Cisco ASA 5515-X 应用策略路由就是断网,怎么破?

2019-11-05 14:25:45 +08:00
 whale

如题,使用 Cisco ASA 5515-X 配置双出口:一条拨号光纤( 0/0 ),一条专线(新增,0/2 );配置静态路由走光纤,现在想新增一个 VLAN 使用 PBR 单独走专线,其余不变; 在 inside ( 0/1 )做的配置,如下:

access-list vlan4 extended permit ip 192.168.4.0 255.255.255.0 any ( CiSCO 官网搜到标准 ACL 不支持匹配源地址,所以做了扩展 ACL )

route-map dia permit 10

match ip route-source vlan4

set ip next-hop xxx.xxx.xxx.xxx (下一跳用的专线网关)

exit

route-map dia permit 20

exit

Interface GigabitEthernet0/1

policy-route route-map dia

看着没毛病啊,但是只要应用 PBR 就全部断网,郁闷!

鸿鹄论坛发了帖子,三天没解决(近乎无人理),到 V2 来求教大佬!

1980 次点击
所在节点    问与答
14 条回复
Tianao
2019-11-05 16:28:29 +08:00
Cisco 的 ACL 用的是通配符掩码吧,楼主是不是掩码刚好按位写反了?
whale
2019-11-05 16:42:16 +08:00
@Tianao #1 好像不是的,一开始在网上找到的资料让谢 0.0.0.255 ,直接报错写不进去,上面的是按官方提供的资料写的,所以超郁闷。
https://www.cisco.com/c/en/us/td/docs/security/asa/asa96/configuration/general/asa-96-general-config/route-policy-based.html
sdc6882278
2019-11-05 17:07:11 +08:00
第一个,match ip route-source vlan4 应该是 match ip add vlan4。
第二个,确保专线的接口有到对端的路由。
第三个,cisco 的 asa 的 acl 用的是正常掩码。
第四个,确定好 asa 的系统版本,8.3 前后命令差异巨大,不能照抄。
sdc6882278
2019-11-05 17:13:13 +08:00
@whale 而且 cisco 的文档是没有问题的,但是你看看你配置 match 的命令,是不是和 cisco 的文档并不一致?嘛,在编码者为主的论坛里找到网络工程师的概率比鸿鹄的概率还低。
Tianao
2019-11-05 17:14:05 +08:00
那请问 route-map dia permit 20 是干嘛的?感觉这条没有 permit 掉剩余流量,然后就隐含 deny any any 了。建议楼主 show 一下 match 计数,看看感兴趣流究竟被哪条匹配到了。
Tianao
2019-11-05 17:15:41 +08:00
ASA 和 IOS 命令大相径庭,坑爹……
whale
2019-11-05 17:17:03 +08:00
@sdc6882278 #3 多谢
①是说我对源地址有误解?用过 address,配上去没有任何反应,我以为是要源地址,这么看来可能是下一跳的问题。
②专线接口到对端的路由?不是默认网关的话需要问运营商那边?
③那我掩码就是正确的咯。
④版本 9.8,看的是 9.6 的文档,目前又在看 9.9 的。
whale
2019-11-05 17:33:01 +08:00
@Tianao #5 额,这个是网友提供的方案,说是为了让其他流量按原来的静态路由走
blackeeper
2019-11-05 18:23:52 +08:00
你做策略路由只添加了 vlan4 流量,其他流量你就不管了?其他的你要加一个默认的出口啊
whale
2019-11-05 18:42:29 +08:00
@blackeeper #9 其他的可以走静态路由的吧!而且另外一条是 PPPOE,这个好像没法写下一跳
sdc6882278
2019-11-06 09:13:50 +08:00
@whale #10 ip address pppoe setroute 会自动设定默认路由为 ppoe 的接口,不写就没有。一般情况下是用此条命令,然后专线写你需要走的静态路由。5 楼建议靠谱,看一下命中,都匹配到了哪条。

@blackeeper routemap 如果有一条 permit 垫底但是没有对应策略,那么就相当于对其他流量不操作。
sdc6882278
2019-11-06 09:22:19 +08:00
又瞟了一眼 cisco 文档加上对以前项目的回忆,你的第二条 route-map dia permit 20 没有必要,因为上面提到过 route map 不匹配不修改,所以只要对兴趣流进行 routemap 就可以了。
sdc6882278
2019-11-06 10:03:04 +08:00
找到了不错的配置样例:www.networkstraining.com/cisco-asa-policy-based-routing-pbr/
要点还漏了一个,你的专线是到了对端的局域网还是专线出互联网,这个专线都要有静态路由。
另外你可以用 debug policy-route 来看下路由如何触发的策略。
whale
2019-11-06 10:58:59 +08:00
@sdc6882278 #13
好的,多谢;
正好最近要上行为管理,暂时改为 ASA 接专线,拨号走 ASG ;
我回头自己模拟器研究 ASA 的 PBR。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/616480

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX