problem z PBR
problem z PBR
Witam,
mam Cisco ASA i dwóch ISP.
Część ruchu idzie przez jednego ISP a część przez drugiego ISP.
Jak ping leci do ISP-1, który jest domyślnie moją bramą na świat to jest ok i wraca, natomiast jak do ISP-2 to już nie.
Czy na ASA jest coś takiego jak local PBR, podobnie jak na ISR?
mam Cisco ASA i dwóch ISP.
Część ruchu idzie przez jednego ISP a część przez drugiego ISP.
Jak ping leci do ISP-1, który jest domyślnie moją bramą na świat to jest ok i wraca, natomiast jak do ISP-2 to już nie.
Czy na ASA jest coś takiego jak local PBR, podobnie jak na ISR?
Re: problem z PBR
IMHO ASA nie obsługuje PBRa. Ja zawsze stawiałem ruter przed ASA, tam robiłem styk i PRB.
Pzdr.
Pzdr.
“Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying.” - A.C.Clark
Re: problem z PBR
Wydaje mi się, że problem tkwi w tym, że ASA sprawdza czy interfejs, którym przychodzi pakiet jest tym samym interfejsem, którym wychodzi.
Zobacz poniższy post:
https://supportforums.cisco.com/discuss ... -interface
PBR jest wspierany chyba od wersji 9.4(1)
Zobacz poniższy post:
https://supportforums.cisco.com/discuss ... -interface
PBR jest wspierany chyba od wersji 9.4(1)
Re: problem z PBR
Sprawdz czy nie masz asynchronicznego routingu.
Re: problem z PBR
ASA robi bardzo dobrze PBR. Ale jest jeden myk - musisz umiescic druga default route w ASP routing table inaczej ASA nie przyjemie ruchu powrotnego.Gizmo pisze:IMHO ASA nie obsługuje PBRa. Ja zawsze stawiałem ruter przed ASA, tam robiłem styk i PRB.
Pzdr.
zeby to zrobic dajesz drugi default route z wysoka metryka:
“route OUTSIDE_2 0.0.0.0 0.0.0.0 <GW_PBR>” , where 250 is route metric, default route will have “1” so this will not show in routing table.
Wtedy druga default route nie pojawi sie w tablicy routingu ale pojawi sie w ASP route i rozwiazuje to problem.
Kod: Zaznacz cały
sh asp table routing | i 0.0.0.0
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: problem z PBR
mam obie trasy wrzucone do tablicy routingu.
a dalej to nie działa.
ale tylko jedna trasa jest domyślnie w "show route", ta która jest osiągalna.
S* 0.0.0.0 0.0.0.0 [1/0] via GW
może to jest problemem.. i że jak przyjmie ruch "do siebie" tym drugim łączem to wypuści go łaczem podstawowym;)
Na ISR dopóki się nie zrobiło local PBR to tak było.
a dalej to nie działa.
ale tylko jedna trasa jest domyślnie w "show route", ta która jest osiągalna.
S* 0.0.0.0 0.0.0.0 [1/0] via GW
może to jest problemem.. i że jak przyjmie ruch "do siebie" tym drugim łączem to wypuści go łaczem podstawowym;)
Na ISR dopóki się nie zrobiło local PBR to tak było.
Re: problem z PBR
w tablicy routingu musi byc jedna. działa bo robiłem klientowi. czesc sieci puszczałem isp1 czesc isp2.piter1789 pisze:mam obie trasy wrzucone do tablicy routingu.
a dalej to nie działa.
ale tylko jedna trasa jest domyślnie w "show route", ta która jest osiągalna.
S* 0.0.0.0 0.0.0.0 [1/0] via GW
może to jest problemem.. i że jak przyjmie ruch "do siebie" tym drugim łączem to wypuści go łaczem podstawowym;)
Na ISR dopóki się nie zrobiło local PBR to tak było.
zerkne w notatki ale ro pewnie dopiero jutro
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: problem z PBR
no ja mam tak samo, cześć działa łączem 1 a cześć łączem 2,
łącze 1 jest w tablicy routingu jak pada to jest łącza 2, wszytko się przełącza itp..
ale łącza 2 nie mogę sprawdzać z zewnątrz np. ping gdy jest aktywne łącze 1.
łącze 1 jest w tablicy routingu jak pada to jest łącza 2, wszytko się przełącza itp..
ale łącza 2 nie mogę sprawdzać z zewnątrz np. ping gdy jest aktywne łącze 1.
Re: problem z PBR
jeśli chodzi Ci o czysty PBR bez IP SLA, poniżej przykład z działającej implementacji:piter1789 pisze:no ja mam tak samo, cześć działa łączem 1 a cześć łączem 2,
łącze 1 jest w tablicy routingu jak pada to jest łącza 2, wszytko się przełącza itp..
ale łącza 2 nie mogę sprawdzać z zewnątrz np. ping gdy jest aktywne łącze 1.
Kod: Zaznacz cały
! —— PBR (from 9.4.2) ——
access-list PBR_TO_<INTERFACE> ext permit ip <NET> <MASK> object-group RFC1918_NETWORKS
access-list PBR_TO_<DEFAULT_INTERFACE> ext permit ip <NET> <MASK> any
route-map PBR_MAP_<NAME> permit 5
match ip address PBR_TO_<INTERFACE>
set ip next-hop <GW>
route-map PBR_MAP_<NAME> permit 100
match ip address PBR_TO_<INTERFACE>
set ip next-hop <DEFAULT_GW>
int g0/<X>
policy-route route-map PBR_MAP_<NAME>
The line which will do that it:
Kod: Zaznacz cały
“route OUTSIDE_2 0.0.0.0 0.0.0.0 <GW_PBR>” , where 250 is route metric, default route will have “1” so this will not show in routing table:
sh route | i 0.0.0.0
Gateway of last resort is <GW1> to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via <GW>, OUTSIDE
But will show in ASP routing table
nigdy nie miałem czasu sprawdzić czy poniższe jest konieczne
Kod: Zaznacz cały
class-map INSIDE-class
match access-list INSIDE_mpc
policy-map INSIDE-policy
class INSIDE-class-class
set connection advanced-options tcp-state-bypass
service-policy INSIDE-policy interface INSIDE
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"