Strona 1 z 1
problem z PBR
: 18 lip 2017, 20:52
autor: piter1789
Witam,
mam Cisco ASA i dwóch ISP.
Część ruchu idzie przez jednego ISP a część przez drugiego ISP.
Jak ping leci do ISP-1, który jest domyślnie moją bramą na świat to jest ok i wraca, natomiast jak do ISP-2 to już nie.
Czy na ASA jest coś takiego jak local PBR, podobnie jak na ISR?
Re: problem z PBR
: 19 lip 2017, 10:04
autor: Gizmo
IMHO ASA nie obsługuje PBRa. Ja zawsze stawiałem ruter przed ASA, tam robiłem styk i PRB.
Pzdr.
Re: problem z PBR
: 19 lip 2017, 10:12
autor: gryz0z
Wydaje mi się, że problem tkwi w tym, że ASA sprawdza czy interfejs, którym przychodzi pakiet jest tym samym interfejsem, którym wychodzi.
Zobacz poniższy post:
https://supportforums.cisco.com/discuss ... -interface
PBR jest wspierany chyba od wersji 9.4(1)
Re: problem z PBR
: 19 lip 2017, 12:41
autor: m4rc0
Sprawdz czy nie masz asynchronicznego routingu.
Re: problem z PBR
: 19 lip 2017, 17:38
autor: mihu
Gizmo pisze:IMHO ASA nie obsługuje PBRa. Ja zawsze stawiałem ruter przed ASA, tam robiłem styk i PRB.
Pzdr.
ASA robi bardzo dobrze PBR. Ale jest jeden myk - musisz umiescic druga default route w ASP routing table inaczej ASA nie przyjemie ruchu powrotnego.
zeby to zrobic dajesz drugi default route z wysoka metryka:
“route OUTSIDE_2 0.0.0.0 0.0.0.0 <GW_PBR>” , where 250 is route metric, default route will have “1” so this will not show in routing table.
Wtedy druga default route nie pojawi sie w tablicy routingu ale pojawi sie w ASP route i rozwiazuje to problem.
Re: problem z PBR
: 20 lip 2017, 19:45
autor: piter1789
mam obie trasy wrzucone do tablicy routingu.
a dalej to nie działa.
ale tylko jedna trasa jest domyślnie w "show route", ta która jest osiągalna.
S* 0.0.0.0 0.0.0.0 [1/0] via
GW
może to jest problemem.. i że jak przyjmie ruch "do siebie" tym drugim łączem to wypuści go łaczem podstawowym;)
Na ISR dopóki się nie zrobiło local PBR to tak było.
Re: problem z PBR
: 20 lip 2017, 19:52
autor: mihu
piter1789 pisze:mam obie trasy wrzucone do tablicy routingu.
a dalej to nie działa.
ale tylko jedna trasa jest domyślnie w "show route", ta która jest osiągalna.
S* 0.0.0.0 0.0.0.0 [1/0] via
GW
może to jest problemem.. i że jak przyjmie ruch "do siebie" tym drugim łączem to wypuści go łaczem podstawowym;)
Na ISR dopóki się nie zrobiło local PBR to tak było.
w tablicy routingu musi byc jedna. działa bo robiłem klientowi. czesc sieci puszczałem isp1 czesc isp2.
zerkne w notatki ale ro pewnie dopiero jutro
Re: problem z PBR
: 20 lip 2017, 20:29
autor: piter1789
no ja mam tak samo, cześć działa łączem 1 a cześć łączem 2,
łącze 1 jest w tablicy routingu jak pada to jest łącza 2, wszytko się przełącza itp..
ale łącza 2 nie mogę sprawdzać z zewnątrz np. ping gdy jest aktywne łącze 1.
Re: problem z PBR
: 21 lip 2017, 01:06
autor: mihu
piter1789 pisze:no ja mam tak samo, cześć działa łączem 1 a cześć łączem 2,
łącze 1 jest w tablicy routingu jak pada to jest łącza 2, wszytko się przełącza itp..
ale łącza 2 nie mogę sprawdzać z zewnątrz np. ping gdy jest aktywne łącze 1.
jeśli chodzi Ci o czysty PBR bez IP SLA, poniżej przykład z działającej implementacji:
Kod: Zaznacz cały
! —— PBR (from 9.4.2) ——
access-list PBR_TO_<INTERFACE> ext permit ip <NET> <MASK> object-group RFC1918_NETWORKS
access-list PBR_TO_<DEFAULT_INTERFACE> ext permit ip <NET> <MASK> any
route-map PBR_MAP_<NAME> permit 5
match ip address PBR_TO_<INTERFACE>
set ip next-hop <GW>
route-map PBR_MAP_<NAME> permit 100
match ip address PBR_TO_<INTERFACE>
set ip next-hop <DEFAULT_GW>
int g0/<X>
policy-route route-map PBR_MAP_<NAME>
But because ASA is a security device and behaves differently than router and for PBR to work for default route we may have to add second default route out via OUTSIDE_2 interface with higher metric. In this case this route will still not be used or shown in ASA routing table, but ASA will be able to use it for accelerated security path (ASP) engine to route this traffic out.
The line which will do that it:
Kod: Zaznacz cały
“route OUTSIDE_2 0.0.0.0 0.0.0.0 <GW_PBR>” , where 250 is route metric, default route will have “1” so this will not show in routing table:
sh route | i 0.0.0.0
Gateway of last resort is <GW1> to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via <GW>, OUTSIDE
But will show in ASP routing table
nigdy nie miałem czasu sprawdzić czy poniższe jest konieczne
Kod: Zaznacz cały
class-map INSIDE-class
match access-list INSIDE_mpc
policy-map INSIDE-policy
class INSIDE-class-class
set connection advanced-options tcp-state-bypass
service-policy INSIDE-policy interface INSIDE