forum.opennet.ru - "Создать корректный маршрут" (21)

"Создать корректный маршрут"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Создать корректный маршрут"	+/–
Сообщение от pogreb (ok), 08-Фев-23, 14:39
Коллеги, добрый день! Помогите, пожалуйста, в банальной задаче. Есть корпоративная сеть работающая на Cisco 3850 (Ядро), Cisco 2960 (DMZ) и Cisco ASA Схема подключения отражена в облаке, по ссылке https://dropmefiles.com/Yl9uv Задача: сделать для ПК маршрут таким образом, чтобы в Интернет выходить через IP адрес 10.3.0.130 (VDOM ROOT). В системе не было никаких настроек Прокси сервера. Сейчас все пользователи выходят через IP 10.3.0.244 (VDOM Proxy) Когда FortiGate100D внедряли никаких спец. маршрутов не делали. С ПК 10.343.79.2 адрес 10.3.0.130 пингуется C:\WINDOWS\system32>tracert 10.3.0.130 Трассировка маршрута к 10.3.0.130 с максимальным числом прыжков 30 1 2 ms 2 ms 1 ms 10.43.79.1 2 <1 мс <1 мс 1 ms 10.3.0.130 Трассировка завершена. C:\WINDOWS\system32>ipconfig Адаптер Ethernet Ethernet: DNS-суффикс подключения . . . . . : Локальный IPv6-адрес канала . . . : IPv4-адрес. . . . . . . . . . . . : 10.43.79.2 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз. . . . . . . . . : 10.43.79.1 Основной шлюз живет на Cisco 3850 Если я убираю настройки прокси сервера в системе и включаю снифер на 10.3.0.130, то никаких пакетов в принципе не приходит. Сейчас у юзеров прописан адрес прокси сервера 10.3.0.244 Мне нужно, чтобы никаких настроек прокси в системе у юзеров не было. Понимаю, что не всю инфу привел. Скажите какую я предоставлю.
Ответить \| Правка \| Cообщить модератору

Оглавление

Если надо как сейчас, но через другой VDOM , то пишите 10 3 0 130 в прокси и те, Licha Morada (ok), 02:31 , 09-Фев-23, (1)

gt оверквотинг удален Тех поддержка Фортигейта ушла из России Я на 3850 пропис, pogreb (ok), 08:50 , 09-Фев-23, (2)

gt оверквотинг удален правильные ли мои настройки PBR на 3850 distrib sh run i, pogreb (ok), 11:17 , 09-Фев-23, (3)

gt оверквотинг удален conf tint vlan437ip policy route-map ROOTend, na (??), 11:38 , 09-Фев-23, (4)

gt оверквотинг удален Сделал PBR и сеть у меня полностью отвалилась, т к все , pogreb (ok), 13:55 , 09-Фев-23, (5)

gt оверквотинг удален У вас в PBR используется Extended ACL Исключите в ACL вн, Andrey (??), 14:32 , 09-Фев-23, (6)

gt оверквотинг удален Вот так будет ACL выглядеть ip access-list extended ACL-, pogreb (ok), 14:39 , 09-Фев-23, (7)

gt оверквотинг удален Потому, что это обратная маска Если у вас проблема с эт, Andrey (??), 15:03 , 09-Фев-23, (8)

gt оверквотинг удален ДА, ошибку нашел ACL теперь выглядит такip access-list e, pogreb (ok), 15:59 , 09-Фев-23, (9)

gt оверквотинг удален Правильно ли я настроил то, что хочу реализовать Я со св, pogreb (ok), 16:43 , 09-Фев-23, (10) +1

gt оверквотинг удален No, in ACL first you have to deny traffic for LAN then a, kd (??), 08:28 , 10-Фев-23, (11) +2

gt оверквотинг удален Вот за это спасибо большое Трафик пришел туда куда нужн, pogreb (ok), 10:44 , 10-Фев-23, (12) +1
gt оверквотинг удален 1 no, for network you have to do so deny ip 10 43 79 0 , kd (??), 15:15 , 10-Фев-23, (13) +1
gt оверквотинг удален Спасибо за ответ, pogreb (ok), 13:20 , 13-Фев-23, (15)

Закономерно, т к вы это правило добащили в таблицу маршрутизации, и оно значит , Licha Morada (ok), 00:54 , 11-Фев-23, (14)

gt оверквотинг удален Спасибо за разъяснение, pogreb (ok), 13:20 , 13-Фев-23, (16)

gt оверквотинг удален Подскажите, пожалуйста, еще раз Делаю ACL для сетейdeny , pogreb (ok), 16:39 , 10-Мрт-23, (17)

gt оверквотинг удален 1 Наконец понять что такое wildcard и прямая маска 2 , Andrey (??), 17:10 , 10-Мрт-23, (18)

gt оверквотинг удален Подскажите, пожалуйста, по новому косяку После всех выше, pogreb (ok), 10:16 , 23-Мрт-23, (19)

gt оверквотинг удален Подскажите, пожалуйста, с моим вопросом, pogreb (ok), 11:12 , 24-Мрт-23, (20)

gt оверквотинг удален PBR, судя по всему, работает А причины некорректной раб, Andrey (??), 12:18 , 24-Мрт-23, (21)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Licha Morada (ok), 09-Фев-23, 02:31 +/–

> Основной шлюз живет на Cisco 3850
> Если я убираю настройки прокси сервера в системе и включаю снифер на
> 10.3.0.130, то никаких пакетов в принципе не приходит.
> Сейчас у юзеров прописан адрес прокси сервера 10.3.0.244
> Мне нужно, чтобы никаких настроек прокси в системе у юзеров не было.
Если надо "как сейчас, но через другой VDOM", то пишите 10.3.0.130 в прокси и тестируйте, если не заработает то тыкайте палкой саппорт Фортигейта.
Если же вам надо избавиться от прокси вообще, то надо как-то сказать Cisco 3850 что
если src_ip == 10.43.79.2/24
то 0.0.0.0/0 via 10.3.0.130
Гуглите как делать "policy based routing" конкретно для Cisco. По моему надо создать route-map с условием какой IP у отправителя и next-hop желаемого шлюза.
В FortiGate100D никаких спец. маршрутов не надо, если каждый VDOM к своему провайдеру подключён.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от pogreb (ok), 09-Фев-23, 08:50 +/–

>[оверквотинг удален]
> прокси и тестируйте, если не заработает то тыкайте палкой саппорт Фортигейта.
> Если же вам надо избавиться от прокси вообще, то надо как-то сказать
> Cisco 3850 что
> если src_ip == 10.43.79.2/24
> то 0.0.0.0/0 via 10.3.0.130
> Гуглите как делать "policy based routing" конкретно для Cisco. По моему надо
> создать route-map с условием какой IP у отправителя и next-hop желаемого
> шлюза.
> В FortiGate100D никаких спец. маршрутов не надо, если каждый VDOM к своему
> провайдеру подключён.
Тех поддержка Фортигейта ушла из России.
Я на 3850 прописал маршрут для своего ПК
10.43.79.2/32 via 10.3.0.130 и у меня вся сеть отвалилась
Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли она проц на моей 3850. Мнения разные.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3, #14

3. Сообщение от pogreb (ok), 09-Фев-23, 11:17 +/–

>[оверквотинг удален]
>> Гуглите как делать "policy based routing" конкретно для Cisco. По моему надо
>> создать route-map с условием какой IP у отправителя и next-hop желаемого
>> шлюза.
>> В FortiGate100D никаких спец. маршрутов не надо, если каждый VDOM к своему
>> провайдеру подключён.
> Тех поддержка Фортигейта ушла из России.
> Я на 3850 прописал маршрут для своего ПК
> 10.43.79.2/32 via 10.3.0.130 и у меня вся сеть отвалилась
> Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли
> она проц на моей 3850. Мнения разные.
правильные ли мои настройки PBR на 3850?
distrib#sh run int vlan 437
interface Vlan437
description IT
ip address 10.43.79.1 255.255.255.0
ip helper-address 10.3.0.23
end
###Настройки
conf t
ip access-list extended ACL-ROOT
permit ip any 10.43.72.2 255.255.255.255

route-map ROOT
match ip address ACL-ROOT
set ip next-hop 10.3.0.130

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #4

4. Сообщение от na (??), 09-Фев-23, 11:38 +/–

>[оверквотинг удален]
>  ip address 10.43.79.1 255.255.255.0
>  ip helper-address 10.3.0.23
> end
> ###Настройки
> conf t
> ip access-list extended ACL-ROOT
> permit ip any 10.43.72.2 255.255.255.255
> route-map ROOT
> match ip address ACL-ROOT
> set ip next-hop 10.3.0.130
conf t
int vlan437
ip policy route-map ROOT
end

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #5

5. Сообщение от pogreb (ok), 09-Фев-23, 13:55 +/–

>[оверквотинг удален]
>> conf t
>> ip access-list extended ACL-ROOT
>> permit ip any 10.43.72.2 255.255.255.255
>> route-map ROOT
>> match ip address ACL-ROOT
>> set ip next-hop 10.3.0.130
> conf t
> int vlan437
> ip policy route-map ROOT
> end
Сделал PBR и сеть у меня полностью отвалилась, т.к. все пакеты побежали на Фортигейт, даже внутренний портал отвалился, как и доступ к 3850.
Получается мне на Фортигейте нужно маршруты прописывать? Какие?
https://dropmefiles.com/BqStE  добавил уровень распределения и сервера в схему

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #6

6. Сообщение от Andrey (??), 09-Фев-23, 14:32 +/–

>[оверквотинг удален]
>>> match ip address ACL-ROOT
>>> set ip next-hop 10.3.0.130
>> conf t
>> int vlan437
>> ip policy route-map ROOT
>> end
> Сделал PBR и сеть у меня полностью отвалилась, т.к. все пакеты побежали
> на Фортигейт, даже внутренний портал отвалился, как и доступ к 3850.
> Получается мне на Фортигейте нужно маршруты прописывать? Какие?
> https://dropmefiles.com/BqStE  добавил уровень распределения и сервера в схему
У вас в PBR используется Extended ACL.
Исключите в ACL внутренние подсети.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #7

7. Сообщение от pogreb (ok), 09-Фев-23, 14:39 +/–

>[оверквотинг удален]
>>> conf t
>>> int vlan437
>>> ip policy route-map ROOT
>>> end
>> Сделал PBR и сеть у меня полностью отвалилась, т.к. все пакеты побежали
>> на Фортигейт, даже внутренний портал отвалился, как и доступ к 3850.
>> Получается мне на Фортигейте нужно маршруты прописывать? Какие?
>> https://dropmefiles.com/BqStE  добавил уровень распределения и сервера в схему
> У вас в PBR используется Extended ACL.
> Исключите в ACL внутренние подсети.
Вот так будет ACL выглядеть?
ip access-list extended ACL-ROOT
permit ip any 10.43.79.2 255.255.255.255
deny ip any 10.0.0.0 0.0.0.255
deny ip any 172.16.0.0 0.0.240.255
deny ip any 192.168.0.0 0.0.255.255
Почему то мой ACL
строку permit ip any 10.43.79.2 255.255.255.255 превратил в permit ip any any
Extended IP access list ACL-ROOT
    10 permit ip any any
    20 deny ip any 10.0.0.0 0.0.0.255
    30 deny ip any 172.16.0.0 0.0.240.255
    40 deny ip any 192.168.0.0 0.0.255.255

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #8

8. Сообщение от Andrey (??), 09-Фев-23, 15:03 +/–

>[оверквотинг удален]
> deny ip any 10.0.0.0 0.0.0.255
> deny ip any 172.16.0.0 0.0.240.255
> deny ip any 192.168.0.0 0.0.255.255
> Почему то мой ACL
> строку permit ip any 10.43.79.2 255.255.255.255 превратил в permit ip any any
> Extended IP access list ACL-ROOT
>     10 permit ip any any
>     20 deny ip any 10.0.0.0 0.0.0.255
>     30 deny ip any 172.16.0.0 0.0.240.255
>     40 deny ip any 192.168.0.0 0.0.255.255
Потому, что это обратная маска.
Если у вас проблема с этим понятием, тогда попробуйте использовать в ACL ключевое слово host.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #9

9. Сообщение от pogreb (ok), 09-Фев-23, 15:59 +/–

>[оверквотинг удален]
>> Почему то мой ACL
>> строку permit ip any 10.43.79.2 255.255.255.255 превратил в permit ip any any
>> Extended IP access list ACL-ROOT
>>     10 permit ip any any
>>     20 deny ip any 10.0.0.0 0.0.0.255
>>     30 deny ip any 172.16.0.0 0.0.240.255
>>     40 deny ip any 192.168.0.0 0.0.255.255
> Потому, что это обратная маска.
> Если у вас проблема с этим понятием, тогда попробуйте использовать в ACL
> ключевое слово host.
ДА, ошибку нашел.
ACL теперь выглядит так
ip access-list extended ACL-ROOT
permit ip host 10.43.79.2 any
deny ip any 10.0.0.0 0.255.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 192.168.0.0 0.0.255.255

При использовании ACL выше, отваливается сеть. Недоступны ни интернет ни внутренние ресурсы
На Фотригейте следующие маршруты
10.0.0.0/8 10.3.0.254 Internal Root (port1) Enabled
0.0.0.0/0 SD-WAN Enabled
172.16.233.0/24 10.3.0.254 Internal Root (port1) Enabled
192.168.24.0/23 10.3.0.254 Internal Root (port1) Enabled
10.3.0.0/24 10.3.0.254 Internal Root (port1) Enabled
10.45.5.0/24 10.3.0.254 Internal Root (port1) Enabled

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #10

10. Сообщение от pogreb (ok), 09-Фев-23, 16:43 +1 +/–

>[оверквотинг удален]
> deny ip any 172.16.0.0 0.15.255.255
> deny ip any 192.168.0.0 0.0.255.255
> При использовании ACL выше, отваливается сеть. Недоступны ни интернет ни внутренние ресурсы
> На Фотригейте следующие маршруты
> 10.0.0.0/8 10.3.0.254 Internal Root (port1) Enabled
> 0.0.0.0/0 SD-WAN Enabled
> 172.16.233.0/24 10.3.0.254 Internal Root (port1) Enabled
> 192.168.24.0/23 10.3.0.254 Internal Root (port1) Enabled
> 10.3.0.0/24 10.3.0.254 Internal Root (port1) Enabled
> 10.45.5.0/24 10.3.0.254 Internal Root (port1) Enabled
Правильно ли я настроил то, что хочу реализовать?
Я со своего ПК (10.43.79.2) хочу получить выход в Интернет через 10.3.0.130, мой запрос проходит через route-map, далее сверяется с ACL и видно что хочу гугл - меня бросает на хоп 10.3.0.130.
Если же я хочу доступ к внутреннему серверу 1с, то при сверке с ACL я натыкаюсь на deny и меня должно пропустить по имеющимся маршрутам.
Все так?
ЗЫ: И точно ли в моей схеме, мне нужно маршрут делать на 3850?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #11

11. Сообщение от kd (??), 10-Фев-23, 08:28 +2 +/–

>[оверквотинг удален]
> Правильно ли я настроил то, что хочу реализовать?
> Я со своего ПК (10.43.79.2) хочу получить выход в Интернет через 10.3.0.130,
> мой запрос проходит через route-map, далее сверяется с ACL и видно
> что хочу гугл - меня бросает на хоп 10.3.0.130.
> Если же я хочу доступ к внутреннему серверу 1с, то при сверке
> с ACL я натыкаюсь на deny и меня должно пропустить по
> имеющимся маршрутам.
> Все так?
> ЗЫ: И точно ли в моей схеме, мне нужно маршрут делать на
> 3850?
No, in ACL first you have to deny traffic for LAN then allow for Inet, like
!
ip access-list extended ACL-ROOT
deny ip host 10.43.79.2 10.0.0.0 0.255.255.255
deny ip host 10.43.79.2 172.16.0.0 0.15.255.255
deny ip host 10.43.79.2 192.168.0.0 0.0.255.255
!... deny also to internal white IPs/Networks if you have such
!... etc
permit ip host 10.43.79.2 any
!
end

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #12

12. Сообщение от pogreb (ok), 10-Фев-23, 10:44 +1 +/–

>[оверквотинг удален]
> !
> ip access-list extended ACL-ROOT
> deny ip host 10.43.79.2 10.0.0.0 0.255.255.255
> deny ip host 10.43.79.2 172.16.0.0 0.15.255.255
> deny ip host 10.43.79.2 192.168.0.0 0.0.255.255
> !... deny also to internal white IPs/Networks if you have such
> !... etc
> permit ip host 10.43.79.2 any
> !
> end
Вот за это спасибо большое. Трафик пришел туда куда нужно.
PS: Если я захочу сети добавить, то правило будет так выглядеть?
deny ip 10.43.79.2 255.255.255.0 10.0.0.0 0.255.255.255
deny ip 10.43.79.2 255.255.255.0 172.16.0.0 0.15.255.255
deny ip 10.43.79.2 255.255.255.0 192.168.0.0 0.0.255.255
permit ip 10.43.79.2 255.255.255.0 any
И еще вопрос по правильности. Чтобы мне не добавлять все внутренние сети (по RFC) в правиле, как мне правильнее сделать?
Нужен ACL который из всех внутренних сетей будет делать deny на все внутренние сети, а nex hop делать, только если запрос вышел за пределы RFC
deny ip 10.0.0.0 255.0.0.0 10.0.0.0 0.255.255.255
deny ip 172.16.0.0 255.240.0.0 172.16.0.0 0.15.255.255
deny ip 192.168.0.0 255.255.0.0 192.168.0.0 0.0.255.255
permit ip 10.43.79.2 255.255.255.0 any
Разрешающие сети я бы все таки каждую отдельно добавил

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #13

13. Сообщение от kd (??), 10-Фев-23, 15:15 +1 +/–

>[оверквотинг удален]
> И еще вопрос по правильности. Чтобы мне не добавлять все внутренние сети
> (по RFC) в правиле, как мне правильнее сделать?
> Нужен ACL который из всех внутренних сетей будет делать deny на все
> внутренние сети, а nex hop делать, только если запрос вышел за
> пределы RFC
> deny ip 10.0.0.0 255.0.0.0 10.0.0.0 0.255.255.255
> deny ip 172.16.0.0 255.240.0.0 172.16.0.0 0.15.255.255
> deny ip 192.168.0.0 255.255.0.0 192.168.0.0 0.0.255.255
> permit ip 10.43.79.2 255.255.255.0 any
> Разрешающие сети я бы все таки каждую отдельно добавил
1. no, for network you have to do so
deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255
deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 10.43.79.2 255.255.255.0 any
2. no. you have to defain 3x3 rules if you want to deny traffic between all rfc1918 nets, like
deny from 10 to 10
deny from 10 to 172
deny from 10 to 192
deny from 172 to 10
...
...
...
but in general (it really depends on your network setup), you can do
deny from any to 10
deny from any to 172
deny from any to 192
then
allow from your net to any
...
something like that

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #15

14. Сообщение от Licha Morada (ok), 11-Фев-23, 00:54 +/–

> Я на 3850 прописал маршрут для своего ПК
> 10.43.79.2/32 via 10.3.0.130 и у меня вся сеть отвалилась
Закономерно, т.к. вы это правило добащили в таблицу маршрутизации, и оно значит "если поле 'Кому' совпадает с 10.43.79.2/32, то пересылать на 10.3.0.130".
А вам надо "Если поле 'От кого' совпадает с 10.43.79.2/32, то пересылать на 10.3.0.130". Собственно, принципиальная разница между классической таблицей маршрутизации и Policy Based Routing в том что по классике решение принимается только на основе поля dst_ip, а в PBR по какому-то ещё критерию. Например, на основе поля src_ip.
Конкретику вам уже всю объяснили выше по ветке, поздравляю.
Да, надо чтобы маршрут применялся не ко всем пакетам от 10.43.79.2/32, а только к тем которые идут в Интернет, т.е. не в локальную сеть.
И да, у фортигейта который VDOM ROOT надо чтобы был маршрут до 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из Интернета вернулись куда надо.
И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой.
> Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли
> она проц на моей 3850. Мнения разные.
Ну, вот он шанс попробовать и сей опыт обрести.
Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и остального. Потом будете при случае расказывать "да, я делал так-то и получилось вот что".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #16

15. Сообщение от pogreb (ok), 13-Фев-23, 13:20 +/–

>[оверквотинг удален]
> ...
> but in general (it really depends on your network setup), you can
> do
> deny from any to 10
> deny from any to 172
> deny from any to 192
> then
> allow from your net to any
> ...
> something like that
Спасибо за ответ

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

16. Сообщение от pogreb (ok), 13-Фев-23, 13:20 +/–

>[оверквотинг удален]
> И да, у фортигейта который VDOM ROOT надо чтобы был маршрут до
> 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из
> Интернета вернулись куда надо.
> И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой.
>> Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли
>> она проц на моей 3850. Мнения разные.
> Ну, вот он шанс попробовать и сей опыт обрести.
> Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и
> остального. Потом будете при случае расказывать "да, я делал так-то и
> получилось вот что".
Спасибо за разъяснение

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #17

17. Сообщение от pogreb (ok), 10-Мрт-23, 16:39 +/–

>[оверквотинг удален]
>> 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из
>> Интернета вернулись куда надо.
>> И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой.
>>> Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли
>>> она проц на моей 3850. Мнения разные.
>> Ну, вот он шанс попробовать и сей опыт обрести.
>> Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и
>> остального. Потом будете при случае расказывать "да, я делал так-то и
>> получилось вот что".
> Спасибо за разъяснение
Подскажите, пожалуйста, еще раз.
Делаю ACL для сетей
deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255
deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 10.43.79.2 255.255.255.0 any
Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2 255.255.255.0 any
Как правильно сеть 10.43.79.0/24 в permit прописать?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #18

18. Сообщение от Andrey (??), 10-Мрт-23, 17:10 +/–

>[оверквотинг удален]
>> Спасибо за разъяснение
> Подскажите, пожалуйста, еще раз.
> Делаю ACL для сетей
> deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255
> deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255
> deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255
> permit ip 10.43.79.2 255.255.255.0 any
> Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2
> 255.255.255.0 any
> Как правильно сеть 10.43.79.0/24 в permit прописать?
1. Наконец понять что такое wildcard и прямая маска.
2. Понять что если что-то попало в ACL и обработалось, то второй раз обрабатываться этим-же ACL в этом-же процессе уже не будет.
3. Осторожно применять запреты какой-то подсети адресоваться к этой-же подсети.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #19

19. Сообщение от pogreb (ok), 23-Мрт-23, 10:16 +/–

>[оверквотинг удален]
>> deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255
>> deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255
>> permit ip 10.43.79.2 255.255.255.0 any
>> Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2
>> 255.255.255.0 any
>> Как правильно сеть 10.43.79.0/24 в permit прописать?
> 1. Наконец понять что такое wildcard и прямая маска.
> 2. Понять что если что-то попало в ACL и обработалось, то второй
> раз обрабатываться этим-же ACL в этом-же процессе уже не будет.
> 3. Осторожно применять запреты какой-то подсети адресоваться к этой-же подсети.
Подскажите, пожалуйста, по новому косяку.
После всех вышеизложенных советов, у меня ACL выглядит так
Extended IP access list ACL-ROOT
    10 deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255 (142672 matches)
    20 deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255 (1 match)
    30 deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255 (2 matches)
    40 permit ip 10.43.79.0 0.0.0.255 any (982 matches)
Route-map ниже
distrib#sh route-map ROOT
route-map ROOT, permit, sequence 10
  Match clauses:
    ip address (access-lists): ACL-ROOT
  Set clauses:
    ip next-hop 10.3.0.130
  Policy routing matches: 1455 packets, 170877 bytes
Я хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск отваливается.
В глобальном виде задача такая: все внутрениие сети обращаются между собой, но как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на 10.3.0.130 (это прокся)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #20

20. Сообщение от pogreb (ok), 24-Мрт-23, 11:12 +/–

>[оверквотинг удален]
>   Set clauses:
>     ip next-hop 10.3.0.130
>   Policy routing matches: 1455 packets, 170877 bytes
> Я хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил
> доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с
> наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск
> отваливается.
> В глобальном виде задача такая: все внутрениие сети обращаются между собой, но
> как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на
> 10.3.0.130 (это прокся)
Подскажите, пожалуйста, с моим вопросом

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #21

21. Сообщение от Andrey (??), 24-Мрт-23, 12:18 +/–

>[оверквотинг удален]
>>     ip next-hop 10.3.0.130
>>   Policy routing matches: 1455 packets, 170877 bytes
>> Я хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил
>> доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с
>> наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск
>> отваливается.
>> В глобальном виде задача такая: все внутрениие сети обращаются между собой, но
>> как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на
>> 10.3.0.130 (это прокся)
> Подскажите, пожалуйста, с моим вопросом
PBR, судя по всему, работает. А причины некорректной работы портала нужно проверять отдельно.
Для этого нужно и всю структуру вашей сети смотреть, трассировки с клиента, с прокси, с сервера портала, логи сервера портала проверять. Смотреть структуру DNS (любят некоторые держать одинаковые домены внутри и снаружи).
Возможно проверять html код куда ведут ссылки на документы.
Это вам нужен отдельный админ (и может не один), а не форум в интернете.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Licha Morada (ok), 09-Фев-23, 02:31	+/–
> Основной шлюз живет на Cisco 3850 > Если я убираю настройки прокси сервера в системе и включаю снифер на > 10.3.0.130, то никаких пакетов в принципе не приходит. > Сейчас у юзеров прописан адрес прокси сервера 10.3.0.244 > Мне нужно, чтобы никаких настроек прокси в системе у юзеров не было. Если надо "как сейчас, но через другой VDOM", то пишите 10.3.0.130 в прокси и тестируйте, если не заработает то тыкайте палкой саппорт Фортигейта. Если же вам надо избавиться от прокси вообще, то надо как-то сказать Cisco 3850 что если src_ip == 10.43.79.2/24 то 0.0.0.0/0 via 10.3.0.130 Гуглите как делать "policy based routing" конкретно для Cisco. По моему надо создать route-map с условием какой IP у отправителя и next-hop желаемого шлюза. В FortiGate100D никаких спец. маршрутов не надо, если каждый VDOM к своему провайдеру подключён.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2

2. Сообщение от pogreb (ok), 09-Фев-23, 08:50	+/–
>[оверквотинг удален] > прокси и тестируйте, если не заработает то тыкайте палкой саппорт Фортигейта. > Если же вам надо избавиться от прокси вообще, то надо как-то сказать > Cisco 3850 что > если src_ip == 10.43.79.2/24 > то 0.0.0.0/0 via 10.3.0.130 > Гуглите как делать "policy based routing" конкретно для Cisco. По моему надо > создать route-map с условием какой IP у отправителя и next-hop желаемого > шлюза. > В FortiGate100D никаких спец. маршрутов не надо, если каждый VDOM к своему > провайдеру подключён. Тех поддержка Фортигейта ушла из России. Я на 3850 прописал маршрут для своего ПК 10.43.79.2/32 via 10.3.0.130 и у меня вся сеть отвалилась Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли она проц на моей 3850. Мнения разные.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #3, #14

3. Сообщение от pogreb (ok), 09-Фев-23, 11:17	+/–
>[оверквотинг удален] >> Гуглите как делать "policy based routing" конкретно для Cisco. По моему надо >> создать route-map с условием какой IP у отправителя и next-hop желаемого >> шлюза. >> В FortiGate100D никаких спец. маршрутов не надо, если каждый VDOM к своему >> провайдеру подключён. > Тех поддержка Фортигейта ушла из России. > Я на 3850 прописал маршрут для своего ПК > 10.43.79.2/32 via 10.3.0.130 и у меня вся сеть отвалилась > Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли > она проц на моей 3850. Мнения разные. правильные ли мои настройки PBR на 3850? distrib#sh run int vlan 437 interface Vlan437 description IT ip address 10.43.79.1 255.255.255.0 ip helper-address 10.3.0.23 end ###Настройки conf t ip access-list extended ACL-ROOT permit ip any 10.43.72.2 255.255.255.255 route-map ROOT match ip address ACL-ROOT set ip next-hop 10.3.0.130
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #4

4. Сообщение от na (??), 09-Фев-23, 11:38	+/–
>[оверквотинг удален] > ip address 10.43.79.1 255.255.255.0 > ip helper-address 10.3.0.23 > end > ###Настройки > conf t > ip access-list extended ACL-ROOT > permit ip any 10.43.72.2 255.255.255.255 > route-map ROOT > match ip address ACL-ROOT > set ip next-hop 10.3.0.130 conf t int vlan437 ip policy route-map ROOT end
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #5

5. Сообщение от pogreb (ok), 09-Фев-23, 13:55	+/–
>[оверквотинг удален] >> conf t >> ip access-list extended ACL-ROOT >> permit ip any 10.43.72.2 255.255.255.255 >> route-map ROOT >> match ip address ACL-ROOT >> set ip next-hop 10.3.0.130 > conf t > int vlan437 > ip policy route-map ROOT > end Сделал PBR и сеть у меня полностью отвалилась, т.к. все пакеты побежали на Фортигейт, даже внутренний портал отвалился, как и доступ к 3850. Получается мне на Фортигейте нужно маршруты прописывать? Какие? https://dropmefiles.com/BqStE добавил уровень распределения и сервера в схему
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #6

6. Сообщение от Andrey (??), 09-Фев-23, 14:32	+/–
>[оверквотинг удален] >>> match ip address ACL-ROOT >>> set ip next-hop 10.3.0.130 >> conf t >> int vlan437 >> ip policy route-map ROOT >> end > Сделал PBR и сеть у меня полностью отвалилась, т.к. все пакеты побежали > на Фортигейт, даже внутренний портал отвалился, как и доступ к 3850. > Получается мне на Фортигейте нужно маршруты прописывать? Какие? > https://dropmefiles.com/BqStE добавил уровень распределения и сервера в схему У вас в PBR используется Extended ACL. Исключите в ACL внутренние подсети.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #7

7. Сообщение от pogreb (ok), 09-Фев-23, 14:39	+/–
>[оверквотинг удален] >>> conf t >>> int vlan437 >>> ip policy route-map ROOT >>> end >> Сделал PBR и сеть у меня полностью отвалилась, т.к. все пакеты побежали >> на Фортигейт, даже внутренний портал отвалился, как и доступ к 3850. >> Получается мне на Фортигейте нужно маршруты прописывать? Какие? >> https://dropmefiles.com/BqStE добавил уровень распределения и сервера в схему > У вас в PBR используется Extended ACL. > Исключите в ACL внутренние подсети. Вот так будет ACL выглядеть? ip access-list extended ACL-ROOT permit ip any 10.43.79.2 255.255.255.255 deny ip any 10.0.0.0 0.0.0.255 deny ip any 172.16.0.0 0.0.240.255 deny ip any 192.168.0.0 0.0.255.255 Почему то мой ACL строку permit ip any 10.43.79.2 255.255.255.255 превратил в permit ip any any Extended IP access list ACL-ROOT 10 permit ip any any 20 deny ip any 10.0.0.0 0.0.0.255 30 deny ip any 172.16.0.0 0.0.240.255 40 deny ip any 192.168.0.0 0.0.255.255
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #8

8. Сообщение от Andrey (??), 09-Фев-23, 15:03	+/–
>[оверквотинг удален] > deny ip any 10.0.0.0 0.0.0.255 > deny ip any 172.16.0.0 0.0.240.255 > deny ip any 192.168.0.0 0.0.255.255 > Почему то мой ACL > строку permit ip any 10.43.79.2 255.255.255.255 превратил в permit ip any any > Extended IP access list ACL-ROOT > 10 permit ip any any > 20 deny ip any 10.0.0.0 0.0.0.255 > 30 deny ip any 172.16.0.0 0.0.240.255 > 40 deny ip any 192.168.0.0 0.0.255.255 Потому, что это обратная маска. Если у вас проблема с этим понятием, тогда попробуйте использовать в ACL ключевое слово host.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #9

9. Сообщение от pogreb (ok), 09-Фев-23, 15:59	+/–
>[оверквотинг удален] >> Почему то мой ACL >> строку permit ip any 10.43.79.2 255.255.255.255 превратил в permit ip any any >> Extended IP access list ACL-ROOT >> 10 permit ip any any >> 20 deny ip any 10.0.0.0 0.0.0.255 >> 30 deny ip any 172.16.0.0 0.0.240.255 >> 40 deny ip any 192.168.0.0 0.0.255.255 > Потому, что это обратная маска. > Если у вас проблема с этим понятием, тогда попробуйте использовать в ACL > ключевое слово host. ДА, ошибку нашел. ACL теперь выглядит так ip access-list extended ACL-ROOT permit ip host 10.43.79.2 any deny ip any 10.0.0.0 0.255.255.255 deny ip any 172.16.0.0 0.15.255.255 deny ip any 192.168.0.0 0.0.255.255 При использовании ACL выше, отваливается сеть. Недоступны ни интернет ни внутренние ресурсы На Фотригейте следующие маршруты 10.0.0.0/8 10.3.0.254 Internal Root (port1) Enabled 0.0.0.0/0 SD-WAN Enabled 172.16.233.0/24 10.3.0.254 Internal Root (port1) Enabled 192.168.24.0/23 10.3.0.254 Internal Root (port1) Enabled 10.3.0.0/24 10.3.0.254 Internal Root (port1) Enabled 10.45.5.0/24 10.3.0.254 Internal Root (port1) Enabled
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #10

10. Сообщение от pogreb (ok), 09-Фев-23, 16:43	+1 +/–
>[оверквотинг удален] > deny ip any 172.16.0.0 0.15.255.255 > deny ip any 192.168.0.0 0.0.255.255 > При использовании ACL выше, отваливается сеть. Недоступны ни интернет ни внутренние ресурсы > На Фотригейте следующие маршруты > 10.0.0.0/8 10.3.0.254 Internal Root (port1) Enabled > 0.0.0.0/0 SD-WAN Enabled > 172.16.233.0/24 10.3.0.254 Internal Root (port1) Enabled > 192.168.24.0/23 10.3.0.254 Internal Root (port1) Enabled > 10.3.0.0/24 10.3.0.254 Internal Root (port1) Enabled > 10.45.5.0/24 10.3.0.254 Internal Root (port1) Enabled Правильно ли я настроил то, что хочу реализовать? Я со своего ПК (10.43.79.2) хочу получить выход в Интернет через 10.3.0.130, мой запрос проходит через route-map, далее сверяется с ACL и видно что хочу гугл - меня бросает на хоп 10.3.0.130. Если же я хочу доступ к внутреннему серверу 1с, то при сверке с ACL я натыкаюсь на deny и меня должно пропустить по имеющимся маршрутам. Все так? ЗЫ: И точно ли в моей схеме, мне нужно маршрут делать на 3850?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #11

11. Сообщение от kd (??), 10-Фев-23, 08:28	+2 +/–
>[оверквотинг удален] > Правильно ли я настроил то, что хочу реализовать? > Я со своего ПК (10.43.79.2) хочу получить выход в Интернет через 10.3.0.130, > мой запрос проходит через route-map, далее сверяется с ACL и видно > что хочу гугл - меня бросает на хоп 10.3.0.130. > Если же я хочу доступ к внутреннему серверу 1с, то при сверке > с ACL я натыкаюсь на deny и меня должно пропустить по > имеющимся маршрутам. > Все так? > ЗЫ: И точно ли в моей схеме, мне нужно маршрут делать на > 3850? No, in ACL first you have to deny traffic for LAN then allow for Inet, like ! ip access-list extended ACL-ROOT deny ip host 10.43.79.2 10.0.0.0 0.255.255.255 deny ip host 10.43.79.2 172.16.0.0 0.15.255.255 deny ip host 10.43.79.2 192.168.0.0 0.0.255.255 !... deny also to internal white IPs/Networks if you have such !... etc permit ip host 10.43.79.2 any ! end
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #12

12. Сообщение от pogreb (ok), 10-Фев-23, 10:44	+1 +/–
>[оверквотинг удален] > ! > ip access-list extended ACL-ROOT > deny ip host 10.43.79.2 10.0.0.0 0.255.255.255 > deny ip host 10.43.79.2 172.16.0.0 0.15.255.255 > deny ip host 10.43.79.2 192.168.0.0 0.0.255.255 > !... deny also to internal white IPs/Networks if you have such > !... etc > permit ip host 10.43.79.2 any > ! > end Вот за это спасибо большое. Трафик пришел туда куда нужно. PS: Если я захочу сети добавить, то правило будет так выглядеть? deny ip 10.43.79.2 255.255.255.0 10.0.0.0 0.255.255.255 deny ip 10.43.79.2 255.255.255.0 172.16.0.0 0.15.255.255 deny ip 10.43.79.2 255.255.255.0 192.168.0.0 0.0.255.255 permit ip 10.43.79.2 255.255.255.0 any И еще вопрос по правильности. Чтобы мне не добавлять все внутренние сети (по RFC) в правиле, как мне правильнее сделать? Нужен ACL который из всех внутренних сетей будет делать deny на все внутренние сети, а nex hop делать, только если запрос вышел за пределы RFC deny ip 10.0.0.0 255.0.0.0 10.0.0.0 0.255.255.255 deny ip 172.16.0.0 255.240.0.0 172.16.0.0 0.15.255.255 deny ip 192.168.0.0 255.255.0.0 192.168.0.0 0.0.255.255 permit ip 10.43.79.2 255.255.255.0 any Разрешающие сети я бы все таки каждую отдельно добавил
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #13

13. Сообщение от kd (??), 10-Фев-23, 15:15	+1 +/–
>[оверквотинг удален] > И еще вопрос по правильности. Чтобы мне не добавлять все внутренние сети > (по RFC) в правиле, как мне правильнее сделать? > Нужен ACL который из всех внутренних сетей будет делать deny на все > внутренние сети, а nex hop делать, только если запрос вышел за > пределы RFC > deny ip 10.0.0.0 255.0.0.0 10.0.0.0 0.255.255.255 > deny ip 172.16.0.0 255.240.0.0 172.16.0.0 0.15.255.255 > deny ip 192.168.0.0 255.255.0.0 192.168.0.0 0.0.255.255 > permit ip 10.43.79.2 255.255.255.0 any > Разрешающие сети я бы все таки каждую отдельно добавил 1. no, for network you have to do so deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255 deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255 deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255 permit ip 10.43.79.2 255.255.255.0 any 2. no. you have to defain 3x3 rules if you want to deny traffic between all rfc1918 nets, like deny from 10 to 10 deny from 10 to 172 deny from 10 to 192 deny from 172 to 10 ... ... ... but in general (it really depends on your network setup), you can do deny from any to 10 deny from any to 172 deny from any to 192 then allow from your net to any ... something like that
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #15

14. Сообщение от Licha Morada (ok), 11-Фев-23, 00:54	+/–
> Я на 3850 прописал маршрут для своего ПК > 10.43.79.2/32 via 10.3.0.130 и у меня вся сеть отвалилась Закономерно, т.к. вы это правило добащили в таблицу маршрутизации, и оно значит "если поле 'Кому' совпадает с 10.43.79.2/32, то пересылать на 10.3.0.130". А вам надо "Если поле 'От кого' совпадает с 10.43.79.2/32, то пересылать на 10.3.0.130". Собственно, принципиальная разница между классической таблицей маршрутизации и Policy Based Routing в том что по классике решение принимается только на основе поля dst_ip, а в PBR по какому-то ещё критерию. Например, на основе поля src_ip. Конкретику вам уже всю объяснили выше по ветке, поздравляю. Да, надо чтобы маршрут применялся не ко всем пакетам от 10.43.79.2/32, а только к тем которые идут в Интернет, т.е. не в локальную сеть. И да, у фортигейта который VDOM ROOT надо чтобы был маршрут до 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из Интернета вернулись куда надо. И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой. > Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли > она проц на моей 3850. Мнения разные. Ну, вот он шанс попробовать и сей опыт обрести. Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и остального. Потом будете при случае расказывать "да, я делал так-то и получилось вот что".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #16

15. Сообщение от pogreb (ok), 13-Фев-23, 13:20	+/–
>[оверквотинг удален] > ... > but in general (it really depends on your network setup), you can > do > deny from any to 10 > deny from any to 172 > deny from any to 192 > then > allow from your net to any > ... > something like that Спасибо за ответ
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

16. Сообщение от pogreb (ok), 13-Фев-23, 13:20	+/–
>[оверквотинг удален] > И да, у фортигейта который VDOM ROOT надо чтобы был маршрут до > 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из > Интернета вернулись куда надо. > И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой. >> Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли >> она проц на моей 3850. Мнения разные. > Ну, вот он шанс попробовать и сей опыт обрести. > Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и > остального. Потом будете при случае расказывать "да, я делал так-то и > получилось вот что". Спасибо за разъяснение
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #17

17. Сообщение от pogreb (ok), 10-Мрт-23, 16:39	+/–
>[оверквотинг удален] >> 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из >> Интернета вернулись куда надо. >> И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой. >>> Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли >>> она проц на моей 3850. Мнения разные. >> Ну, вот он шанс попробовать и сей опыт обрести. >> Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и >> остального. Потом будете при случае расказывать "да, я делал так-то и >> получилось вот что". > Спасибо за разъяснение Подскажите, пожалуйста, еще раз. Делаю ACL для сетей deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255 deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255 deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255 permit ip 10.43.79.2 255.255.255.0 any Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2 255.255.255.0 any Как правильно сеть 10.43.79.0/24 в permit прописать?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16 Ответы: #18

18. Сообщение от Andrey (??), 10-Мрт-23, 17:10	+/–
>[оверквотинг удален] >> Спасибо за разъяснение > Подскажите, пожалуйста, еще раз. > Делаю ACL для сетей > deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255 > deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255 > deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255 > permit ip 10.43.79.2 255.255.255.0 any > Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2 > 255.255.255.0 any > Как правильно сеть 10.43.79.0/24 в permit прописать? 1. Наконец понять что такое wildcard и прямая маска. 2. Понять что если что-то попало в ACL и обработалось, то второй раз обрабатываться этим-же ACL в этом-же процессе уже не будет. 3. Осторожно применять запреты какой-то подсети адресоваться к этой-же подсети.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17 Ответы: #19

19. Сообщение от pogreb (ok), 23-Мрт-23, 10:16	+/–
>[оверквотинг удален] >> deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255 >> deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255 >> permit ip 10.43.79.2 255.255.255.0 any >> Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2 >> 255.255.255.0 any >> Как правильно сеть 10.43.79.0/24 в permit прописать? > 1. Наконец понять что такое wildcard и прямая маска. > 2. Понять что если что-то попало в ACL и обработалось, то второй > раз обрабатываться этим-же ACL в этом-же процессе уже не будет. > 3. Осторожно применять запреты какой-то подсети адресоваться к этой-же подсети. Подскажите, пожалуйста, по новому косяку. После всех вышеизложенных советов, у меня ACL выглядит так Extended IP access list ACL-ROOT 10 deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255 (142672 matches) 20 deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255 (1 match) 30 deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255 (2 matches) 40 permit ip 10.43.79.0 0.0.0.255 any (982 matches) Route-map ниже distrib#sh route-map ROOT route-map ROOT, permit, sequence 10 Match clauses: ip address (access-lists): ACL-ROOT Set clauses: ip next-hop 10.3.0.130 Policy routing matches: 1455 packets, 170877 bytes Я хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск отваливается. В глобальном виде задача такая: все внутрениие сети обращаются между собой, но как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на 10.3.0.130 (это прокся)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #20

20. Сообщение от pogreb (ok), 24-Мрт-23, 11:12	+/–
>[оверквотинг удален] > Set clauses: > ip next-hop 10.3.0.130 > Policy routing matches: 1455 packets, 170877 bytes > Я хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил > доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с > наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск > отваливается. > В глобальном виде задача такая: все внутрениие сети обращаются между собой, но > как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на > 10.3.0.130 (это прокся) Подскажите, пожалуйста, с моим вопросом
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19 Ответы: #21

21. Сообщение от Andrey (??), 24-Мрт-23, 12:18	+/–
>[оверквотинг удален] >> ip next-hop 10.3.0.130 >> Policy routing matches: 1455 packets, 170877 bytes >> Я хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил >> доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с >> наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск >> отваливается. >> В глобальном виде задача такая: все внутрениие сети обращаются между собой, но >> как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на >> 10.3.0.130 (это прокся) > Подскажите, пожалуйста, с моим вопросом PBR, судя по всему, работает. А причины некорректной работы портала нужно проверять отдельно. Для этого нужно и всю структуру вашей сети смотреть, трассировки с клиента, с прокси, с сервера портала, логи сервера портала проверять. Смотреть структуру DNS (любят некоторые держать одинаковые домены внутри и снаружи). Возможно проверять html код куда ведут ссылки на документы. Это вам нужен отдельный админ (и может не один), а не форум в интернете.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20