problem z PBR

Problemy związane z routingiem
Wiadomość
Autor
piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

problem z PBR

#1

#1 Post autor: piter1789 »

Witam,
mam Cisco ASA i dwóch ISP.
Część ruchu idzie przez jednego ISP a część przez drugiego ISP.
Jak ping leci do ISP-1, który jest domyślnie moją bramą na świat to jest ok i wraca, natomiast jak do ISP-2 to już nie.
Czy na ASA jest coś takiego jak local PBR, podobnie jak na ISR?

Gizmo
wannabe
wannabe
Posty: 185
Rejestracja: 28 sty 2008, 21:55

Re: problem z PBR

#2

#2 Post autor: Gizmo »

IMHO ASA nie obsługuje PBRa. Ja zawsze stawiałem ruter przed ASA, tam robiłem styk i PRB.

Pzdr.
“Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying.” - A.C.Clark

gryz0z
member
member
Posty: 39
Rejestracja: 27 gru 2007, 22:48

Re: problem z PBR

#3

#3 Post autor: gryz0z »

Wydaje mi się, że problem tkwi w tym, że ASA sprawdza czy interfejs, którym przychodzi pakiet jest tym samym interfejsem, którym wychodzi.

Zobacz poniższy post:
https://supportforums.cisco.com/discuss ... -interface

PBR jest wspierany chyba od wersji 9.4(1)

m4rc0
wannabe
wannabe
Posty: 138
Rejestracja: 26 maja 2007, 09:09

Re: problem z PBR

#4

#4 Post autor: m4rc0 »

Sprawdz czy nie masz asynchronicznego routingu.

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: problem z PBR

#5

#5 Post autor: mihu »

Gizmo pisze:IMHO ASA nie obsługuje PBRa. Ja zawsze stawiałem ruter przed ASA, tam robiłem styk i PRB.

Pzdr.
ASA robi bardzo dobrze PBR. Ale jest jeden myk - musisz umiescic druga default route w ASP routing table inaczej ASA nie przyjemie ruchu powrotnego.

zeby to zrobic dajesz drugi default route z wysoka metryka:

“route OUTSIDE_2 0.0.0.0 0.0.0.0 <GW_PBR>” , where 250 is route metric, default route will have “1” so this will not show in routing table.

Wtedy druga default route nie pojawi sie w tablicy routingu ale pojawi sie w ASP route i rozwiazuje to problem.

Kod: Zaznacz cały

sh asp table routing | i 0.0.0.0 
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: problem z PBR

#6

#6 Post autor: piter1789 »

mam obie trasy wrzucone do tablicy routingu.;)
a dalej to nie działa.

ale tylko jedna trasa jest domyślnie w "show route", ta która jest osiągalna.
S* 0.0.0.0 0.0.0.0 [1/0] via GW

może to jest problemem.. i że jak przyjmie ruch "do siebie" tym drugim łączem to wypuści go łaczem podstawowym;)
Na ISR dopóki się nie zrobiło local PBR to tak było.

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: problem z PBR

#7

#7 Post autor: mihu »

piter1789 pisze:mam obie trasy wrzucone do tablicy routingu.;)
a dalej to nie działa.

ale tylko jedna trasa jest domyślnie w "show route", ta która jest osiągalna.
S* 0.0.0.0 0.0.0.0 [1/0] via GW

może to jest problemem.. i że jak przyjmie ruch "do siebie" tym drugim łączem to wypuści go łaczem podstawowym;)
Na ISR dopóki się nie zrobiło local PBR to tak było.
w tablicy routingu musi byc jedna. działa bo robiłem klientowi. czesc sieci puszczałem isp1 czesc isp2.

zerkne w notatki ale ro pewnie dopiero jutro
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: problem z PBR

#8

#8 Post autor: piter1789 »

no ja mam tak samo, cześć działa łączem 1 a cześć łączem 2,
łącze 1 jest w tablicy routingu jak pada to jest łącza 2, wszytko się przełącza itp..
ale łącza 2 nie mogę sprawdzać z zewnątrz np. ping gdy jest aktywne łącze 1.

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: problem z PBR

#9

#9 Post autor: mihu »

piter1789 pisze:no ja mam tak samo, cześć działa łączem 1 a cześć łączem 2,
łącze 1 jest w tablicy routingu jak pada to jest łącza 2, wszytko się przełącza itp..
ale łącza 2 nie mogę sprawdzać z zewnątrz np. ping gdy jest aktywne łącze 1.
jeśli chodzi Ci o czysty PBR bez IP SLA, poniżej przykład z działającej implementacji:

Kod: Zaznacz cały

! —— PBR (from 9.4.2) ——
 

access-list PBR_TO_<INTERFACE> ext permit ip <NET> <MASK> object-group RFC1918_NETWORKS
access-list PBR_TO_<DEFAULT_INTERFACE> ext permit ip <NET> <MASK> any

route-map  PBR_MAP_<NAME> permit 5
match ip address PBR_TO_<INTERFACE>
set ip next-hop <GW>

route-map  PBR_MAP_<NAME> permit 100            
match ip address PBR_TO_<INTERFACE>
set ip next-hop <DEFAULT_GW>

int g0/<X>
policy-route route-map PBR_MAP_<NAME>

But because ASA is a security device and behaves differently than router and for PBR to work for default route we may have to add second default route out via OUTSIDE_2 interface with higher metric. In this case this route will still not be used or shown in ASA routing table, but ASA will be able to use it for accelerated security path (ASP) engine to route this traffic out.

The line which will do that it:

Kod: Zaznacz cały

“route OUTSIDE_2 0.0.0.0 0.0.0.0 <GW_PBR>”  , where 250 is route metric, default route will have “1” so this will not show in routing table:
 
sh route | i 0.0.0.0
Gateway of last resort is <GW1> to network 0.0.0.0
S*       0.0.0.0 0.0.0.0 [1/0] via <GW>, OUTSIDE


But will show in ASP routing table

nigdy nie miałem czasu sprawdzić czy poniższe jest konieczne

Kod: Zaznacz cały

class-map INSIDE-class
 match access-list INSIDE_mpc

policy-map INSIDE-policy
 class INSIDE-class-class
  set connection advanced-options tcp-state-bypass

service-policy INSIDE-policy interface INSIDE
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

ODPOWIEDZ