1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс авг 03, 2025 02:52

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 11 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
CaHe:K
 Заголовок сообщения: 3627 и Policy based routing
СообщениеДобавлено: Вт дек 29, 2009 20:59 
Не в сети

Зарегистрирован: Сб июл 19, 2008 16:39
Сообщений: 21
Откуда: СПб
Пытаюсь настроить сабж как в примере из мануала (страница 171).
Проблема в том что при указании в ACL ИП отправителя все пакеты начинают идти на хоп указанный в PBR включая и пакеты предназначенные на локальные адреса.
Пробовал избавиться от этого прописав в ACL разрешающие правила для локальных адресов перед правилом для PBR, но не помогло.
Как правильно настроить все это дело?

Код:
# ACL
create access_profile profile_id 1 ip destination_ip_mask 255.240.0.0

config access_profile profile_id 1 add access_id 1 ip destination_ip 172.23.0.0  port 1-27 permit rx_rate no_limit

create access_profile profile_id 2 ip destination_ip_mask 255.255.0.0

config access_profile profile_id 2 add access_id 1 ip destination_ip 192.168.0.0  port 1-24 permit rx_rate no_limit

create access_profile profile_id 3 ip destination_ip_mask 255.0.0.0

config access_profile profile_id 3 add access_id 1 ip destination_ip 10.0.0.0  port 1-24 permit rx_rate no_limit

create access_profile profile_id 4 ip source_ip_mask 255.255.255.255

config access_profile profile_id 4 add access_id 1 ip source_ip 172.23.161.24  port 1-24 permit rx_rate no_limit


Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 30, 2009 00:09 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
После каждого permit правила на которое ссылается PBR добавьте ещё deny правило на тот же трафик. Это скорее всего происходит из-за того что ACL в этой серии из-за PBR как раз действуют не до первого совпадения а до первого deny. Покажите исходные ACL и PBR профили.
Вернуться наверх
 Профиль  
 
CaHe:K
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 30, 2009 01:17 
Не в сети

Зарегистрирован: Сб июл 19, 2008 16:39
Сообщений: 21
Откуда: СПб
Вот конфиг
Код:
# ACL


create access_profile profile_id 1 ip destination_ip_mask 255.240.0.0

config access_profile profile_id 1 add access_id 1 ip destination_ip 172.23.16.0  port 1-24 permit rx_rate no_limit

config access_profile profile_id 1 add access_id 2 ip destination_ip 172.23.16.0  port 1-24 deny

create access_profile profile_id 4 ip source_ip_mask 255.255.255.255

config access_profile profile_id 4 add access_id 1 ip source_ip 172.23.160.24  port 1-24 permit rx_rate no_limit

config access_profile profile_id 4 add access_id 2 ip source_ip 172.23.160.24  port 1-24 deny

# PROUTE


create policy_route name 111

config policy_route name 111 acl profile_id 4 access_id 1 nexthop 172.23.167.254 state enable



Четвертое правило в АЦЛ это клиент, первое локальные адреса.
ПБ правило соответственно настроено на АЦЛ 4-1.
И не работает, точнее пакеты в интернет уходят, а вот локальные бегают по кругу и помирают по ТТЛ.

ЗЫ: прошивка Build 2.50.B25
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 30, 2009 14:37 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Так конечно неправильно. У Вас же клиенты попадают под первое правило. Сначала нужно располагать более конкретные правила, потом более общие.


create access_profile profile_id 1 ip source_ip_mask 255.255.255.255
config access_profile profile_id 1 add access_id 1 ip source_ip 172.23.160.24 port 1-24 permit rx_rate no_limit
config access_profile profile_id 1 add access_id 2 ip source_ip 172.23.160.24 port 1-24 deny
create access_profile profile_id 2 ip destination_ip_mask 255.240.0.0
config access_profile profile_id 2 add access_id 1 ip destination_ip 172.23.16.0 port 1-24 permit rx_rate no_limit

create policy_route name 111
config policy_route name 111 acl profile_id 1 access_id 1 nexthop 172.23.167.254 state enable
Вернуться наверх
 Профиль  
 
CaHe:K
 Заголовок сообщения:
СообщениеДобавлено: Вт янв 12, 2010 22:29 
Не в сети

Зарегистрирован: Сб июл 19, 2008 16:39
Сообщений: 21
Откуда: СПб
Немного не так. первое правило определяет локальный траффик (проверяется destination IP). А второе уже конкретных клиентов (source IP)

# ACL

create access_profile profile_id 1 ip destination_ip_mask 255.240.0.0

config access_profile profile_id 1 add access_id 1 ip destination_ip 172.23.16.0 port 1-24 permit rx_rate no_limit

config access_profile profile_id 1 add access_id 2 ip destination_ip 172.23.16.0 port 1-24 deny

create access_profile profile_id 4 ip source_ip_mask 255.255.255.255

config access_profile profile_id 4 add access_id 1 ip source_ip 172.23.160.24 port 1-24 permit rx_rate no_limit

config access_profile profile_id 4 add access_id 2 ip source_ip 172.23.160.24 port 1-24 deny


# PROUTE

create policy_route name 111

config policy_route name 111 acl profile_id 4 access_id 1 nexthop 172.23.167.254 state enable

Проблема в том, что PBR более приоритетен чем любые другие роуты, включая роут на интерфейсе и статические роуты.

Вобщем, если у меня даже все не правильно, то напишите полный конфиг такой, чтобы определенный клиент роутился в инет через определенный шлюз и при этом имел доступ к локальным ресурсам, по статическим роутам.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вт янв 12, 2010 22:50 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
create access_profile profile_id 1 ip source_ip_mask 255.255.255.255 destination_ip_mask 255.240.0.0
config access_profile profile_id 1 add access_id 1 ip source_ip 172.23.160.24 destination_ip 172.23.16.0 port 1-24 permit rx_rate no_limit
config access_profile profile_id 1 add access_id 2 ip source_ip 172.23.160.24 destination_ip 172.23.16.0 port 1-24 deny
create access_profile profile_id 2 ip source_ip_mask 255.255.255.255
config access_profile profile_id 2 add access_id 1 ip source_ip 172.23.160.24 port 1-24 permit rx_rate no_limit
config access_profile profile_id 2 add access_id 2 ip source_ip 172.23.160.24 port 1-24 deny
create access_profile profile_id 3 ip destination_ip_mask 255.240.0.0
config access_profile profile_id 3 add access_id 1 ip destination_ip 172.23.16.0 port 1-24 permit rx_rate no_limit

create policy_route name 111
config policy_route name 111 acl profile_id 2 access_id 1 nexthop 172.23.167.254 state enable
Вернуться наверх
 Профиль  
 
kapa
 Заголовок сообщения:
СообщениеДобавлено: Ср янв 13, 2010 13:11 
Не в сети

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва
viewtopic.php?p=571916#571916
Вернуться наверх
 Профиль  
 
CaHe:K
 Заголовок сообщения:
СообщениеДобавлено: Чт янв 14, 2010 13:59 
Не в сети

Зарегистрирован: Сб июл 19, 2008 16:39
Сообщений: 21
Откуда: СПб
Почитал- грустно. Будем ждать исправления этих багов, если они будут.

Вообще вводные данные: локальная сеть, 2 провейдера интернета. У каждого провайдера свой шлюз в сети. Надо сделать так чтоб часть пользователей сети заруливалась на один шлюз, часть на другой. При этом сетевые настройки у всех должны быть одинаковые, т.е. шлюзом был 3627. Плюс статические роуты в соседние сети.
Если это нельзя сделать на 3627, то на каком можно?
Вернуться наверх
 Профиль  
 
kapa
 Заголовок сообщения:
СообщениеДобавлено: Пт янв 15, 2010 12:20 
Не в сети

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва
CaHe:K писал(а):
Почитал- грустно. Будем ждать исправления этих багов, если они будут.

Вообще вводные данные: локальная сеть, 2 провейдера интернета. У каждого провайдера свой шлюз в сети. Надо сделать так чтоб часть пользователей сети заруливалась на один шлюз, часть на другой. При этом сетевые настройки у всех должны быть одинаковые, т.е. шлюзом был 3627. Плюс статические роуты в соседние сети.
Если это нельзя сделать на 3627, то на каком можно?


Всё это делается на 3627, просто статические роуты тоже нужно в PBR дублировать.
Вернуться наверх
 Профиль  
 
CaHe:K
 Заголовок сообщения:
СообщениеДобавлено: Пт янв 15, 2010 17:23 
Не в сети

Зарегистрирован: Сб июл 19, 2008 16:39
Сообщений: 21
Откуда: СПб
прописывание всех роутов в пбр и сами пбр влияют на производительность сети?
Вернуться наверх
 Профиль  
 
kapa
 Заголовок сообщения:
СообщениеДобавлено: Пт янв 15, 2010 18:17 
Не в сети

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва
CaHe:K писал(а):
прописывание всех роутов в пбр и сами пбр влияют на производительность сети?

мы так какое-то время жили, пока не перенесли pbr на уровень выше.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 11 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 15

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB