V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
whale
V2EX  ›  问与答

Cisco ASA 5515-X 应用策略路由就是断网,怎么破?

  •  
  •   whale · 2019-11-05 14:25:45 +08:00 · 1993 次点击
    这是一个创建于 1864 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题,使用 Cisco ASA 5515-X 配置双出口:一条拨号光纤( 0/0 ),一条专线(新增,0/2 );配置静态路由走光纤,现在想新增一个 VLAN 使用 PBR 单独走专线,其余不变; 在 inside ( 0/1 )做的配置,如下:

    access-list vlan4 extended permit ip 192.168.4.0 255.255.255.0 any ( CiSCO 官网搜到标准 ACL 不支持匹配源地址,所以做了扩展 ACL )

    route-map dia permit 10

    match ip route-source vlan4

    set ip next-hop xxx.xxx.xxx.xxx (下一跳用的专线网关)

    exit

    route-map dia permit 20

    exit

    Interface GigabitEthernet0/1

    policy-route route-map dia

    看着没毛病啊,但是只要应用 PBR 就全部断网,郁闷!

    鸿鹄论坛发了帖子,三天没解决(近乎无人理),到 V2 来求教大佬!

    14 条回复    2019-11-06 10:58:59 +08:00
    Tianao
        1
    Tianao  
       2019-11-05 16:28:29 +08:00 via iPhone
    Cisco 的 ACL 用的是通配符掩码吧,楼主是不是掩码刚好按位写反了?
    whale
        2
    whale  
    OP
       2019-11-05 16:42:16 +08:00
    @Tianao #1 好像不是的,一开始在网上找到的资料让谢 0.0.0.255 ,直接报错写不进去,上面的是按官方提供的资料写的,所以超郁闷。
    https://www.cisco.com/c/en/us/td/docs/security/asa/asa96/configuration/general/asa-96-general-config/route-policy-based.html
    sdc6882278
        3
    sdc6882278  
       2019-11-05 17:07:11 +08:00
    第一个,match ip route-source vlan4 应该是 match ip add vlan4。
    第二个,确保专线的接口有到对端的路由。
    第三个,cisco 的 asa 的 acl 用的是正常掩码。
    第四个,确定好 asa 的系统版本,8.3 前后命令差异巨大,不能照抄。
    sdc6882278
        4
    sdc6882278  
       2019-11-05 17:13:13 +08:00
    @whale 而且 cisco 的文档是没有问题的,但是你看看你配置 match 的命令,是不是和 cisco 的文档并不一致?嘛,在编码者为主的论坛里找到网络工程师的概率比鸿鹄的概率还低。
    Tianao
        5
    Tianao  
       2019-11-05 17:14:05 +08:00
    那请问 route-map dia permit 20 是干嘛的?感觉这条没有 permit 掉剩余流量,然后就隐含 deny any any 了。建议楼主 show 一下 match 计数,看看感兴趣流究竟被哪条匹配到了。
    Tianao
        6
    Tianao  
       2019-11-05 17:15:41 +08:00
    ASA 和 IOS 命令大相径庭,坑爹……
    whale
        7
    whale  
    OP
       2019-11-05 17:17:03 +08:00
    @sdc6882278 #3 多谢
    ①是说我对源地址有误解?用过 address,配上去没有任何反应,我以为是要源地址,这么看来可能是下一跳的问题。
    ②专线接口到对端的路由?不是默认网关的话需要问运营商那边?
    ③那我掩码就是正确的咯。
    ④版本 9.8,看的是 9.6 的文档,目前又在看 9.9 的。
    whale
        8
    whale  
    OP
       2019-11-05 17:33:01 +08:00
    @Tianao #5 额,这个是网友提供的方案,说是为了让其他流量按原来的静态路由走
    blackeeper
        9
    blackeeper  
       2019-11-05 18:23:52 +08:00
    你做策略路由只添加了 vlan4 流量,其他流量你就不管了?其他的你要加一个默认的出口啊
    whale
        10
    whale  
    OP
       2019-11-05 18:42:29 +08:00
    @blackeeper #9 其他的可以走静态路由的吧!而且另外一条是 PPPOE,这个好像没法写下一跳
    sdc6882278
        11
    sdc6882278  
       2019-11-06 09:13:50 +08:00
    @whale #10 ip address pppoe setroute 会自动设定默认路由为 ppoe 的接口,不写就没有。一般情况下是用此条命令,然后专线写你需要走的静态路由。5 楼建议靠谱,看一下命中,都匹配到了哪条。

    @blackeeper routemap 如果有一条 permit 垫底但是没有对应策略,那么就相当于对其他流量不操作。
    sdc6882278
        12
    sdc6882278  
       2019-11-06 09:22:19 +08:00
    又瞟了一眼 cisco 文档加上对以前项目的回忆,你的第二条 route-map dia permit 20 没有必要,因为上面提到过 route map 不匹配不修改,所以只要对兴趣流进行 routemap 就可以了。
    sdc6882278
        13
    sdc6882278  
       2019-11-06 10:03:04 +08:00   ❤️ 1
    找到了不错的配置样例:www.networkstraining.com/cisco-asa-policy-based-routing-pbr/
    要点还漏了一个,你的专线是到了对端的局域网还是专线出互联网,这个专线都要有静态路由。
    另外你可以用 debug policy-route 来看下路由如何触发的策略。
    whale
        14
    whale  
    OP
       2019-11-06 10:58:59 +08:00
    @sdc6882278 #13
    好的,多谢;
    正好最近要上行为管理,暂时改为 ASA 接专线,拨号走 ASG ;
    我回头自己模拟器研究 ASA 的 PBR。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1370 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 17:11 · PVG 01:11 · LAX 09:11 · JFK 12:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.