forum.opennet.ru

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Создать корректный маршрут, pogreb (ok), 08-Фев-23, (0) [смотреть все]

Если надо как сейчас, но через другой VDOM , то пишите 10 3 0 130 в прокси и те, Licha Morada (ok), 02:31 , 09-Фев-23, (1) //

gt оверквотинг удален Тех поддержка Фортигейта ушла из России Я на 3850 пропис, pogreb (ok), 08:50 , 09-Фев-23, (2) //

gt оверквотинг удален правильные ли мои настройки PBR на 3850 distrib sh run i, pogreb (ok), 11:17 , 09-Фев-23, (3) //

gt оверквотинг удален conf tint vlan437ip policy route-map ROOTend, na (??), 11:38 , 09-Фев-23, (4)

gt оверквотинг удален Сделал PBR и сеть у меня полностью отвалилась, т к все , pogreb (ok), 13:55 , 09-Фев-23, (5)

gt оверквотинг удален У вас в PBR используется Extended ACL Исключите в ACL вн, Andrey (??), 14:32 , 09-Фев-23, (6)

gt оверквотинг удален Вот так будет ACL выглядеть ip access-list extended ACL-, pogreb (ok), 14:39 , 09-Фев-23, (7)

gt оверквотинг удален Потому, что это обратная маска Если у вас проблема с эт, Andrey (??), 15:03 , 09-Фев-23, (8)

gt оверквотинг удален ДА, ошибку нашел ACL теперь выглядит такip access-list e, pogreb (ok), 15:59 , 09-Фев-23, (9)

gt оверквотинг удален Правильно ли я настроил то, что хочу реализовать Я со св, pogreb (ok), 16:43 , 09-Фев-23, (10) +1

gt оверквотинг удален No, in ACL first you have to deny traffic for LAN then a, kd (??), 08:28 , 10-Фев-23, (11) +2

gt оверквотинг удален Вот за это спасибо большое Трафик пришел туда куда нужн, pogreb (ok), 10:44 , 10-Фев-23, (12) +1
gt оверквотинг удален 1 no, for network you have to do so deny ip 10 43 79 0 , kd (??), 15:15 , 10-Фев-23, (13) +1
gt оверквотинг удален Спасибо за ответ, pogreb (ok), 13:20 , 13-Фев-23, (15)

Закономерно, т к вы это правило добащили в таблицу маршрутизации, и оно значит , Licha Morada (ok), 00:54 , 11-Фев-23, (14) //

gt оверквотинг удален Спасибо за разъяснение, pogreb (ok), 13:20 , 13-Фев-23, (16)

gt оверквотинг удален Подскажите, пожалуйста, еще раз Делаю ACL для сетейdeny , pogreb (ok), 16:39 , 10-Мрт-23, (17)

gt оверквотинг удален 1 Наконец понять что такое wildcard и прямая маска 2 , Andrey (??), 17:10 , 10-Мрт-23, (18)

gt оверквотинг удален Подскажите, пожалуйста, по новому косяку После всех выше, pogreb (ok), 10:16 , 23-Мрт-23, (19)

gt оверквотинг удален Подскажите, пожалуйста, с моим вопросом, pogreb (ok), 11:12 , 24-Мрт-23, (20)

gt оверквотинг удален PBR, судя по всему, работает А причины некорректной раб, Andrey (??), 12:18 , 24-Мрт-23, (21)

Сообщения [Сортировка по времени | RSS]

3. "Создать корректный маршрут" +/–

Сообщение от pogreb (ok), 09-Фев-23, 11:17

>[оверквотинг удален]
>> Гуглите как делать "policy based routing" конкретно для Cisco. По моему надо
>> создать route-map с условием какой IP у отправителя и next-hop желаемого
>> шлюза.
>> В FortiGate100D никаких спец. маршрутов не надо, если каждый VDOM к своему
>> провайдеру подключён.
> Тех поддержка Фортигейта ушла из России.
> Я на 3850 прописал маршрут для своего ПК
> 10.43.79.2/32 via 10.3.0.130 и у меня вся сеть отвалилась
> Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли
> она проц на моей 3850. Мнения разные.
правильные ли мои настройки PBR на 3850?
distrib#sh run int vlan 437
interface Vlan437
description IT
ip address 10.43.79.1 255.255.255.0
ip helper-address 10.3.0.23
end
###Настройки
conf t
ip access-list extended ACL-ROOT
permit ip any 10.43.72.2 255.255.255.255

route-map ROOT
match ip address ACL-ROOT
set ip next-hop 10.3.0.130

Ответить | Правка | Наверх | Cообщить модератору

4. "Создать корректный маршрут" +/–

Сообщение от na (??), 09-Фев-23, 11:38

>[оверквотинг удален]
>  ip address 10.43.79.1 255.255.255.0
>  ip helper-address 10.3.0.23
> end
> ###Настройки
> conf t
> ip access-list extended ACL-ROOT
> permit ip any 10.43.72.2 255.255.255.255
> route-map ROOT
> match ip address ACL-ROOT
> set ip next-hop 10.3.0.130
conf t
int vlan437
ip policy route-map ROOT
end

Ответить | Правка | Наверх | Cообщить модератору

5. "Создать корректный маршрут" +/–

Сообщение от pogreb (ok), 09-Фев-23, 13:55

>[оверквотинг удален]
>> conf t
>> ip access-list extended ACL-ROOT
>> permit ip any 10.43.72.2 255.255.255.255
>> route-map ROOT
>> match ip address ACL-ROOT
>> set ip next-hop 10.3.0.130
> conf t
> int vlan437
> ip policy route-map ROOT
> end
Сделал PBR и сеть у меня полностью отвалилась, т.к. все пакеты побежали на Фортигейт, даже внутренний портал отвалился, как и доступ к 3850.
Получается мне на Фортигейте нужно маршруты прописывать? Какие?
https://dropmefiles.com/BqStE  добавил уровень распределения и сервера в схему

Ответить | Правка | Наверх | Cообщить модератору

6. "Создать корректный маршрут" +/–

Сообщение от Andrey (??), 09-Фев-23, 14:32

>[оверквотинг удален]
>>> match ip address ACL-ROOT
>>> set ip next-hop 10.3.0.130
>> conf t
>> int vlan437
>> ip policy route-map ROOT
>> end
> Сделал PBR и сеть у меня полностью отвалилась, т.к. все пакеты побежали
> на Фортигейт, даже внутренний портал отвалился, как и доступ к 3850.
> Получается мне на Фортигейте нужно маршруты прописывать? Какие?
> https://dropmefiles.com/BqStE  добавил уровень распределения и сервера в схему
У вас в PBR используется Extended ACL.
Исключите в ACL внутренние подсети.

Ответить | Правка | Наверх | Cообщить модератору

7. "Создать корректный маршрут" +/–

Сообщение от pogreb (ok), 09-Фев-23, 14:39

>[оверквотинг удален]
>>> conf t
>>> int vlan437
>>> ip policy route-map ROOT
>>> end
>> Сделал PBR и сеть у меня полностью отвалилась, т.к. все пакеты побежали
>> на Фортигейт, даже внутренний портал отвалился, как и доступ к 3850.
>> Получается мне на Фортигейте нужно маршруты прописывать? Какие?
>> https://dropmefiles.com/BqStE  добавил уровень распределения и сервера в схему
> У вас в PBR используется Extended ACL.
> Исключите в ACL внутренние подсети.
Вот так будет ACL выглядеть?
ip access-list extended ACL-ROOT
permit ip any 10.43.79.2 255.255.255.255
deny ip any 10.0.0.0 0.0.0.255
deny ip any 172.16.0.0 0.0.240.255
deny ip any 192.168.0.0 0.0.255.255
Почему то мой ACL
строку permit ip any 10.43.79.2 255.255.255.255 превратил в permit ip any any
Extended IP access list ACL-ROOT
    10 permit ip any any
    20 deny ip any 10.0.0.0 0.0.0.255
    30 deny ip any 172.16.0.0 0.0.240.255
    40 deny ip any 192.168.0.0 0.0.255.255

Ответить | Правка | Наверх | Cообщить модератору

8. "Создать корректный маршрут" +/–

Сообщение от Andrey (??), 09-Фев-23, 15:03

>[оверквотинг удален]
> deny ip any 10.0.0.0 0.0.0.255
> deny ip any 172.16.0.0 0.0.240.255
> deny ip any 192.168.0.0 0.0.255.255
> Почему то мой ACL
> строку permit ip any 10.43.79.2 255.255.255.255 превратил в permit ip any any
> Extended IP access list ACL-ROOT
>     10 permit ip any any
>     20 deny ip any 10.0.0.0 0.0.0.255
>     30 deny ip any 172.16.0.0 0.0.240.255
>     40 deny ip any 192.168.0.0 0.0.255.255
Потому, что это обратная маска.
Если у вас проблема с этим понятием, тогда попробуйте использовать в ACL ключевое слово host.

Ответить | Правка | Наверх | Cообщить модератору

9. "Создать корректный маршрут" +/–

Сообщение от pogreb (ok), 09-Фев-23, 15:59

>[оверквотинг удален]
>> Почему то мой ACL
>> строку permit ip any 10.43.79.2 255.255.255.255 превратил в permit ip any any
>> Extended IP access list ACL-ROOT
>>     10 permit ip any any
>>     20 deny ip any 10.0.0.0 0.0.0.255
>>     30 deny ip any 172.16.0.0 0.0.240.255
>>     40 deny ip any 192.168.0.0 0.0.255.255
> Потому, что это обратная маска.
> Если у вас проблема с этим понятием, тогда попробуйте использовать в ACL
> ключевое слово host.
ДА, ошибку нашел.
ACL теперь выглядит так
ip access-list extended ACL-ROOT
permit ip host 10.43.79.2 any
deny ip any 10.0.0.0 0.255.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 192.168.0.0 0.0.255.255

При использовании ACL выше, отваливается сеть. Недоступны ни интернет ни внутренние ресурсы
На Фотригейте следующие маршруты
10.0.0.0/8 10.3.0.254 Internal Root (port1) Enabled
0.0.0.0/0 SD-WAN Enabled
172.16.233.0/24 10.3.0.254 Internal Root (port1) Enabled
192.168.24.0/23 10.3.0.254 Internal Root (port1) Enabled
10.3.0.0/24 10.3.0.254 Internal Root (port1) Enabled
10.45.5.0/24 10.3.0.254 Internal Root (port1) Enabled

Ответить | Правка | Наверх | Cообщить модератору

10. "Создать корректный маршрут" +1 +/–

Сообщение от pogreb (ok), 09-Фев-23, 16:43

>[оверквотинг удален]
> deny ip any 172.16.0.0 0.15.255.255
> deny ip any 192.168.0.0 0.0.255.255
> При использовании ACL выше, отваливается сеть. Недоступны ни интернет ни внутренние ресурсы
> На Фотригейте следующие маршруты
> 10.0.0.0/8 10.3.0.254 Internal Root (port1) Enabled
> 0.0.0.0/0 SD-WAN Enabled
> 172.16.233.0/24 10.3.0.254 Internal Root (port1) Enabled
> 192.168.24.0/23 10.3.0.254 Internal Root (port1) Enabled
> 10.3.0.0/24 10.3.0.254 Internal Root (port1) Enabled
> 10.45.5.0/24 10.3.0.254 Internal Root (port1) Enabled
Правильно ли я настроил то, что хочу реализовать?
Я со своего ПК (10.43.79.2) хочу получить выход в Интернет через 10.3.0.130, мой запрос проходит через route-map, далее сверяется с ACL и видно что хочу гугл - меня бросает на хоп 10.3.0.130.
Если же я хочу доступ к внутреннему серверу 1с, то при сверке с ACL я натыкаюсь на deny и меня должно пропустить по имеющимся маршрутам.
Все так?
ЗЫ: И точно ли в моей схеме, мне нужно маршрут делать на 3850?

Ответить | Правка | Наверх | Cообщить модератору

11. "Создать корректный маршрут" +2 +/–

Сообщение от kd (??), 10-Фев-23, 08:28

>[оверквотинг удален]
> Правильно ли я настроил то, что хочу реализовать?
> Я со своего ПК (10.43.79.2) хочу получить выход в Интернет через 10.3.0.130,
> мой запрос проходит через route-map, далее сверяется с ACL и видно
> что хочу гугл - меня бросает на хоп 10.3.0.130.
> Если же я хочу доступ к внутреннему серверу 1с, то при сверке
> с ACL я натыкаюсь на deny и меня должно пропустить по
> имеющимся маршрутам.
> Все так?
> ЗЫ: И точно ли в моей схеме, мне нужно маршрут делать на
> 3850?
No, in ACL first you have to deny traffic for LAN then allow for Inet, like
!
ip access-list extended ACL-ROOT
deny ip host 10.43.79.2 10.0.0.0 0.255.255.255
deny ip host 10.43.79.2 172.16.0.0 0.15.255.255
deny ip host 10.43.79.2 192.168.0.0 0.0.255.255
!... deny also to internal white IPs/Networks if you have such
!... etc
permit ip host 10.43.79.2 any
!
end

Ответить | Правка | Наверх | Cообщить модератору

12. "Создать корректный маршрут" +1 +/–

Сообщение от pogreb (ok), 10-Фев-23, 10:44

>[оверквотинг удален]
> !
> ip access-list extended ACL-ROOT
> deny ip host 10.43.79.2 10.0.0.0 0.255.255.255
> deny ip host 10.43.79.2 172.16.0.0 0.15.255.255
> deny ip host 10.43.79.2 192.168.0.0 0.0.255.255
> !... deny also to internal white IPs/Networks if you have such
> !... etc
> permit ip host 10.43.79.2 any
> !
> end
Вот за это спасибо большое. Трафик пришел туда куда нужно.
PS: Если я захочу сети добавить, то правило будет так выглядеть?
deny ip 10.43.79.2 255.255.255.0 10.0.0.0 0.255.255.255
deny ip 10.43.79.2 255.255.255.0 172.16.0.0 0.15.255.255
deny ip 10.43.79.2 255.255.255.0 192.168.0.0 0.0.255.255
permit ip 10.43.79.2 255.255.255.0 any
И еще вопрос по правильности. Чтобы мне не добавлять все внутренние сети (по RFC) в правиле, как мне правильнее сделать?
Нужен ACL который из всех внутренних сетей будет делать deny на все внутренние сети, а nex hop делать, только если запрос вышел за пределы RFC
deny ip 10.0.0.0 255.0.0.0 10.0.0.0 0.255.255.255
deny ip 172.16.0.0 255.240.0.0 172.16.0.0 0.15.255.255
deny ip 192.168.0.0 255.255.0.0 192.168.0.0 0.0.255.255
permit ip 10.43.79.2 255.255.255.0 any
Разрешающие сети я бы все таки каждую отдельно добавил

Ответить | Правка | Наверх | Cообщить модератору

13. "Создать корректный маршрут" +1 +/–

Сообщение от kd (??), 10-Фев-23, 15:15

>[оверквотинг удален]
> И еще вопрос по правильности. Чтобы мне не добавлять все внутренние сети
> (по RFC) в правиле, как мне правильнее сделать?
> Нужен ACL который из всех внутренних сетей будет делать deny на все
> внутренние сети, а nex hop делать, только если запрос вышел за
> пределы RFC
> deny ip 10.0.0.0 255.0.0.0 10.0.0.0 0.255.255.255
> deny ip 172.16.0.0 255.240.0.0 172.16.0.0 0.15.255.255
> deny ip 192.168.0.0 255.255.0.0 192.168.0.0 0.0.255.255
> permit ip 10.43.79.2 255.255.255.0 any
> Разрешающие сети я бы все таки каждую отдельно добавил
1. no, for network you have to do so
deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255
deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 10.43.79.2 255.255.255.0 any
2. no. you have to defain 3x3 rules if you want to deny traffic between all rfc1918 nets, like
deny from 10 to 10
deny from 10 to 172
deny from 10 to 192
deny from 172 to 10
...
...
...
but in general (it really depends on your network setup), you can do
deny from any to 10
deny from any to 172
deny from any to 192
then
allow from your net to any
...
something like that

Ответить | Правка | Наверх | Cообщить модератору

15. "Создать корректный маршрут" +/–

Сообщение от pogreb (ok), 13-Фев-23, 13:20

>[оверквотинг удален]
> ...
> but in general (it really depends on your network setup), you can
> do
> deny from any to 10
> deny from any to 172
> deny from any to 192
> then
> allow from your net to any
> ...
> something like that
Спасибо за ответ

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	3. "Создать корректный маршрут"	+/–
	Сообщение от pogreb (ok), 09-Фев-23, 11:17
	>[оверквотинг удален] >> Гуглите как делать "policy based routing" конкретно для Cisco. По моему надо >> создать route-map с условием какой IP у отправителя и next-hop желаемого >> шлюза. >> В FortiGate100D никаких спец. маршрутов не надо, если каждый VDOM к своему >> провайдеру подключён. > Тех поддержка Фортигейта ушла из России. > Я на 3850 прописал маршрут для своего ПК > 10.43.79.2/32 via 10.3.0.130 и у меня вся сеть отвалилась > Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли > она проц на моей 3850. Мнения разные. правильные ли мои настройки PBR на 3850? distrib#sh run int vlan 437 interface Vlan437 description IT ip address 10.43.79.1 255.255.255.0 ip helper-address 10.3.0.23 end ###Настройки conf t ip access-list extended ACL-ROOT permit ip any 10.43.72.2 255.255.255.255 route-map ROOT match ip address ACL-ROOT set ip next-hop 10.3.0.130
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Создать корректный маршрут"	+/–
	Сообщение от na (??), 09-Фев-23, 11:38
	>[оверквотинг удален] > ip address 10.43.79.1 255.255.255.0 > ip helper-address 10.3.0.23 > end > ###Настройки > conf t > ip access-list extended ACL-ROOT > permit ip any 10.43.72.2 255.255.255.255 > route-map ROOT > match ip address ACL-ROOT > set ip next-hop 10.3.0.130 conf t int vlan437 ip policy route-map ROOT end
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Создать корректный маршрут"	+/–
	Сообщение от pogreb (ok), 09-Фев-23, 13:55
	>[оверквотинг удален] >> conf t >> ip access-list extended ACL-ROOT >> permit ip any 10.43.72.2 255.255.255.255 >> route-map ROOT >> match ip address ACL-ROOT >> set ip next-hop 10.3.0.130 > conf t > int vlan437 > ip policy route-map ROOT > end Сделал PBR и сеть у меня полностью отвалилась, т.к. все пакеты побежали на Фортигейт, даже внутренний портал отвалился, как и доступ к 3850. Получается мне на Фортигейте нужно маршруты прописывать? Какие? https://dropmefiles.com/BqStE добавил уровень распределения и сервера в схему
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Создать корректный маршрут"	+/–
	Сообщение от Andrey (??), 09-Фев-23, 14:32
	>[оверквотинг удален] >>> match ip address ACL-ROOT >>> set ip next-hop 10.3.0.130 >> conf t >> int vlan437 >> ip policy route-map ROOT >> end > Сделал PBR и сеть у меня полностью отвалилась, т.к. все пакеты побежали > на Фортигейт, даже внутренний портал отвалился, как и доступ к 3850. > Получается мне на Фортигейте нужно маршруты прописывать? Какие? > https://dropmefiles.com/BqStE добавил уровень распределения и сервера в схему У вас в PBR используется Extended ACL. Исключите в ACL внутренние подсети.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Создать корректный маршрут"	+/–
	Сообщение от pogreb (ok), 09-Фев-23, 14:39
	>[оверквотинг удален] >>> conf t >>> int vlan437 >>> ip policy route-map ROOT >>> end >> Сделал PBR и сеть у меня полностью отвалилась, т.к. все пакеты побежали >> на Фортигейт, даже внутренний портал отвалился, как и доступ к 3850. >> Получается мне на Фортигейте нужно маршруты прописывать? Какие? >> https://dropmefiles.com/BqStE добавил уровень распределения и сервера в схему > У вас в PBR используется Extended ACL. > Исключите в ACL внутренние подсети. Вот так будет ACL выглядеть? ip access-list extended ACL-ROOT permit ip any 10.43.79.2 255.255.255.255 deny ip any 10.0.0.0 0.0.0.255 deny ip any 172.16.0.0 0.0.240.255 deny ip any 192.168.0.0 0.0.255.255 Почему то мой ACL строку permit ip any 10.43.79.2 255.255.255.255 превратил в permit ip any any Extended IP access list ACL-ROOT 10 permit ip any any 20 deny ip any 10.0.0.0 0.0.0.255 30 deny ip any 172.16.0.0 0.0.240.255 40 deny ip any 192.168.0.0 0.0.255.255
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Создать корректный маршрут"	+/–
	Сообщение от Andrey (??), 09-Фев-23, 15:03
	>[оверквотинг удален] > deny ip any 10.0.0.0 0.0.0.255 > deny ip any 172.16.0.0 0.0.240.255 > deny ip any 192.168.0.0 0.0.255.255 > Почему то мой ACL > строку permit ip any 10.43.79.2 255.255.255.255 превратил в permit ip any any > Extended IP access list ACL-ROOT > 10 permit ip any any > 20 deny ip any 10.0.0.0 0.0.0.255 > 30 deny ip any 172.16.0.0 0.0.240.255 > 40 deny ip any 192.168.0.0 0.0.255.255 Потому, что это обратная маска. Если у вас проблема с этим понятием, тогда попробуйте использовать в ACL ключевое слово host.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Создать корректный маршрут"	+/–
	Сообщение от pogreb (ok), 09-Фев-23, 15:59
	>[оверквотинг удален] >> Почему то мой ACL >> строку permit ip any 10.43.79.2 255.255.255.255 превратил в permit ip any any >> Extended IP access list ACL-ROOT >> 10 permit ip any any >> 20 deny ip any 10.0.0.0 0.0.0.255 >> 30 deny ip any 172.16.0.0 0.0.240.255 >> 40 deny ip any 192.168.0.0 0.0.255.255 > Потому, что это обратная маска. > Если у вас проблема с этим понятием, тогда попробуйте использовать в ACL > ключевое слово host. ДА, ошибку нашел. ACL теперь выглядит так ip access-list extended ACL-ROOT permit ip host 10.43.79.2 any deny ip any 10.0.0.0 0.255.255.255 deny ip any 172.16.0.0 0.15.255.255 deny ip any 192.168.0.0 0.0.255.255 При использовании ACL выше, отваливается сеть. Недоступны ни интернет ни внутренние ресурсы На Фотригейте следующие маршруты 10.0.0.0/8 10.3.0.254 Internal Root (port1) Enabled 0.0.0.0/0 SD-WAN Enabled 172.16.233.0/24 10.3.0.254 Internal Root (port1) Enabled 192.168.24.0/23 10.3.0.254 Internal Root (port1) Enabled 10.3.0.0/24 10.3.0.254 Internal Root (port1) Enabled 10.45.5.0/24 10.3.0.254 Internal Root (port1) Enabled
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Создать корректный маршрут"	+1 +/–
	Сообщение от pogreb (ok), 09-Фев-23, 16:43
	>[оверквотинг удален] > deny ip any 172.16.0.0 0.15.255.255 > deny ip any 192.168.0.0 0.0.255.255 > При использовании ACL выше, отваливается сеть. Недоступны ни интернет ни внутренние ресурсы > На Фотригейте следующие маршруты > 10.0.0.0/8 10.3.0.254 Internal Root (port1) Enabled > 0.0.0.0/0 SD-WAN Enabled > 172.16.233.0/24 10.3.0.254 Internal Root (port1) Enabled > 192.168.24.0/23 10.3.0.254 Internal Root (port1) Enabled > 10.3.0.0/24 10.3.0.254 Internal Root (port1) Enabled > 10.45.5.0/24 10.3.0.254 Internal Root (port1) Enabled Правильно ли я настроил то, что хочу реализовать? Я со своего ПК (10.43.79.2) хочу получить выход в Интернет через 10.3.0.130, мой запрос проходит через route-map, далее сверяется с ACL и видно что хочу гугл - меня бросает на хоп 10.3.0.130. Если же я хочу доступ к внутреннему серверу 1с, то при сверке с ACL я натыкаюсь на deny и меня должно пропустить по имеющимся маршрутам. Все так? ЗЫ: И точно ли в моей схеме, мне нужно маршрут делать на 3850?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Создать корректный маршрут"	+2 +/–
	Сообщение от kd (??), 10-Фев-23, 08:28
	>[оверквотинг удален] > Правильно ли я настроил то, что хочу реализовать? > Я со своего ПК (10.43.79.2) хочу получить выход в Интернет через 10.3.0.130, > мой запрос проходит через route-map, далее сверяется с ACL и видно > что хочу гугл - меня бросает на хоп 10.3.0.130. > Если же я хочу доступ к внутреннему серверу 1с, то при сверке > с ACL я натыкаюсь на deny и меня должно пропустить по > имеющимся маршрутам. > Все так? > ЗЫ: И точно ли в моей схеме, мне нужно маршрут делать на > 3850? No, in ACL first you have to deny traffic for LAN then allow for Inet, like ! ip access-list extended ACL-ROOT deny ip host 10.43.79.2 10.0.0.0 0.255.255.255 deny ip host 10.43.79.2 172.16.0.0 0.15.255.255 deny ip host 10.43.79.2 192.168.0.0 0.0.255.255 !... deny also to internal white IPs/Networks if you have such !... etc permit ip host 10.43.79.2 any ! end
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Создать корректный маршрут"	+1 +/–
	Сообщение от pogreb (ok), 10-Фев-23, 10:44
	>[оверквотинг удален] > ! > ip access-list extended ACL-ROOT > deny ip host 10.43.79.2 10.0.0.0 0.255.255.255 > deny ip host 10.43.79.2 172.16.0.0 0.15.255.255 > deny ip host 10.43.79.2 192.168.0.0 0.0.255.255 > !... deny also to internal white IPs/Networks if you have such > !... etc > permit ip host 10.43.79.2 any > ! > end Вот за это спасибо большое. Трафик пришел туда куда нужно. PS: Если я захочу сети добавить, то правило будет так выглядеть? deny ip 10.43.79.2 255.255.255.0 10.0.0.0 0.255.255.255 deny ip 10.43.79.2 255.255.255.0 172.16.0.0 0.15.255.255 deny ip 10.43.79.2 255.255.255.0 192.168.0.0 0.0.255.255 permit ip 10.43.79.2 255.255.255.0 any И еще вопрос по правильности. Чтобы мне не добавлять все внутренние сети (по RFC) в правиле, как мне правильнее сделать? Нужен ACL который из всех внутренних сетей будет делать deny на все внутренние сети, а nex hop делать, только если запрос вышел за пределы RFC deny ip 10.0.0.0 255.0.0.0 10.0.0.0 0.255.255.255 deny ip 172.16.0.0 255.240.0.0 172.16.0.0 0.15.255.255 deny ip 192.168.0.0 255.255.0.0 192.168.0.0 0.0.255.255 permit ip 10.43.79.2 255.255.255.0 any Разрешающие сети я бы все таки каждую отдельно добавил
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Создать корректный маршрут"	+1 +/–
	Сообщение от kd (??), 10-Фев-23, 15:15
	>[оверквотинг удален] > И еще вопрос по правильности. Чтобы мне не добавлять все внутренние сети > (по RFC) в правиле, как мне правильнее сделать? > Нужен ACL который из всех внутренних сетей будет делать deny на все > внутренние сети, а nex hop делать, только если запрос вышел за > пределы RFC > deny ip 10.0.0.0 255.0.0.0 10.0.0.0 0.255.255.255 > deny ip 172.16.0.0 255.240.0.0 172.16.0.0 0.15.255.255 > deny ip 192.168.0.0 255.255.0.0 192.168.0.0 0.0.255.255 > permit ip 10.43.79.2 255.255.255.0 any > Разрешающие сети я бы все таки каждую отдельно добавил 1. no, for network you have to do so deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255 deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255 deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255 permit ip 10.43.79.2 255.255.255.0 any 2. no. you have to defain 3x3 rules if you want to deny traffic between all rfc1918 nets, like deny from 10 to 10 deny from 10 to 172 deny from 10 to 192 deny from 172 to 10 ... ... ... but in general (it really depends on your network setup), you can do deny from any to 10 deny from any to 172 deny from any to 192 then allow from your net to any ... something like that
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Создать корректный маршрут"	+/–
	Сообщение от pogreb (ok), 13-Фев-23, 13:20
	>[оверквотинг удален] > ... > but in general (it really depends on your network setup), you can > do > deny from any to 10 > deny from any to 172 > deny from any to 192 > then > allow from your net to any > ... > something like that Спасибо за ответ
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору