Маршрутизация базовой политики с использованием неработающих карт маршрутизации

Что я хочу сделать, так это.
Если трафик в F0 /1 из R1 входит в любой источник, кроме адресата 202.100.30.248/29, то следующий прыжок должен быть 192.168.1.1 введите описание изображения здесь

Оба R3 и R2 имеют статический маршрут по умолчанию, назначенный маршрутизатору R1, поэтому я могу выполнить ping 192.168.1.1 с Router R3.

Но когда я пытаюсь выполнить ping 200.100.30.252 из R3, я не получаю ответ, я хочу что мой PBR работает и пересылает пакеты или нет. 200.100.30.252 не находится в таблице маршрутизации R1. Протокол маршрутизации не работает.

Вот что я настраиваю на R1

    route-map PBR, permit, sequence 10
          Match clauses:
            ip address (access-lists): 104 
          Set clauses:
            ip default next-hop 192.168.1.1

    Extended IP access list 104
        10 permit ip any 202.100.30.248 0.0.0.7 log-input

   interface FastEthernet0/1
   ip address 172.16.1.2 255.255.255.252
   ip policy route-map PBR

Конфигурация R1

R1#sh running-config 
Building configuration...
Current configuration : 1295 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
no ip icmp rate-limit unreachable
!
!
ip cef
no ip domain lookup
!
ip tcp synwait-time 5
!
interface FastEthernet0/0
 ip address 192.168.1.2 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 172.16.1.2 255.255.255.252
 ip policy route-map PBR
 duplex auto
 speed auto
!
interface FastEthernet1/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet1/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip forward-protocol nd
!
no ip http server
!
!
access-list 104 permit ip any 202.100.30.248 0.0.0.7 log-input
no cdp log mismatch duplex
!
route-map PBR permit 10
 match ip address 104
 set ip default next-hop 192.168.1.1
!
control-plane
!
gatekeeper
 shutdown
!
!         
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
 stopbits 1
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
 stopbits 1
line vty 0 4
 login
!
!
end

Я анализирую пакеты от R3 до R1, и он показывает только трансляцию ARP с просьбой указать, кто является 202.100.30.252, и ответа на этот ARP нет.
  Может быть, я делаю большую ошибку, я узнаю об этом, пожалуйста, исправьте меня за мои ошибки. Если вам нужно что-то еще, просто спросите.

1 голос | спросил Terminator 14 +03002017-10-14T12:58:56+03:00312017bEurope/MoscowSat, 14 Oct 2017 12:58:56 +0300 2017, 12:58:56

2 ответа


2

Вы написали

  

Оба R3 и R2 имеют статический маршрут по умолчанию, назначенный маршрутизатору R1 ...

И вы также написали:

  

Я анализирую пакеты от R3 до R1, и он отображает только ARP-трансляцию с просьбой указать, кто является 202.100.30.252, и ответа на этот ARP нет.

ОК, так почему R3 ARPing для 202.100.30.252? Должен ли он просто отправить пакет ICMP в направлении R1? Ну, это потому, что у вас есть это на R3:

ip route 0.0.0.0 0.0.0.0 FastEthernet0/0

, что не совсем то же самое, что:

ip route 0.0.0.0 0.0.0.0 172.16.1.2

Вы можете посмотреть подробности, но сократить короткую историю, первая форма зависит от поведения прокси-сервера ARP на R1. И вот что: R1 не имеет IP-маршрут до конечного пункта назначения (202.100.30.248/29); он имеет только правило PBR. Как следствие, R1 остается молчащим, когда поступает запрос ARP, и поэтому R3 не отправляет ICMP-пакет в R1.

ответил mere3ortal 15 +03002017-10-15T10:40:41+03:00312017bEurope/MoscowSun, 15 Oct 2017 10:40:41 +0300 2017, 10:40:41
2

Я боюсь, что интерфейс f1 /0 (с IP 200.100.30.252/29) на R2 НЕ действительно вверх, что вызывает проблему. Повторите попытку.

И, пожалуйста, используйте IP-адреса следующего перехода для всех статических маршрутов по умолчанию

Конфигурация на R1 выглядит неплохо, поскольку я использовал это для воспроизведения следующего случая, и я могу пинговать оба IP-адреса 200.100.30.251 и 200.100.30.252 из R3.

 введите описание изображения здесь>> </a> </p>

<p> <strong> Конфигурация маршрутизаторов: </strong> </p>

<p> R1: </p>

<pre><code>---- +: = 0 = + ----</code></pre>

<p> К3: </p>

<pre><code>---- +: = 1 = + ----</code></pre>

<p> R2: </p>

<pre><code>---- +: = 2 = + ----</code></pre>

<p> R 4: </p>

<pre><code>---- +: = 3 = + ----</code></pre>

<p> <strong> Проверка </STRONG> </p>

<p> На R3 успешное выполнение pinging до 200.100.30.251 и 200.100.30.252: </p>

<pre><code>---- +: = 4 = + ----</code></pre>

<p> В R1 генерируются сообщения журнала: </p>

<pre><code>---- +: = 5 = + ----</code></pre>

<p> <strong> Обновленный ответ: </strong> </p>

<ol>
<li>
<p> Когда мы используем <strong> (исходящий) выход-интерфейс для статического маршрута </strong>, маршрутизатор R3 «думает», что он напрямую подключается к сети назначения (здесь 0.0.0.0/0, включая IP 200.100 .30.252 в 200.100.30.248/29), таким образом, маршрутизатор отправляет запрос <strong> ARP для этого IP-адреса назначения (src: 172.16.1.1 и des: 200.100.30.252) </strong> из этого интерфейса выхода после первого пинг. </p>

<p> Когда ARP-запрос достигает R1, R1 не имеет представления о целевом IP 202.100.30.252. Поэтому он ничего не делает. </p>

<p> Запись ARP для адресата 202.100.30.252 не может быть создана на R3, все ICMP-пакеты не удались при инкапсуляции и не были отправлены. </p>
</li>
<li>
<p> Когда мы используем IP-адрес <strong> следующего перехода для статического маршрута </strong>, маршрутизатор R3 знает, что он должен маршрутизировать трафик на IP-адрес 172.16.1.2 R1 и ему нужна запись ARP для этого IP-адреса. Поэтому маршрутизатор отправляет только запрос <strong> ARP для этого IP-адреса следующего перехода (src: 172.16.1.1 и des: 172.16.1.2) </strong> из интерфейса, непосредственно связанного после первого пинга. </p>

<p> Когда ARP-запрос достигает R1, R1 отвечает, потому что IP-адрес 172.16.1.2 находится на его непосредственно подключенном интерфейсе. </p>

<p> Запись ARP для IP-адреса 172.16.1.2 следующего перехода создается на R3, второй и остальные ICMP-пакеты отправляются. Эти ICMP-пакеты проверяются на PBR на R1. </p>
</li>
</ol></body></html>

ответил Hung Tran 14 +03002017-10-14T18:22:46+03:00312017bEurope/MoscowSat, 14 Oct 2017 18:22:46 +0300 2017, 18:22:46

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132