10-28-2011 10:24 AM - editado 03-21-2019 04:39 PM
Buenas tardes
Dispongo de un router Cisco 2811 con dos Bocas FE y 4 bocas WIC para ADSL
Mi idea es tener dos subredes independientes
Además las 4 WIC tienen salida a Internet con IP públicas fijas en cada boca
Se debe de cumplir los siguientes requisitos:
Mi idea es discriminar el tráfico a Internet desde la red LAN en función de la IP de cada dispositivo. Para ello he creado listas de acceso, route-map, y los asigno a la Interface FE 0/0
Esto no lo puedo probar por que el router es para sustituir a 4 router en producción que hace esta función, y la idea era quitarlos e instalar solo este.
Adjunto la configuración, no se si se podrá hacer loq eu yo quiero y si se puede, esta mas o menos bien configurado
Agradeciera vuestra inestimable ayuda
Muchas gracias
el 10-31-2011 03:41 PM
Hola,
Muchas gracias por escribirnos tus dudas.
Es correcto tu comentario sobre el control de flujos a partir de listas de acceso y route-maps. Cabe mencionar que cada una de ellas tiene una funcion distinta.
Listas de acceso: tienen dos principales funciones: Filtrar ( mas comun), Clasificar. Y tienen dos acciones: Permitir o Denegar.
Los Route-maps tienen dos acciones: Permitir o Denegar mas tienen dos funciones que permiten tener una manipoulacion mas granular de lo que deseas hacer que son: MATCH y SET
Revisando tu configuracion, te recomiendo que revises las listas de acceso donde las aplicas en un ROUTE-MAP. Esto es debido a que cuando aplicas unas ACL dentro de un ROUTE-MAP, dicha ACL tiene un funcionamiento de clasificar. Quien realmente hace la accion de denegar o permitir es el Route-map.
Te pongo un ejemplo:
ip access-list extended ACL_VPN_NAVEGAR
deny ip host 192.168.X.X any
deny ip host 192.168.Y.Y any
deny ip host 192.168.Z.Z any
permit ip 192.168.W.0 0.0.0.C any
Esta lista de acceso con funcion de Filtro, es decir aplicado en una interffaz con el comando ip access-group, haria que el flujo con Source Addres (SA) que tuviera las IP's de los host 192.168.X.X, 192.168.Y.Y, 192.168.Z.Z fueran denegadas, mas cualquier otro flujo con IP del SA del segmento 192.168.W.0 seria permitdo.
Si aplico esta misma lista de acceso a un route-map de la siguiente forma:
route-map EMP permit 100
match ip address ACL_VPN_NAVEGAR
set interface Y
Lo que resulta es que la ACL funciona como clasificacion y se veria que si cumple con trafico de cualquier otra IP del segmento 192.168.W.0 entonces cumple con la ACL, por lo tanto cumple con la sentencia match del route-map y se le asigna el trafico hacia la interfaz Y.
Las sentencias deny host 192.168.X.X, 192.168.Y.Y, 192.168.Z.Z en la lista de acceso significaria que ese trafico no le es interesante, mas como la ACL esta aplicada a un route-map este trafico no hace match por lo tanto no entra en esta sentencia del route-map
Dicho esto, la idea que tienes es correcta y el concepto esta bien definido en tu diseno, solo revisa la configuracion de tu route map con las listas de acceso: ACL_VPN_NAVEGAR, ACL_NAT_TS, ACL_Dialer3.
Si no tienes equipo para realizar pruebas, te recomiendo que busques algun simulador que te permita verificar lo que estas tratando de usar.
Saludos!
el 11-02-2011 04:43 AM
Hola Jorge,
Me queda alguna duda, te agradecería que me la aclarases
Indicas que con route-map, es el route-map que quien permite y deniega, no la ACL que solo actúa como clasificación, entonces en la sentencia route-map EMP permit 100, ¿la ACL solo puede tener permits y no denys? Si no es asi, ¿Cómo habría que configurar los denys en la ACL?
Otra pregunta es, una vez confgiruado el SET al interface en el route map, ¿es necesario asignar con ip policy route-map dentro del Interface en concreto o no es necesario?
Muchas gracias y un saludo
el 11-02-2011 08:26 AM
Hola Ignacio,
Respondiendo tus preguntas:
Asi es, cuando utilizas una ACL dentro de route-map, o en general cuando la aplicas como clasificacion, entonces tiene sentido que la ACL solo contenga snetencias de permit.
Si deseas que ese trafico sea bloqueado entonces podrias crear una sentencia en el route-map de la seguiente forma:
!
route-map EMP permit 100
match ip address X
set interface X
!
route-map EMP deny 101
match not ip address X
!
Asi la primera parte haria match con lo que cumple la ACL y si no cumple, seguiria la revision a la siguiente sentencia del route-map, en la segunda sentencia lo aplicas con un deny y hace match con todo lo que no cumpla con la sentencia de la ACL.
Otra solucion podria ser que crearas dos ACL, la primera que tenga sentencias de permit de todo trafico que deseas identificar y que se le manipule la interfaz de salida. La segunda ACL la declaras con sentencias de permit del trafico que deseas identificar para que el route-map lo bloque.
2. ¿Es necesario asignar con ip policy route-map dentro del Interface en concreto o no es necesario?
Es correcto, tienes que aplicar el route-map sobre la intefaz donde manipularias el trafico. Esto se conoce como Policy Base Route (PBR).
Siempre despues de declarar ya sea un ACL o un Route-map estos los debes de aplicar. Sino solo quedan declarados en forma global pero no realizarian ninguna accion.
Saludos!
el 11-05-2011 02:15 AM
OK,
entiendo lo que indicas, ahora la pregunta es si yo puedo ternet dos route-map distiintos en la configuracion, es decir
route-map EMP_1 permit 100
.......................
..........................!
route-map EMP_2 deny 100
...........................
Y aplicarlos a distintos inteface de entrada, el primero para FE0/0 y el swfgundo par fe0/
Muchas gracias
el 11-08-2011 08:10 AM
Hola Ignacio,
Si se puede. Puedes crear N route-maps ( dependiendo de la memoria disponible que tengas) y aplicarlos sobre las interfaces. Solo ten en cuenta lo siguiente:
a) Un route-map por interfaz.
b) El route-map aplicado en la interfaz solo manipula el trafico de salida, no el de entrada.
Como sugerencia extra, es cierto que puede crear N route-maps mas ten en consideracion que es mejor tener una configuracion entendible y lo mas simple posible. Asi en el momento que tengas que realizar un Troubleshooting te sea sencillo.
Saludos!
Jorge Figueroa
el 11-09-2011 01:41 AM
Muchas gracias Jorge,
he revisado toda la configuracion y creo qeu ya lo tengo bien, al final prefiero hacer varias route-map.
He estado mirando documentacion de cisco para casos similares, veo que hay un par de forma de aplicar lo route-map, o bien el la interface LAN de entrada de trafico con "ip policy route-map........" , o bien aplicandolo en la interface ATM de salida como "ip nat insice source route-map............". O aplican una u otra
Entiendo que el resultado sea el mismo pero configurado de diferentes formas.
¿Es correcto?
Muchas gracias por tu ayuda
Ignacio
¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.
Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:
Navegue y encuentre contenido personalizado de la comunidad