De acuerdo

Configurar regla PBR en router Huawei

Publicado 2020-4-13 05:47:12Última respuesta abr. 14, 2020 02:24:16 269 4 0 0 0
  Recompensa Goldies : 0 (solución de problemas)

Hola compañeros,


Necesito configurar un PBR, con el siguiente esquema:


Usuarios con rango origen "10.0.0.0/8" y "172.16.0.0/16" y que el destino sea internet público, sean dirigidos a 172.16.60.98.


Para esto, hago uso del rango de ips Bogons:


acl ip-pool pool_Bogons
ip address 0.0.0.0 0.255.255.255
ip address 10.0.0.0 0.255.255.255
ip address 100.64.0.0 0.63.255.255
ip address 127.0.0.0 0.255.255.255
ip address 169.254.0.0 0.0.255.255
ip address 172.16.0.0 0.15.255.255
ip address 192.0.0.0 0.0.0.255
ip address 192.0.2.0 0.0.0.255
ip address 192.168.0.0 0.0.255.255
ip address 198.18.0.0 0.1.255.255
ip address 198.51.100.0 0.0.0.255
ip address 203.0.113.0 0.0.0.255
ip address 224.0.0.0 15.255.255.255
ip address 240.0.0.0 15.255.255.255
acl ip-pool pool_Users
ip address 10.0.0.0   0.255.255.255
ip address 172.16.0.0 0.0.255.255
acl number 3000
 rule 05 deny ip source-pool pool_Users destination-pool pool_Bogons
 rule 10 permit ip
traffic classifier c0 operator or
 if-match acl 3000
traffic behavior b0
 permit
 redirect ip-nexthop 172.16.60.98
traffic policy p1
 classifier c0 behavior b0
interface gigabitethernet 0/0/1
traffic-policy p1 inbound



Pero con esta configuración, la regla 05 descarta los paquetes.


¿Se os ocurre alguna forma de poder configurar este escenario?


  • x
  • convención:

Respuestas destacadas
emontiel
Publicado 2020-4-13 23:26:39

Hola,

 

Puedes realizar configurar una ACL con un pool de direcciones IPs Públicas y en la ACL 3000 en lugar de realizar un deny, hacer un permit.

acl number 3000

 rule 05 permit ip source-pool pool_Users destination-pool pool_IPs_Publicas

 

También, sin utilizar IP Pool, puedes realizar dos ACLs, una para IPs Públicas y otra para tus subredes de usuarios

acl number 3001

rule 05 permit ip destination (Ingresar Subredes Públicas)

 

acl number 3002

 rule 05 permit ip source 10.0.0.0 0.255.255.255

 rule 05 permit ip source 172.16.0.0 0.0.255.255

 

Y utilizar un classifier con un operator AND

traffic classifier c0 operator and

 if-match acl 3001

 if-match acl 3002

 

En el traffic behavior no es necesario el permit, sólo con utilizar lo siguiente funciona:

traffic behavior b0

 redirect ip-nexthop 172.16.60.98

 

Espero esta información te sea útil!


Ver más
  • x
  • convención:

Todas las respuestas
Gustavo.HdezF
Gustavo.HdezF Admin Publicado 2020-4-13 09:43:58
Hola. Déjanos revisar tu pregunta y te contestamos en breve. Saludos.
Ver más
  • x
  • convención:

emontiel
emontiel Publicado 2020-4-13 23:26:39

Hola,

 

Puedes realizar configurar una ACL con un pool de direcciones IPs Públicas y en la ACL 3000 en lugar de realizar un deny, hacer un permit.

acl number 3000

 rule 05 permit ip source-pool pool_Users destination-pool pool_IPs_Publicas

 

También, sin utilizar IP Pool, puedes realizar dos ACLs, una para IPs Públicas y otra para tus subredes de usuarios

acl number 3001

rule 05 permit ip destination (Ingresar Subredes Públicas)

 

acl number 3002

 rule 05 permit ip source 10.0.0.0 0.255.255.255

 rule 05 permit ip source 172.16.0.0 0.0.255.255

 

Y utilizar un classifier con un operator AND

traffic classifier c0 operator and

 if-match acl 3001

 if-match acl 3002

 

En el traffic behavior no es necesario el permit, sólo con utilizar lo siguiente funciona:

traffic behavior b0

 redirect ip-nexthop 172.16.60.98

 

Espero esta información te sea útil!


Ver más
  • x
  • convención:

masanchez
masanchez Publicado 2020-4-14 01:22:34

Gracias @emontiel  pero con dicha configuración debería dar de alta un pool con todas las ips públicas de internet, lo que la lista sería interminable...

Por ese motivo, había pensado configurar el pool de boogons y de alguna forma negar dicho pool...

Algo así:

rule 05 permit ip source-pool pool_Users destination-pool != pool_IPs_Publicas

¿es eso posible?

Ver más
  • x
  • convención:

masanchez
masanchez Publicado 2020-4-14 02:24:16
He encontrado la solución al problema:

#

acl number 3000 rule 05 permit ip source-pool pool_Users destination-pool pool_Bogons

acl number 3001 rule 05 permit ip source-pool pool_Users

#
traffic classifier c0 operator or if-match acl 3000

traffic classifier c1 operator or if-match acl 3001

#

traffic behavior b0 permit

traffic behavior b1 redirect ip-nexthop 172.16.60.98

#

traffic policy p1

classifier c0 behavior b0

classifier c1 behavior b1

#

interface gigabitethernet 0/0/1 traffic-policy p1 inbound
Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.