Anticisco http://www.anticisco.ru/forum/ |
|
CiscoExpo 2010: Расширенная маршрутизация по политикам http://www.anticisco.ru/forum/viewtopic.php?f=3&t=1136 |
Страница 1 из 1 |
Автор: | siv [ 05 ноя 2010, 22:07 ] | ||
Заголовок сообщения: | CiscoExpo 2010: Расширенная маршрутизация по политикам | ||
Ещё одна простенькая задачка по маршрутизации с CiscoExpo 2010. Всё просто: к вам на маршрутизатор на интерфейс fa0/0 поступает некоторый трафик, идущий в сеть 172.16.0.0/16. Ваша задача: голосовой трафик (конкретно RTP с payload-type "0") и сигнализацию (H.323) нужно отправлять через интерфейс fa0/1.1, а FTP трафик нужно отправлять через интерфейс fa0/1.2, остальной трафик в сеть 172.16.0.0/16 должен быть сброшен. Прочий трафик должен отправляться в соответствии с таблицей маршрутизации. P.S. Как обычно: если знаете как делать - решается за 2 минуты.
|
Автор: | locking2006 [ 08 ноя 2010, 16:24 ] |
Заголовок сообщения: | Re: CiscoExpo 2010: Расширенная маршрутизация по политикам |
ip cef access-list 106 permit ip any 172.16.0.0 0.0.255.255 access-list 105 permit tcp any 172.16.0.0 0.0.255.255 eq 1720 ! h323 signaling ! class-map voice-p match access-group 106 match protocol RTP audio rtp payload-type "0" class-map voice-s match access-group 105 class-map ftp match access-group 106 match protocol ftp ! policy-map MARK_v class voice-p set ip dscp af11 class ftp set ip dscp af21 class voice-s set ip dscp af31 ! ip access-list 100 permit ip any 172.16.0.0 0.0.255.255 dscp af11 ip access-list 101 permit ip any 172.16.0.0 0.0.255.255 dscp af21 ip access-list 102 permit ip any 172.16.0.0 0.0.255.255 dscp af31 ! int fa0/0 ip policy route-map OUT ip nbar protocol-discovery service-policy input MARK ! route-map OUT permit 1 match ip address 100 102 set ip next-hop 192.168.1.2 route-map OUT permit 2 match ip address 101 set ip next-hop 192.168.2.2 !тут конструкция зависит от иоса. наверное можно так route-map OUT permit 3 set ip next-hop 1.1.1.1 ip route 1.1.1.1 255.255.255.255 null0 писал по памяти. без проверки. м б ошибка. прошу прощения. применение nbar будет лучше для фтп а вот для payload-type другого варианта не вижу как только nbar. |
Автор: | siv [ 09 ноя 2010, 00:04 ] |
Заголовок сообщения: | Re: CiscoExpo 2010: Расширенная маршрутизация по политикам |
2 locking2006: браво, задачу вы раскусили! Действительно расчёт был на применение nbar и то, что в ACL можно ссылаться на маркировку. Есть лишь пара моментов: 1) "route-map OUT permit 3 set ip next-hop 1.1.1.1 ip route 1.1.1.1 255.255.255.255 null0" Мне кажется, что проще всё-таки так: route-map OUT permit 3 set interface null0 2) Команда ip nbar protocol-discovery на интерфейсе fa0/0 строго говоря не нужна. Protocol-discovery - дополнительная фича к nbar, которая даёт возможность лишь сбора статистики (удобно для мониторинга). Nbar же включается уже тогда, когда вы в классе указали match protocol (Кстати если не помнить порты, то можно и match protocol h323 написать). |
Автор: | 1021 [ 13 дек 2011, 22:29 ] |
Заголовок сообщения: | Re: CiscoExpo 2010: Расширенная маршрутизация по политикам |
Мне больше такой вариант нравится. Тем, что не нужно в нескольких местах делать ACL с 172.16.0.0 access-list 100 permit ip any 172.16.0.0 0.0.255.255 ! class-map match-any VOICE_A match protocol rtp payload-type "0" match protocol h323 ! class-map match-all VOICE_B match access-group 100 match class-map VOICE_A ! class-map match-all FTP match access-group 100 match protocol ftp ! policy-map MARK_VOICE class VOICE_B set ip dscp af11 ! policy-map MARK_FTP class FTP set ip dscp af21 ! route-map OUT permit 10 match policy-list MARK_VOICE set interface fa0/1.1 route-map OUT permit 20 match policy-list MARK_FTP set interface fa0/1.2 route-map OUT permit 20 match ip address 100 set interface null0 |
Автор: | 1021 [ 13 дек 2011, 22:31 ] |
Заголовок сообщения: | Re: CiscoExpo 2010: Расширенная маршрутизация по политикам |
*permit 30 конечно |
Автор: | 1021 [ 13 дек 2011, 22:54 ] |
Заголовок сообщения: | Re: CiscoExpo 2010: Расширенная маршрутизация по политикам |
** route-map OUT deny 30 match ip address 100 :) |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |