S5560S如何实现策略路由出公网+访问内网
- 0关注
- 1收藏,828浏览
问题描述:
#
policy-based-route 1 permit node 1
if-match acl 3009
apply next-hop 10.10.19.1
#
policy-based-route 1 permit node 2
if-match acl 3001
apply next-hop 10.10.10.10
#
policy-based-route 2 permit node 1
if-match acl 3002
apply next-hop 10.0.19.1
apply next-hop 10.10.19.1
#
policy-based-route 2 permit node 2
#
policy-based-route 3 permit node 1
if-match acl 3003
apply next-hop 10.10.19.1
Advanced IPv4 ACL 3001
rule 0 permit ip source 192.168.140.0 0.0.0.255
rule 1 permit ip source 193.169.0.0 0.0.1.255
acl 3002
rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.1.0 0.0.0.255
acl 3003
rule 0 permit ip destination 192.168.1.0 0.0.0.255
PS:下一跳10.10.10.10 、10.0.19.1 为双路由器地址(公网)
下一跳 10.10.19.1 为 连接的内网另一台核心交换机地址
在各vlan下 引用ip policy 公网能生效,但内网无法访问了,ping 都不通、
组网及组网描述:
- 2021-05-25提问
- 举报
-
(1)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
什么意思
多配置一条,例如:policy-based-route 1 permit node 3,此节点下不调用任何配置
你好,能告知是什么原理吗?
策略路由按照顺序节点一条一条匹配,必定匹配其中一条,所以你不加空节点,匹配前面的就会按照你设定的条件执行,加了空节点之后,匹配中了但是没有动作就会按照路由表转发
您好!按照我设定的条件就是 1.允许内网段 下一跳公网路由器 ,2.允许内网段下一跳访问内网地址。如果加空的pbr。这个第二点是可以省略对吗?
是啊
还有个问题,就是想问问,3台核心(都有私网段)相连,为什么不能用同一个2层网段互联,必须分开,官方解答是如果2层互联内网段就找不到路由表是什么意思?
三台核心相连可以用同网段的啊,这个没什么问题吧,但如果你三台核心之间要路由模式的,同网段就不行,二层网络架构就没问题
就如 我用10.10.10.1(用的2层连接) 作为 核心A的IP (内含 192.168.1-10段) 跟路由器10.10.10.10 连接; 核心B(10.10.10.2)内含IP(192.168.11-20段)连接核心A,他们之间的网段路由互通,这样的网络拓扑是否存在问题?
那你这个拓扑就是这样的咯,路由器-核心A-核心B对吧,如果是这样没问题啊,层层写静态路由即可,跑动态路由会有问题
对对对。但如果是路由器--核心A--核心B;路由器--核心A--核心C; 核心B跟核心C他们都是10.10.10.x段可以吗?
这样写静态路由也没问题的
那为什么我之前这么弄,别人说这样的拓扑有问题,各位独立的网段,用access互联需要不一样的网段
只是这样搞会比较乱,一般也不建议这样弄,互联网段最好还是分开比较好,或者可以这样你把10.10.10.0段拆分成30掩码的
现在就是很乱,比如我现在的13楼的核心对接19楼 17楼 跟另一个地方的核心,这台核心上就有4个段,13.1 17.1 19.1 20.1,别的核心就是13.2 17.2 19.2 20.2...写静态路由的时候,好麻烦
所以这种情况建议你互联分开,然后核心之间用ospf协议,动态学习路由,这就不用写很多静态了
好的。关于原问题就是这个VLAN下使能的pbr,只需要写到指向想要去的公网的router地址即可。内部的路由转发,就用空的pbr节点即可解决?需要在下联的别的核心的口上的这个VLAN上配置吗?还是只需要在自己业务网段的VLAN下配置即可?
在网关vlan下配置就可以了
啊?就是我现在的这台核心的业务网段是140段(VLAN14),连接路由器的地址是10.10.10.X(VLAN1000),连接另一台核心的业务网段是150段(互联的VLAN是2001 10.10.19.X),我只需写一条ACL rule permit source ip 192.168.0.0 0.0.255.255 然后做ip policy-base-route 允许下一跳写10.10.10.10,在vlan1000上使能就行?
在入方向使能,比如说拓扑是这样的路由器--核心A--核心C,你核心C的一个网段下一跳你要指向路由器,那只需要在核心A做策略路由,调用接口是A和C的互联口
核心c的下一跳直接写路由器吗?不写核心a吗?a和c互联口调用prb,pbr的下一跳是写路由器地址吗?
核心c的下一跳写核心a,a和c互联口调用prb,pbr的下一跳是写路由器地址
很抱歉,再细问一下,ACL地址只写一个源地址192.168.0.0 0.0.255.255可以吗?
可以
track 1 bfd echo interface Vlan-interface1000 remote ip 10.10.10.10 local ip 10.10.10.254 您好,请问一下这条命令有啥用?
您好!
检测10.10.10.10是否可以通