabitEthernet4/0/0 <-połączeniówka do LANu
ip address 10.10.30.2 255.255.255.252
#
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
ip route-static 0.0.0.0 0.0.0.0 3.3.3.2
ip route-static 10.10.10.0 255.255.255.0 10.10.30.1 <- VLAN 10
ip route-static 10.10.20.0 255.255.255.0 10.10.30.1 <- VLAN 20
#
policy-based-route test permit node 1
if-match acl 2001
apply output-interface GigabitEthernet0/0/0
policy-based-route test permit node 2
if-match acl 2002
apply output-interface GigabitEthernet0/0/1
#
-
KrzysztofP
- member
- Posty: 30
- Rejestracja: 03 wrz 2013, 17:07
Dzięki Wszystkim za pomoc. PBR zadziałało fajnie, ale wyszły inne problemy. Pomimo skonfigurowania dostępu SSH nie mogę się dostać na router (ani z LAN ani z WAN). W ogóle nie można go nawet zapingować. Przed wdrożeniem PBR SSH działało.
Jak usunę traffic-policy z interfejsu LAN to SSH działa i ping też. Pewnie coś trzeba powalczyć z acl-ką, ale pomimo prób nie mam pojęcia co jeszcze.
Dodatkowo muszę przekierować jeden wewnętrzny port z kompa na zewnątrz i coś nie daję radę bo nat static w Huawei różni się od tego w Cisco. Chyba trza to zrobić nat server, ale jak chyba traffic-policy blokuje dostęp to też nie kogę tego ustawić.
Poniżej wklejam moja konfigurację. W cudzysłowach zmienione dane tzn. adresy WAN, hasła itp. Co jest w niej nie tak, że SSH nie działa. No i jak dodać przekierowanie portu. Ogólnie na poniżej konfiguracji kompy mają dostęp do internetu, dostają adres z DHCP, ale ping na router z nich nie działa. Z góry dzięki za pomoc.
sysname Huawei
#
board add 0/6 8FE1GE
#
snmp-agent local-engineid 800007DB037054F57F580A
snmp-agent
#
drop illegal-mac alarm
#
vlan batch 100
#
dhcp enable
#
acl name NET1 3000
rule 5 deny tcp source 172.17.0.0 0.0.127.255 destination-port eq smtp
rule 6 permit ip source 172.17.0.0 0.0.127.255
acl name NET2 3001
rule 5 deny tcp source 172.16.0.0 0.0.127.255 destination-port eq smtp
rule 6 permit ip source 172.16.0.0 0.0.127.255
#
traffic classifier NET1 operator or
if-match acl NET1
traffic classifier NET2 operator or
if-match acl NET2
#
traffic behavior PROV2
redirect ip-nexthop "adres zewnętrzny 1"
traffic behavior PROV1
redirect ip-nexthop adres zewnętrzny 1"
#
traffic policy NET1_PROV1
classifier NET1 behavior PROV1
traffic policy NET2_PROV2
classifier NET2 behavior PROV2
#
ip pool net2
gateway-list 172.16.0.1
network 172.16.0.0 mask 255.255.128.0
excluded-ip-address 172.16.0.2 172.16.0.254
dns-list "adresy DNS"
lease day 0 hour 1 minute 0
#
ip pool net1
gateway-list 172.17.0.1
network 172.17.0.0 mask 255.255.128.0
excluded-ip-address 172.17.0.2 172.17.0.254
dns-list "adresy DNS"
lease day 0 hour 1 minute 0
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user user1 "i tu hasełko"
local-user user1 privilege level 15
local-user user1 service-type ssh
#
interface Vlanif1
#
interface Vlanif100
description VLAN DLA NET2 LAN GIGA6/0/0
ip address 172.16.0.1 255.255.128.0
traffic-policy NET2_PROV2 inbound
dhcp select global
#
interface Ethernet6/0/0
#
interface Ethernet6/0/1
#
interface Ethernet6/0/2
#
interface Ethernet6/0/3
#
interface Ethernet6/0/4
#
interface Ethernet6/0/5
#
interface Ethernet6/0/6
#
interface Ethernet6/0/7
#
interface GigabitEthernet0/0/0
description NET1 WAN
ip address "adres wan"
nat outbound 3000
#
interface GigabitEthernet0/0/1
description NET1 LAN
ip address 172.17.0.1 255.255.128.0
traffic-policy NET1_PROV1 inbound
dhcp select global
#
interface GigabitEthernet0/0/2
description NET2 WAN
ip address "adres wan"
nat outbound 3001
#
interface GigabitEthernet6/0/0
description NET2 LAN
port link-type access
port default vlan 100
#
link-protocol ppp
#
link-protocol ppp
#
interface NULL0
#
ospf 1
area 0.0.0.0
network 172.17.0.0 0.0.127.255
network 172.16.0.0 0.0.127.255
network "sieć wan dla net1"
network "sieć wan dla net2"
#
stelnet server enable
#
user-interface con 0
authentication-mode password
set authentication password "hasełko"
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
user-interface vty 16 20
authentication-mode aaa
protocol inbound ssh
#
voice
#
diagnose
#
return
Jak usunę traffic-policy z interfejsu LAN to SSH działa i ping też. Pewnie coś trzeba powalczyć z acl-ką, ale pomimo prób nie mam pojęcia co jeszcze.
Dodatkowo muszę przekierować jeden wewnętrzny port z kompa na zewnątrz i coś nie daję radę bo nat static w Huawei różni się od tego w Cisco. Chyba trza to zrobić nat server, ale jak chyba traffic-policy blokuje dostęp to też nie kogę tego ustawić.
Poniżej wklejam moja konfigurację. W cudzysłowach zmienione dane tzn. adresy WAN, hasła itp. Co jest w niej nie tak, że SSH nie działa. No i jak dodać przekierowanie portu. Ogólnie na poniżej konfiguracji kompy mają dostęp do internetu, dostają adres z DHCP, ale ping na router z nich nie działa. Z góry dzięki za pomoc.
sysname Huawei
#
board add 0/6 8FE1GE
#
snmp-agent local-engineid 800007DB037054F57F580A
snmp-agent
#
drop illegal-mac alarm
#
vlan batch 100
#
dhcp enable
#
acl name NET1 3000
rule 5 deny tcp source 172.17.0.0 0.0.127.255 destination-port eq smtp
rule 6 permit ip source 172.17.0.0 0.0.127.255
acl name NET2 3001
rule 5 deny tcp source 172.16.0.0 0.0.127.255 destination-port eq smtp
rule 6 permit ip source 172.16.0.0 0.0.127.255
#
traffic classifier NET1 operator or
if-match acl NET1
traffic classifier NET2 operator or
if-match acl NET2
#
traffic behavior PROV2
redirect ip-nexthop "adres zewnętrzny 1"
traffic behavior PROV1
redirect ip-nexthop adres zewnętrzny 1"
#
traffic policy NET1_PROV1
classifier NET1 behavior PROV1
traffic policy NET2_PROV2
classifier NET2 behavior PROV2
#
ip pool net2
gateway-list 172.16.0.1
network 172.16.0.0 mask 255.255.128.0
excluded-ip-address 172.16.0.2 172.16.0.254
dns-list "adresy DNS"
lease day 0 hour 1 minute 0
#
ip pool net1
gateway-list 172.17.0.1
network 172.17.0.0 mask 255.255.128.0
excluded-ip-address 172.17.0.2 172.17.0.254
dns-list "adresy DNS"
lease day 0 hour 1 minute 0
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user user1 "i tu hasełko"
local-user user1 privilege level 15
local-user user1 service-type ssh
#
interface Vlanif1
#
interface Vlanif100
description VLAN DLA NET2 LAN GIGA6/0/0
ip address 172.16.0.1 255.255.128.0
traffic-policy NET2_PROV2 inbound
dhcp select global
#
interface Ethernet6/0/0
#
interface Ethernet6/0/1
#
interface Ethernet6/0/2
#
interface Ethernet6/0/3
#
interface Ethernet6/0/4
#
interface Ethernet6/0/5
#
interface Ethernet6/0/6
#
interface Ethernet6/0/7
#
interface GigabitEthernet0/0/0
description NET1 WAN
ip address "adres wan"
nat outbound 3000
#
interface GigabitEthernet0/0/1
description NET1 LAN
ip address 172.17.0.1 255.255.128.0
traffic-policy NET1_PROV1 inbound
dhcp select global
#
interface GigabitEthernet0/0/2
description NET2 WAN
ip address "adres wan"
nat outbound 3001
#
interface GigabitEthernet6/0/0
description NET2 LAN
port link-type access
port default vlan 100
#
link-protocol ppp
#
link-protocol ppp
#
interface NULL0
#
ospf 1
area 0.0.0.0
network 172.17.0.0 0.0.127.255
network 172.16.0.0 0.0.127.255
network "sieć wan dla net1"
network "sieć wan dla net2"
#
stelnet server enable
#
user-interface con 0
authentication-mode password
set authentication password "hasełko"
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
user-interface vty 16 20
authentication-mode aaa
protocol inbound ssh
#
voice
#
diagnose
#
return