- Если надо как сейчас, но через другой VDOM , то пишите 10 3 0 130 в прокси и те, Licha Morada (ok), 02:31 , 09-Фев-23 (1)
 
- gt оверквотинг удален Тех поддержка Фортигейта ушла из России Я на 3850 пропис, pogreb (ok), 08:50 , 09-Фев-23 (2)
- gt оверквотинг удален правильные ли мои настройки PBR на 3850 distrib sh run i, pogreb (ok), 11:17 , 09-Фев-23 (3)
- Закономерно, т к вы это правило добащили в таблицу маршрутизации, и оно значит , Licha Morada (ok), 00:54 , 11-Фев-23 (14)
> Я на 3850 прописал маршрут для своего ПК
> 10.43.79.2/32 via 10.3.0.130 и у меня вся сеть отвалилась Закономерно, т.к. вы это правило добащили в таблицу маршрутизации, и оно значит "если поле 'Кому' совпадает с 10.43.79.2/32, то пересылать на 10.3.0.130".
А вам надо "Если поле 'От кого' совпадает с 10.43.79.2/32, то пересылать на 10.3.0.130". Собственно, принципиальная разница между классической таблицей маршрутизации и Policy Based Routing в том что по классике решение принимается только на основе поля dst_ip, а в PBR по какому-то ещё критерию. Например, на основе поля src_ip. Конкретику вам уже всю объяснили выше по ветке, поздравляю.
Да, надо чтобы маршрут применялся не ко всем пакетам от 10.43.79.2/32, а только к тем которые идут в Интернет, т.е. не в локальную сеть.
И да, у фортигейта который VDOM ROOT надо чтобы был маршрут до 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из Интернета вернулись куда надо.
И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой. > Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли
> она проц на моей 3850. Мнения разные. Ну, вот он шанс попробовать и сей опыт обрести.
Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и остального. Потом будете при случае расказывать "да, я делал так-то и получилось вот что".
- gt оверквотинг удален Спасибо за разъяснение, pogreb (ok), 13:20 , 13-Фев-23 (16)
>[оверквотинг удален]
> И да, у фортигейта который VDOM ROOT надо чтобы был маршрут до
> 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из
> Интернета вернулись куда надо.
> И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой.
>> Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли
>> она проц на моей 3850. Мнения разные.
> Ну, вот он шанс попробовать и сей опыт обрести.
> Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и
> остального. Потом будете при случае расказывать "да, я делал так-то и
> получилось вот что".Спасибо за разъяснение
- gt оверквотинг удален Подскажите, пожалуйста, еще раз Делаю ACL для сетейdeny , pogreb (ok), 16:39 , 10-Мрт-23 (17)
>[оверквотинг удален]
>> 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из
>> Интернета вернулись куда надо.
>> И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой.
>>> Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли
>>> она проц на моей 3850. Мнения разные.
>> Ну, вот он шанс попробовать и сей опыт обрести.
>> Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и
>> остального. Потом будете при случае расказывать "да, я делал так-то и
>> получилось вот что".
> Спасибо за разъяснение Подскажите, пожалуйста, еще раз.
Делаю ACL для сетей deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255
deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 10.43.79.2 255.255.255.0 any Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2 255.255.255.0 any
Как правильно сеть 10.43.79.0/24 в permit прописать?
- gt оверквотинг удален 1 Наконец понять что такое wildcard и прямая маска 2 , Andrey (??), 17:10 , 10-Мрт-23 (18)
>[оверквотинг удален]
>> Спасибо за разъяснение
> Подскажите, пожалуйста, еще раз.
> Делаю ACL для сетей
> deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255
> deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255
> deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255
> permit ip 10.43.79.2 255.255.255.0 any
> Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2
> 255.255.255.0 any
> Как правильно сеть 10.43.79.0/24 в permit прописать?1. Наконец понять что такое wildcard и прямая маска.
2. Понять что если что-то попало в ACL и обработалось, то второй раз обрабатываться этим-же ACL в этом-же процессе уже не будет.
3. Осторожно применять запреты какой-то подсети адресоваться к этой-же подсети.
- gt оверквотинг удален Подскажите, пожалуйста, по новому косяку После всех выше, pogreb (ok), 10:16 , 23-Мрт-23 (19)
>[оверквотинг удален]
>> deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255
>> deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255
>> permit ip 10.43.79.2 255.255.255.0 any
>> Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2
>> 255.255.255.0 any
>> Как правильно сеть 10.43.79.0/24 в permit прописать?
> 1. Наконец понять что такое wildcard и прямая маска.
> 2. Понять что если что-то попало в ACL и обработалось, то второй
> раз обрабатываться этим-же ACL в этом-же процессе уже не будет.
> 3. Осторожно применять запреты какой-то подсети адресоваться к этой-же подсети.Подскажите, пожалуйста, по новому косяку.
После всех вышеизложенных советов, у меня ACL выглядит так
Extended IP access list ACL-ROOT
10 deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255 (142672 matches)
20 deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255 (1 match)
30 deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255 (2 matches)
40 permit ip 10.43.79.0 0.0.0.255 any (982 matches) Route-map ниже
distrib#sh route-map ROOT
route-map ROOT, permit, sequence 10
Match clauses:
ip address (access-lists): ACL-ROOT
Set clauses:
ip next-hop 10.3.0.130
Policy routing matches: 1455 packets, 170877 bytes Я хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск отваливается.
В глобальном виде задача такая: все внутрениие сети обращаются между собой, но как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на 10.3.0.130 (это прокся)
- gt оверквотинг удален Подскажите, пожалуйста, с моим вопросом, pogreb (ok), 11:12 , 24-Мрт-23 (20)
>[оверквотинг удален]
> Set clauses:
> ip next-hop 10.3.0.130
> Policy routing matches: 1455 packets, 170877 bytes
> Я хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил
> доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с
> наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск
> отваливается.
> В глобальном виде задача такая: все внутрениие сети обращаются между собой, но
> как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на
> 10.3.0.130 (это прокся) Подскажите, пожалуйста, с моим вопросом
- gt оверквотинг удален PBR, судя по всему, работает А причины некорректной раб, Andrey (??), 12:18 , 24-Мрт-23 (21)
>[оверквотинг удален]
>> ip next-hop 10.3.0.130
>> Policy routing matches: 1455 packets, 170877 bytes
>> Я хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил
>> доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с
>> наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск
>> отваливается.
>> В глобальном виде задача такая: все внутрениие сети обращаются между собой, но
>> как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на
>> 10.3.0.130 (это прокся)
> Подскажите, пожалуйста, с моим вопросом PBR, судя по всему, работает. А причины некорректной работы портала нужно проверять отдельно.
Для этого нужно и всю структуру вашей сети смотреть, трассировки с клиента, с прокси, с сервера портала, логи сервера портала проверять. Смотреть структуру DNS (любят некоторые держать одинаковые домены внутри и снаружи).
Возможно проверять html код куда ведут ссылки на документы. Это вам нужен отдельный админ (и может не один), а не форум в интернете.
|
Свернуть нити
Пометить прочитанным
Создать тему
