De acuerdo

Regla PBR

Publicado 2020-4-13 04:47:12Última respuesta abr. 14, 2020 01:24:16 73 4 0 0
  Recompensa Goldies : 0 (solución de problemas)

Hola compañeros,


Necesito configurar un PBR, con el siguiente esquema:


Usuarios con rango origen "10.0.0.0/8" y "172.16.0.0/16" y que el destino sea internet público, sean dirigidos a 172.16.60.98.


Para esto, hago uso del rango de ips Bogons:


acl ip-pool pool_Bogons

ip address 0.0.0.0 0.255.255.255

ip address 10.0.0.0 0.255.255.255

ip address 100.64.0.0 0.63.255.255

ip address 127.0.0.0 0.255.255.255

ip address 169.254.0.0 0.0.255.255

ip address 172.16.0.0 0.15.255.255

ip address 192.0.0.0 0.0.0.255

ip address 192.0.2.0 0.0.0.255

ip address 192.168.0.0 0.0.255.255

ip address 198.18.0.0 0.1.255.255

ip address 198.51.100.0 0.0.0.255

ip address 203.0.113.0 0.0.0.255

ip address 224.0.0.0 15.255.255.255

ip address 240.0.0.0 15.255.255.255


acl ip-pool pool_Users

ip address 10.0.0.0   0.255.255.255

ip address 172.16.0.0 0.0.255.255


acl number 3000

 rule 05 deny ip source-pool pool_Users destination-pool pool_Bogons

 rule 10 permit ip


traffic classifier c0 operator or

 if-match acl 3000


traffic behavior b0

 permit

 redirect ip-nexthop 172.16.60.98


traffic policy p1

 classifier c0 behavior b0


interface gigabitethernet 0/0/1

traffic-policy p1 inbound



Pero con esta configuración, la regla 05 descarta los paquetes.


¿Se os ocurre alguna forma de poder configurar este escenario?


  • x
  • convención:

Respuestas destacadas
emontiel
Publicado 2020-4-13 22:26:39 Útil(0) Útil(0)

Hola,

 

Puedes realizar configurar una ACL con un pool de direcciones IPs Públicas y en la ACL 3000 en lugar de realizar un deny, hacer un permit.

acl number 3000

 rule 05 permit ip source-pool pool_Users destination-pool pool_IPs_Publicas

 

También, sin utilizar IP Pool, puedes realizar dos ACLs, una para IPs Públicas y otra para tus subredes de usuarios

acl number 3001

rule 05 permit ip destination (Ingresar Subredes Públicas)

 

acl number 3002

 rule 05 permit ip source 10.0.0.0 0.255.255.255

 rule 05 permit ip source 172.16.0.0 0.0.255.255

 

Y utilizar un classifier con un operator AND

traffic classifier c0 operator and

 if-match acl 3001

 if-match acl 3002

 

En el traffic behavior no es necesario el permit, sólo con utilizar lo siguiente funciona:

traffic behavior b0

 redirect ip-nexthop 172.16.60.98

 

Espero esta información te sea útil!


Ver más
  • x
  • convención:

Todas las respuestas
Gustavo.HdezF
Gustavo.HdezF Moderador Publicado 2020-4-13 08:43:58 Útil(0) Útil(0)
Hola. Déjanos revisar tu pregunta y te contestamos en breve. Saludos.
Ver más
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2022%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.
emontiel
emontiel Publicado 2020-4-13 22:26:39 Útil(0) Útil(0)

Hola,

 

Puedes realizar configurar una ACL con un pool de direcciones IPs Públicas y en la ACL 3000 en lugar de realizar un deny, hacer un permit.

acl number 3000

 rule 05 permit ip source-pool pool_Users destination-pool pool_IPs_Publicas

 

También, sin utilizar IP Pool, puedes realizar dos ACLs, una para IPs Públicas y otra para tus subredes de usuarios

acl number 3001

rule 05 permit ip destination (Ingresar Subredes Públicas)

 

acl number 3002

 rule 05 permit ip source 10.0.0.0 0.255.255.255

 rule 05 permit ip source 172.16.0.0 0.0.255.255

 

Y utilizar un classifier con un operator AND

traffic classifier c0 operator and

 if-match acl 3001

 if-match acl 3002

 

En el traffic behavior no es necesario el permit, sólo con utilizar lo siguiente funciona:

traffic behavior b0

 redirect ip-nexthop 172.16.60.98

 

Espero esta información te sea útil!


Ver más
  • x
  • convención:

masanchez
masanchez Publicado 2020-4-14 00:22:34 Útil(0) Útil(0)

Gracias @emontiel  pero con dicha configuración debería dar de alta un pool con todas las ips públicas de internet, lo que la lista sería interminable...

Por ese motivo, había pensado configurar el pool de boogons y de alguna forma negar dicho pool...

Algo así:

rule 05 permit ip source-pool pool_Users destination-pool != pool_IPs_Publicas

¿es eso posible?

Ver más
  • x
  • convención:

masanchez
masanchez Publicado 2020-4-14 01:24:16 Útil(1) Útil(1)
He encontrado la solución al problema:

#

acl number 3000 rule 05 permit ip source-pool pool_Users destination-pool pool_Bogons

acl number 3001 rule 05 permit ip source-pool pool_Users

#
traffic classifier c0 operator or if-match acl 3000

traffic classifier c1 operator or if-match acl 3001

#

traffic behavior b0 permit

traffic behavior b1 redirect ip-nexthop 172.16.60.98

#

traffic policy p1

classifier c0 behavior b0

classifier c1 behavior b1

#

interface gigabitethernet 0/0/1 traffic-policy p1 inbound
Ver más
  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Comunidad Huawei Enterprise
Comunidad Huawei Enterprise