|
|
|
|
Страница 1 из 1
|
[ Сообщений: 6 ] |
|
CiscoExpo 2010: Расширенная маршрутизация по политикам
Автор |
Сообщение |
siv
Зарегистрирован: 02 июн 2009, 14:42 Сообщения: 231
|
Ещё одна простенькая задачка по маршрутизации с CiscoExpo 2010.
Всё просто: к вам на маршрутизатор на интерфейс fa0/0 поступает некоторый трафик, идущий в сеть 172.16.0.0/16. Ваша задача: голосовой трафик (конкретно RTP с payload-type "0") и сигнализацию (H.323) нужно отправлять через интерфейс fa0/1.1, а FTP трафик нужно отправлять через интерфейс fa0/1.2, остальной трафик в сеть 172.16.0.0/16 должен быть сброшен. Прочий трафик должен отправляться в соответствии с таблицей маршрутизации.
P.S. Как обычно: если знаете как делать - решается за 2 минуты.
Вложения:
Комментарий к файлу: Схема задачи
PBR.jpg [ 39.43 КБ | Просмотров: 23061 ]
|
05 ноя 2010, 22:07 |
|
|
locking2006
Зарегистрирован: 14 окт 2008, 22:21 Сообщения: 22
|
ip cef access-list 106 permit ip any 172.16.0.0 0.0.255.255 access-list 105 permit tcp any 172.16.0.0 0.0.255.255 eq 1720 ! h323 signaling ! class-map voice-p match access-group 106 match protocol RTP audio rtp payload-type "0"
class-map voice-s match access-group 105
class-map ftp match access-group 106 match protocol ftp
! policy-map MARK_v class voice-p set ip dscp af11 class ftp set ip dscp af21 class voice-s set ip dscp af31 ! ip access-list 100 permit ip any 172.16.0.0 0.0.255.255 dscp af11
ip access-list 101 permit ip any 172.16.0.0 0.0.255.255 dscp af21
ip access-list 102 permit ip any 172.16.0.0 0.0.255.255 dscp af31
! int fa0/0 ip policy route-map OUT ip nbar protocol-discovery service-policy input MARK
! route-map OUT permit 1 match ip address 100 102 set ip next-hop 192.168.1.2 route-map OUT permit 2 match ip address 101 set ip next-hop 192.168.2.2 !тут конструкция зависит от иоса. наверное можно так route-map OUT permit 3 set ip next-hop 1.1.1.1 ip route 1.1.1.1 255.255.255.255 null0
писал по памяти. без проверки. м б ошибка. прошу прощения. применение nbar будет лучше для фтп а вот для payload-type другого варианта не вижу как только nbar.
|
08 ноя 2010, 16:24 |
|
|
siv
Зарегистрирован: 02 июн 2009, 14:42 Сообщения: 231
|
2 locking2006: браво, задачу вы раскусили! Действительно расчёт был на применение nbar и то, что в ACL можно ссылаться на маркировку.
Есть лишь пара моментов: 1) "route-map OUT permit 3 set ip next-hop 1.1.1.1 ip route 1.1.1.1 255.255.255.255 null0"
Мне кажется, что проще всё-таки так:
route-map OUT permit 3 set interface null0
2) Команда ip nbar protocol-discovery на интерфейсе fa0/0 строго говоря не нужна. Protocol-discovery - дополнительная фича к nbar, которая даёт возможность лишь сбора статистики (удобно для мониторинга). Nbar же включается уже тогда, когда вы в классе указали match protocol (Кстати если не помнить порты, то можно и match protocol h323 написать).
|
09 ноя 2010, 00:04 |
|
|
1021
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 37
|
Мне больше такой вариант нравится. Тем, что не нужно в нескольких местах делать ACL с 172.16.0.0
access-list 100 permit ip any 172.16.0.0 0.0.255.255 ! class-map match-any VOICE_A match protocol rtp payload-type "0" match protocol h323 ! class-map match-all VOICE_B match access-group 100 match class-map VOICE_A ! class-map match-all FTP match access-group 100 match protocol ftp ! policy-map MARK_VOICE class VOICE_B set ip dscp af11 ! policy-map MARK_FTP class FTP set ip dscp af21 !
route-map OUT permit 10 match policy-list MARK_VOICE set interface fa0/1.1 route-map OUT permit 20 match policy-list MARK_FTP set interface fa0/1.2 route-map OUT permit 20 match ip address 100 set interface null0
|
13 дек 2011, 22:29 |
|
|
1021
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 37
|
*permit 30 конечно
|
13 дек 2011, 22:31 |
|
|
1021
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 37
|
** route-map OUT deny 30 match ip address 100
:)
|
13 дек 2011, 22:54 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 6 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|
|