forum.opennet.ru - "не работает policy routing на 6509 " (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"не работает policy routing на 6509 "

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"не работает policy routing на 6509 "
Сообщение от ilya (ok) on 29-Дек-08, 10:38
Нужно весь хттп-трафик завернуть принудительно за проксю. Но никаких попаданий в acl нет, полиси роутинг не отрабатывает. Железка 6509 c sup32. Аналогичную схему собрал на 7200, все отрабатывает на ура. Включить дебаг на железке пока нет возможности. Может быть что-то еще нужно включить на sup32 что бы заработал полиси роутинг? Cisco Internetwork Operating System Software IOS (tm) s3223_rp Software (s3223_rp-ADVIPSERVICESK9_WAN-M), Version 12.2(18)SXF9, RELEASE SOFTWARE (fc1) WS-SUP32-GE-3B interface Vlan100 ###Интерфейс в Интернет######## ip address 172.16.100.2 255.255.255.248 no ip proxy-arp ip policy route-map pbr_map_from_inet interface Vlan1606 ###Интерфейс в локалку######## ip address 172.16.101.1 255.255.255.0 ip policy route-map pbr_map_to_inet ip access-list extended pbr_acl_from_inet permit tcp any eq www host 172.16.100.15 permit tcp any eq 443 host 172.16.100.15 permit tcp any eq ftp host 172.16.100.15 ip access-list extended pbr_acl_to_inet permit tcp host 172.16.100.15 any eq www permit tcp host 172.16.100.15 any eq 443 permit tcp host 172.16.100.15 any eq ftp route-map pbr_map_to_inet permit 10 match ip address pbr_acl_to_inet set ip default next-hop 172.16.10.68 ! route-map pbr_map_from_inet permit 10 match ip address pbr_acl_from_inet set ip next-hop 172.16.10.132
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

не работает policy routing на 6509 , avallac, 00:23 , 30-Дек-08, (1)

не работает policy routing на 6509 , sh_, 10:07 , 30-Дек-08, (2)

не работает policy routing на 6509 , avallac, 10:11 , 30-Дек-08, (3)

не работает policy routing на 6509 , ilya, 09:23 , 13-Янв-09, (4)

не работает policy routing на 6509 , rumochnaya, 09:45 , 13-Янв-09, (5)
не работает policy routing на 6509 , avallac, 19:36 , 13-Янв-09, (8)

не работает policy routing на 6509 , sh_, 10:06 , 13-Янв-09, (6)

не работает policy routing на 6509 , avallac, 19:31 , 13-Янв-09, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "не работает policy routing на 6509 "

Сообщение от avallac on 30-Дек-08, 00:23

7200 - Маршрутизатор
6500 - Свитч
Чувствуешь разницу, счетчики acl на свиче не должны расти, только если он не гонит трафик через центральный проц. Но при этом он должен работать. В свое время мне удавалось запустить WCCP на 7606. Это более красивое решение, чем вот так вот грубо мапить.
И это... твой IP в Acl - 172.16.100.15.
У тебя
interface Vlan100
ip address 172.16.100.2 255.255.255.248
Значит как ни крути, но получается, что 172.16.100.15 - бродкаст.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "не работает policy routing на 6509 "

Сообщение от sh_ (??) on 30-Дек-08, 10:07

>У тебя
>interface Vlan100
>ip address 172.16.100.2 255.255.255.248
>Значит как ни крути, но получается, что 172.16.100.15 - бродкаст.
Это шутко такое?
2ilya
А пакетеги приходят на прокси? Что сниффер показывает? И почему next-hop разные для входящего и исходящего трафегов?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "не работает policy routing на 6509 "

Сообщение от avallac on 30-Дек-08, 10:11

>
>Это шутко такое?
>
А ты сам посчитай. 172.16.100.0/29 занят. Значит следующие сети с маской или /29 или /30.
172.16.100.8/29 (Broadcast 172.16.100.15)
или 172.16.100.8/30 + 172.16.100.12/30 (Broadcast 172.16.100.15)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "не работает policy routing на 6509 "

Сообщение от ilya (ok) on 13-Янв-09, 09:23

>>
>>Это шутко такое?
>>
>
>А ты сам посчитай. 172.16.100.0/29 занят. Значит следующие сети с маской или
>/29 или /30.
>172.16.100.8/29 (Broadcast 172.16.100.15)
>или 172.16.100.8/30 + 172.16.100.12/30 (Broadcast 172.16.100.15)
to: avallac
Ошибки с адресами не смотрите - я ошибся при чистке примера (небольшая паранояc ;)).
Про полиси роутинг на свиче - ну свич свичу рознь. Я доверяю циска фича нафигатору в котором говорится что на sup32 PBR есть.
to: sh_
самое интересное что оно вроде даже работает. Т.е. трафик заворачивается на проксю. Я просто проверял через sh acl, перед НГ не успел посмотреть что на проксе творится. Сейчас трафик идет через проксю как и прописано в полиси роутинге. Но counters в acl не увеличивается (точнее там все по нулям), в sh route-map тоже нули.
Почему разные интерфейсы - там хитрая прокся - у нее два интерфейса (внутренний, внешний) т.к. по хорошему должна ставиться в разрыв. Но не получается, приходится делать разный изврат.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "не работает policy routing на 6509 "

Сообщение от rumochnaya (??) on 13-Янв-09, 09:45

>[оверквотинг удален]
>
>to: sh_
>самое интересное что оно вроде даже работает. Т.е. трафик заворачивается на проксю.
>Я просто проверял через sh acl, перед НГ не успел посмотреть
>что на проксе творится. Сейчас трафик идет через проксю как и
>прописано в полиси роутинге. Но counters в acl не увеличивается (точнее
>там все по нулям), в sh route-map тоже нули.
>Почему разные интерфейсы - там хитрая прокся - у нее два интерфейса
>(внутренний, внешний) т.к. по хорошему должна ставиться в разрыв. Но не
>получается, приходится делать разный изврат.
Я даже тикет заводил в Циско-саппорте по поводу неприбывающих каунтеров в АЦЛ.
Циска сказала, что это фича-баг, и на функциональность сие не влияет, типа в ближайших ИОСах поправим, если руки дойдут.
А ПБР на sup32 действительно работает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "не работает policy routing на 6509 "

Сообщение от avallac on 13-Янв-09, 19:36

>
>to: avallac
>Ошибки с адресами не смотрите - я ошибся при чистке примера (небольшая
>паранояc ;)).
>Про полиси роутинг на свиче - ну свич свичу рознь. Я
>доверяю циска фича нафигатору в котором говорится что на sup32 PBR
>есть.
>
Я и говорил, что будет работать. Только свичи обычно каунтеры не рисуют, вот и все. И все же я вам рекомендовал бы WCCP ) Более красивая для этого технология.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "не работает policy routing на 6509 "

Сообщение от sh_ (??) on 13-Янв-09, 10:06

>>
>>Это шутко такое?
>>
>
>А ты сам посчитай. 172.16.100.0/29 занят. Значит следующие сети с маской или
>/29 или /30.
>172.16.100.8/29 (Broadcast 172.16.100.15)
>или 172.16.100.8/30 + 172.16.100.12/30 (Broadcast 172.16.100.15)
Вот примерчег:
(net 172.16.100.0/29)-R1-(net 10.0.0.0/30)-R2-(net 172.16.100.0/24)
Broadcast 172.16.100.15 отсутствует...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "не работает policy routing на 6509 "

Сообщение от avallac on 13-Янв-09, 19:31

>Вот примерчег:
>
>(net 172.16.100.0/29)-R1-(net 10.0.0.0/30)-R2-(net 172.16.100.0/24)
>
>Broadcast 172.16.100.15 отсутствует...
А потом такие ... кхм ... лезут на форум: "ОЙ!!! Циско - говно. Не работает". При такой сети я бы посоветовал вначале навести порядок в голове, а уже потом браться что-то настраивать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "не работает policy routing на 6509 "
Сообщение от avallac on 30-Дек-08, 00:23
7200 - Маршрутизатор 6500 - Свитч Чувствуешь разницу, счетчики acl на свиче не должны расти, только если он не гонит трафик через центральный проц. Но при этом он должен работать. В свое время мне удавалось запустить WCCP на 7606. Это более красивое решение, чем вот так вот грубо мапить. И это... твой IP в Acl - 172.16.100.15. У тебя interface Vlan100 ip address 172.16.100.2 255.255.255.248 Значит как ни крути, но получается, что 172.16.100.15 - бродкаст.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "не работает policy routing на 6509 "
	Сообщение от sh_ (??) on 30-Дек-08, 10:07
	>У тебя >interface Vlan100 >ip address 172.16.100.2 255.255.255.248 >Значит как ни крути, но получается, что 172.16.100.15 - бродкаст. Это шутко такое? 2ilya А пакетеги приходят на прокси? Что сниффер показывает? И почему next-hop разные для входящего и исходящего трафегов?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "не работает policy routing на 6509 "
	Сообщение от avallac on 30-Дек-08, 10:11
	> >Это шутко такое? > А ты сам посчитай. 172.16.100.0/29 занят. Значит следующие сети с маской или /29 или /30. 172.16.100.8/29 (Broadcast 172.16.100.15) или 172.16.100.8/30 + 172.16.100.12/30 (Broadcast 172.16.100.15)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "не работает policy routing на 6509 "
	Сообщение от ilya (ok) on 13-Янв-09, 09:23
	>> >>Это шутко такое? >> > >А ты сам посчитай. 172.16.100.0/29 занят. Значит следующие сети с маской или >/29 или /30. >172.16.100.8/29 (Broadcast 172.16.100.15) >или 172.16.100.8/30 + 172.16.100.12/30 (Broadcast 172.16.100.15) to: avallac Ошибки с адресами не смотрите - я ошибся при чистке примера (небольшая паранояc ;)). Про полиси роутинг на свиче - ну свич свичу рознь. Я доверяю циска фича нафигатору в котором говорится что на sup32 PBR есть. to: sh_ самое интересное что оно вроде даже работает. Т.е. трафик заворачивается на проксю. Я просто проверял через sh acl, перед НГ не успел посмотреть что на проксе творится. Сейчас трафик идет через проксю как и прописано в полиси роутинге. Но counters в acl не увеличивается (точнее там все по нулям), в sh route-map тоже нули. Почему разные интерфейсы - там хитрая прокся - у нее два интерфейса (внутренний, внешний) т.к. по хорошему должна ставиться в разрыв. Но не получается, приходится делать разный изврат.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "не работает policy routing на 6509 "
	Сообщение от rumochnaya (??) on 13-Янв-09, 09:45
	>[оверквотинг удален] > >to: sh_ >самое интересное что оно вроде даже работает. Т.е. трафик заворачивается на проксю. >Я просто проверял через sh acl, перед НГ не успел посмотреть >что на проксе творится. Сейчас трафик идет через проксю как и >прописано в полиси роутинге. Но counters в acl не увеличивается (точнее >там все по нулям), в sh route-map тоже нули. >Почему разные интерфейсы - там хитрая прокся - у нее два интерфейса >(внутренний, внешний) т.к. по хорошему должна ставиться в разрыв. Но не >получается, приходится делать разный изврат. Я даже тикет заводил в Циско-саппорте по поводу неприбывающих каунтеров в АЦЛ. Циска сказала, что это фича-баг, и на функциональность сие не влияет, типа в ближайших ИОСах поправим, если руки дойдут. А ПБР на sup32 действительно работает.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "не работает policy routing на 6509 "
	Сообщение от avallac on 13-Янв-09, 19:36
	> >to: avallac >Ошибки с адресами не смотрите - я ошибся при чистке примера (небольшая >паранояc ;)). >Про полиси роутинг на свиче - ну свич свичу рознь. Я >доверяю циска фича нафигатору в котором говорится что на sup32 PBR >есть. > Я и говорил, что будет работать. Только свичи обычно каунтеры не рисуют, вот и все. И все же я вам рекомендовал бы WCCP ) Более красивая для этого технология.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "не работает policy routing на 6509 "
	Сообщение от sh_ (??) on 13-Янв-09, 10:06
	>> >>Это шутко такое? >> > >А ты сам посчитай. 172.16.100.0/29 занят. Значит следующие сети с маской или >/29 или /30. >172.16.100.8/29 (Broadcast 172.16.100.15) >или 172.16.100.8/30 + 172.16.100.12/30 (Broadcast 172.16.100.15) Вот примерчег: (net 172.16.100.0/29)-R1-(net 10.0.0.0/30)-R2-(net 172.16.100.0/24) Broadcast 172.16.100.15 отсутствует...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "не работает policy routing на 6509 "
	Сообщение от avallac on 13-Янв-09, 19:31
	>Вот примерчег: > >(net 172.16.100.0/29)-R1-(net 10.0.0.0/30)-R2-(net 172.16.100.0/24) > >Broadcast 172.16.100.15 отсутствует... А потом такие ... кхм ... лезут на форум: "ОЙ!!! Циско - говно. Не работает". При такой сети я бы посоветовал вначале навести порядок в голове, а уже потом браться что-то настраивать.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]