[Router Cisco 861] Config Policy Based Routing

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
tecno214
n00b
Messaggi: 17
Iscritto il: lun 30 mar , 2015 6:32 pm

Buonasera a tutti.

Ho un Cisco 861, version CISCO861-K9, che gestisce una mia connettività per i diagnostici di officina.

Volevo fare in modo, creando una opportuna Policy Based Routed, di raggruppare tutte le rotte che vanno verso una destinazione diversa dal next.hop.

Esempio..

ip route 0.0.0.0 0.0.0.0 x.x.x.x (rotta di default vs Gateway)
ip route 10.10.0.0 255.255.255.0 y.y.y.y
ip route 10.20.0.0 255.255.255.0 y.y.y.y
ip route 10.30.0.0 255.255.255.0 y.y.y.y

L'intento era creare una PBR che raggruppasse tutte le route che vanno verso y.y.y.y e le autorizzasse per la mia subnet locale 192.168.1.0/24 senza creare gli ip-route uno per uno.

GRazie a tutti in anticipo delle eventuali risposte.

FILIPPO
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao Filippo.
Basta che crei una access-list con il traffico che vuoi dirottare e lo applichi alla PBR.
Dove sta il problema?

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
tecno214
n00b
Messaggi: 17
Iscritto il: lun 30 mar , 2015 6:32 pm

Paolo, intanto ti ringrazio per la pronta risposta..

Il problema è che non ho mai configurato questa coa e, provando una guida che ho trovato online, applicandola alla lettera, non mi ha funzionato.

Ho creato una acl

ip access-list standard ROTTE_NS

Poi ho inserito all'interno le tre rotte di destinazione desiderate
permit ip any 10.10.0.0/24
permit ip any 10.10.1.0/24
permit ip any 10.10.3.0/24

Creato la route-map
route-map NS permit 10
match ip address ROTTE_NS
set ip next-hop y.y.y.y

Poi l'ho applicata all'interfaccia
int g0/0 (LAN)
ip access group ROTTE_NS

Tracciando però una delle route desiderate questa continua ad uscire dal primary default gateway.

Sbaglio di sicuro qualcosa da qualche parte, essendo la prima volta che affronto una config del genere (fino ad oggi infatti ho sempre inserito le rotte una per una)..
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao.
Non devi applicare la ACL all'interfaccia ma la policy route con il comando ip policy route-map NS.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
tecno214
n00b
Messaggi: 17
Iscritto il: lun 30 mar , 2015 6:32 pm

Nel dettaglio, ho operato, senza successo, come di seguito:

1- Creata la relativa ACL:

(config)#ip access-list extended FIAT

con le relative regole:

(config-ext-nacl)# permit ip 192.168.87.0 0.0.0.255 10.52.52.0 0.0.0.255
permit ip 192.168.87.0 0.0.0.255 10.52.53.0 0.0.0.255
permit ip 192.168.87.0 0.0.0.255 10.59.0.0 0.0.0.255
permit ip 192.168.87.0 0.0.0.255 10.59.1.0 0.0.0.255

2- Creata la Route Map

(config)#route-map RFIAT permit 10
(config-route-map)match ip address FIAT
(config-route-map)set ip next-hop 192.168.87.90

3- Per finire, ho applicato la Route Map all'interfaccia "internal", nel mio caso Vlan1

(config)#interface Vlan1
(config-if)#ip policy route-map RFIAT

Nonostante tutto, se faccio una traceroute di un ip, ad esempio, 10.59.1.10, continua ad essere diretto verso il default-gateway e non verso 192.168.87.90.
Il "debug-ping" ovviamente, non funziona.

Mentre, se opero con il classico comando

ip route 10.59.1.0 255.255.255.0 192.168.87.90

Ovviamente,tutto funziona in modo regolare.

Non capisco dove stò sbagliando sinceramente, anche se, come detto in testata, è la
prima volta che opero scelgliendo una config in route-map.

Grazie di nuovo a tutti per le eventuali risposte.
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao.
Per capire meglio il problema il traceroute lo fai da un PC o dal router?

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
tecno214
n00b
Messaggi: 17
Iscritto il: lun 30 mar , 2015 6:32 pm

Dal router..
Che però stà sulla stessa subnet/class dei pc..
Sbaglio?
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Fallo da un PC. Vedrai che funziona.
Per farlo funzionare anche dal router devi dare anche il comando ip local policy route-map RFIAT .
Inoltre quando dai il traceroute dal router ricordati di specificare l'ip sorgente.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Risolto?

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
tecno214
n00b
Messaggi: 17
Iscritto il: lun 30 mar , 2015 6:32 pm

Paolo buongiorno.

Ti ringrazio di cuore, in effetti dai pc FUNZIONA.
Non mi sono perso ad applicare anche localmente sul router la policy, in effetti è più che sufficiente che dai pc tutto vada regolamente nelle giuste destinazioni.

Grazie ancora per aver perso un pò del tuo tempo sul mio caso.

FILIPPO
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Prego.

Buona giornata
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
Rispondi