Новые ответы

3850 и PBR,

pogreb, 20-Июн-22, 15:09 [смотреть все]

Всем привет!
Подскажите, пожалуйста, по настройке Policy-based Routing
Можно ли сделать маршрут для одного ip адреса, а не для сети или VLAN?
На 3850 сделал следующее:
distrib#sh route-map 10.45.5.33
route-map 10.45.5.33, permit, sequence 10
Match clauses:
Set clauses:
ip next-hop 10.3.0.130
Policy routing matches: 522 packets, 51134 bytes
И прописал строку на VLAN интерфейсе
ip policy route-map 10.45.5.33
Для сервера 10.45.5.33 все норм заработало, но при этом отвалилось у остальных серверов из сети 10.45.5.0/24
PS: для настройки карты, я выполнял команду: match ip address 10.45.5.33

PS1: Сделал через ACL. Пинги до гугла есть, а в браузере ничего не открывается

distrib#sh route-map 10.45.5.33
route-map 10.45.5.33, permit, sequence 10
Match clauses:
ip address (access-lists): hvs-mail
Set clauses:
ip next-hop 10.3.0.130
Policy routing matches: 3 packets, 318 bytes
route-map 10.45.5.33, deny, sequence 20
Match clauses:
ip address (access-lists): VM-Network
Set clauses:
Policy routing matches: 0 packets, 0 bytes
distrib#sh access-lists hvs-mail (этим ACL разрешил ip адрес только одного сервера)
Extended IP access list hvs-mail
10 permit ip host 10.45.5.33 any (69 matches)
20 permit tcp host 10.45.5.33 any
distrib#sh access-lists VM-Network (этим заблокировал все остальные ip адреса в сети для route-map)
Extended IP access list VM-Network
10 permit ip 0.0.0.0 255.255.255.0 any
Интернет заработал после того как в ДНС указал 8.8.8.8. При указании моих ДНС в браузере странички не открывались, но пинги до гугла шли
Что то мне подсказывает, что я криво сделал. Можно ли как то заставить корректно работать первый вариант?

Ответить | Сообщить модератору

3850 и PBR, Andrey, 15:50 , 20-Июн-22 (1)

> distrib#sh access-lists VM-Network (этим заблокировал все остальные ip адреса в сети для
> route-map)
> Extended IP access list VM-Network
> 10 permit ip 0.0.0.0 255.255.255.0 any
Я что-то упустил или в ACL вместо wildcard с недавних пор пишется прямая маска сети?
Ответить | Сообщить модератору

3850 и PBR, pogreb, 16:56 , 20-Июн-22 (2)
>> distrib#sh access-lists VM-Network (этим заблокировал все остальные ip адреса в сети для
>> route-map)
>> Extended IP access list VM-Network
>> 10 permit ip 0.0.0.0 255.255.255.0 any
> Я что-то упустил или в ACL вместо wildcard с недавних пор пишется
> прямая маска сети?
Вооот, спасибо за ошибку, исправил. И с моими ДНС работать стало корректно.
Но что с реализацией PBR, корректно ли я реализовал с ACL?
Не. Все равно косяк. При такой реализации у меня сервер не видит AD, хотя в интернет правильно ходит.
Задача: есть два сервера которые надо выпустить без прокси сервера. Первый сервер это роль Mail для Exchange 2016 . Второй сервер это роль транспорта для Exchange 2016
У меня либо есть доступ к АД, но нет Интернета, либо есть Интернет, но нет доступа к АД.
Как мне правильно организовать маршрутизацию?

Ответить | Сообщить модератору

3850 и PBR, pogreb, 17:04 , 20-Июн-22 (3)
>[оверквотинг удален]
> Вооот, спасибо за ошибку, исправил. И с моими ДНС работать стало корректно.
> Но что с реализацией PBR, корректно ли я реализовал с ACL?
> Не. Все равно косяк. При такой реализации у меня сервер не видит
> AD, хотя в интернет правильно ходит.
> Задача: есть два сервера которые надо выпустить без прокси сервера. Первый сервер
> это роль Mail для Exchange 2016 . Второй сервер это роль
> транспорта для Exchange 2016
> У меня либо есть доступ к АД, но нет Интернета, либо есть
> Интернет, но нет доступа к АД.
> Как мне правильно организовать маршрутизацию?
https://dropmefiles.com/gGvnK
Ответить | Сообщить модератору

3850 и PBR, pogreb, 17:41 , 20-Июн-22 (4)
>[оверквотинг удален]
>> Но что с реализацией PBR, корректно ли я реализовал с ACL?
>> Не. Все равно косяк. При такой реализации у меня сервер не видит
>> AD, хотя в интернет правильно ходит.
>> Задача: есть два сервера которые надо выпустить без прокси сервера. Первый сервер
>> это роль Mail для Exchange 2016 . Второй сервер это роль
>> транспорта для Exchange 2016
>> У меня либо есть доступ к АД, но нет Интернета, либо есть
>> Интернет, но нет доступа к АД.
>> Как мне правильно организовать маршрутизацию?
> https://dropmefiles.com/gGvnK
То есть сервер с up адресом 10.45.5.33/24 fw: 10.45.5.1 должен выйти в интернет через не стандартный выход в интернет. То есть должен идти через 10.3.0.130
Ответить | Сообщить модератору

3850 и PBR, pogreb, 10:48 , 21-Июн-22 (5)
>[оверквотинг удален]
>>> Задача: есть два сервера которые надо выпустить без прокси сервера. Первый сервер
>>> это роль Mail для Exchange 2016 . Второй сервер это роль
>>> транспорта для Exchange 2016
>>> У меня либо есть доступ к АД, но нет Интернета, либо есть
>>> Интернет, но нет доступа к АД.
>>> Как мне правильно организовать маршрутизацию?
>> https://dropmefiles.com/gGvnK
> То есть сервер с up адресом 10.45.5.33/24 fw: 10.45.5.1 должен выйти в
> интернет через не стандартный выход в интернет. То есть должен идти
> через 10.3.0.130
Может мне обычный NAT для ip адреса сделать?
Можете подсказать как правильно?
Ответить | Сообщить модератору

3850 и PBR, starlight, 01:44 , 24-Июн-22 (6)
>[оверквотинг удален]
>>>> транспорта для Exchange 2016
>>>> У меня либо есть доступ к АД, но нет Интернета, либо есть
>>>> Интернет, но нет доступа к АД.
>>>> Как мне правильно организовать маршрутизацию?
>>> https://dropmefiles.com/gGvnK
>> То есть сервер с up адресом 10.45.5.33/24 fw: 10.45.5.1 должен выйти в
>> интернет через не стандартный выход в интернет. То есть должен идти
>> через 10.3.0.130
> Может мне обычный NAT для ip адреса сделать?
> Можете подсказать как правильно?
Если у вас есть прокси, как оно к маршрутизации относится? У вас же куда-то идут пакеты если прокси не настроен на сервере.. Вот там доступ и откройте, на пограничном маршрутизаторе или фаерволе, там есть наверно NAT или что-нибудь такое.
Ответить | Сообщить модератору