タグ付けされた質問 「pbr」

私はそれほど前ではなかった状況で自分を見つけましたが、それをどのように解決したか思い出せません:) シナリオ LANインターフェイス（fa0 / 0）とWANインターフェイス（fa0 / 1）、および2番目のWANインターフェイス（fa0 / 2）を備えたCisco IOSルータがあります。 2つのLANサブインターフェースfa0 / 0.10とfa0 / 0.20があります。 fa0 / 1経由のデフォルトルートがあります。ただし、特定のサブネットへの静的ルートがあります。たとえば、fa0 / 2を介して1.2.3.4/24とします（fa0 / 2はこのサブネットに近いですが、より高価な$$$ WANリンクです）。 すべてのfa0 / 0.10ユーザーが1.2.3.4/24にアクセスしているため、静的ルートはユーザーをfa0 / 2（WAN2）から送信します。他のすべての宛先では、fa0 / 0.10ユーザーは、WAN1インターフェイスfa0 / 1で受信するDHCPデフォルトルートを経由します。 問題の定義。 fa0 / 0.20サブネットのユーザーは、インターネットにアクセスするだけです。fa0 / 0.20サブネット内のユーザーが、リモート1.2.3.4/24サブネットにアクセスする必要があるわけではありません。ただし、ほとんどの場合、静的ルートはfa0 / 2経由で送信します。ただし、これは必要ありません。デフォルトのWANインターフェイスであるfa0 / 1を介して1.2.3.4/24にアクセスしてもらいます。PBRを使用してこれを達成できると思いますが、機能しないようです。 これは私が現在試みている設定です。 interface FastEthernet0/0.10 description LAN1 encapsulation dot1Q 10 …

10 cisco  cisco-commands  pbr 

私は、フィルターベースの転送（FBF）、別名ポリシーベースのルーティングをテストするテストラボを構築しました。質問は以下に従いますが、最初に、詳細： 以下はトポロジー図です： 目的：サイト1からステージングに向かうすべてのトラフィックは、リンク1ではなくリンク2を介してWANにルーティングする必要があります。リンク1は2つのデータセンター間のレプリケーショントラフィックで飽和するためです。 SW-1およびSW-2はジュニパーEX4200スイッチです。 RTR-1とRTR-2はジュニパーJ4350です PE-1およびPE-2は、プロバイダーWANバックボーンをシミュレートするためにISISおよびMPLS VPNを実行するCisco 1841ルータです。 SW-1、SW-2、RTR-1、RTR-2はすべてエリア0のOSPFネイバーです。RTR-1とRTR-2はどちらもASBRであり、BGP学習ルートをOSPFに注入します。各ルーターは、それぞれのサイトのWANにルートをアドバタイズします（冗長性のために他のサイトのプリペンドルートも同様）。 サイト1からサイト2のステージングへのトラフィックのルーティングは、SW-2のステージングへのスタティックルートをより高いメトリックを持つOSPFに再配布するだけで簡単に実現できます。そのルートはRTR-2によってWANにアドバタイズされるため、RTR-1はそのルートを学習し、メトリック0でOSPFに再配布します。SW-2からSW-1で学習されたOSPFルートはより高いメトリックを持つため、 WANよりもルーティングが優先されます。 サイト2からのリターントラフィックもこの方法で流れる必要があるため、非対称ルーティングを回避できます。FBFは、SW-2に入るインバウンドインターフェイス（リンク4）に適用されます。このフィルターは、ステージング（10.100.190 / 24）からのすべてのトラフィックを取得し、ネクストホップRTR-2を作成します。ラボでテストしたとおり、FBFのこの部分は機能しています。 サイト1に戻るRTR-2の優先ルートはリンク1経由であるため、RTR-2の受信LANインターフェイス（SW-2に面している）でもう一度FBFを適用する必要があります。 ここに問題があります... FBFがそのルーターに適用されると、SW-2とのOSPF隣接関係が壊れます。 質問： OSPF隣接がRTR-2とSW-2の間で切断されるのはなぜですか？ RTR-2とSW-2の構成が添付されています。 RTR-2構成 root@RTR-2> show configuration interfaces | display set set interfaces ge-0/0/0 unit 0 family inet filter input FBF-TEST deactivate interfaces ge-0/0/0 unit 0 family inet filter set interfaces ge-0/0/0 unit …

9 ospf  juniper  pbr 

ワンアームSLB構成では、SNATを使用して、リターントラフィックがSLBを通過するように強制します。これには1つの欠点があります。単に、XFF（X-Forwarded-For）ヘッダーで渡され、Webサーバーがログに記録できる場合を除き、Webログは真のクライアントIPをキャプチャできないということです。 別の方法は、PBR（ポリシーベースのルーティング）を使用して戻りトラフィックをSLBに戻すことですが、SUP720 / PFC3Bを備えた6500Eプラットフォームで他に優れた解決策がない限り、PBRを回避しようとします-そして、私は特定のことを知っていますIOSバージョンも要因になる可能性があります-PBRがすべてハードウェアで行われていると仮定すると、PBRはSNATを実行するよりも遅延を追加しますか？ PBRが現在サポートされているコマンドのみを使用してハードウェアで実行される場合、将来IOSをアップグレードするとPBRがソフトウェア/プロセス切り替えで実行されるように変更される可能性はありますか？ 現在、当社のロードバランサーは、ほとんどのWebサーバーVLANの真後ろにあり（デフォルトのg / wはSLBを指しています）、非SLB VLANのSQLなどの他のサーバーです。ただし、このWeb-SQLトラフィックはSLBを通過します。私たちの目標は、SLBを超えないようにし、SQLトラフィックを分離したままにし、本当のクライアントをWebログに保持することです。PBRでのトラブルシューティングの複雑さを導入したくないので、将来的にハードウェアからソフトウェアにこの変更を処理する可能性があります。 前述のXFFとSNATが不足している場合、PBRはここでの唯一のオプションであり、PBRを緊密に構成しておくための最良の方法は何ですか？

8 cisco  nat  cisco-6500  pbr  load-balancer 

Fortigateファイアウォールを使用して内部ネットワークをインターネットから分離するシナリオがあります（FortiOSバージョン4.0 MR3パッチ11）。現在、単一のインターネット接続がファイアウォールに接続されており、デフォルトの静的ルートを使用して、すべてのインターネットトラフィックがファイアウォールを通過します。2番目のインターネット接続をファイアウォールに接続して、Web閲覧トラフィックなど、特定のトラフィックのみをルーティングします。 このセットアップでは、最初のリンクを介して現在の静的なデフォルトルートを維持し、2番目のインターネットリンクを介して宛先ポートTCP / 80およびTCP / 443でトラフィックをルーティングするために、ポリシールーティングオプションを構成します。予想通り、ポリシールーティングはルーティングテーブルの前に評価され、TCP / 80およびTCP / 443宛てのすべてのトラフィックは、Fortigateに直接接続されているサブネット間のトラフィックを含め、2番目のリンクに送信され、それらの間の通信が中断されます。 シスコ環境では、ポリシールーティングのトラフィックを照合するために使用されるACLを調整し、ACLの先頭で内部ネットワーク間のトラフィックを拒否し、末尾に「permit any」ステートメントを追加します。ただし、Fortigateに同様の方法で動作するように指示する方法が見つかりません。 このシナリオをFortigateで機能させる方法を知っていますか？

8 routing  pbr  fortinet  fortigate