Cisco switch 3750 pbr,vlans en 2 gateways - Serversoftware en clouddiensten

zaterdag 24 mei 2008 13:56

Acties:

...no comment.

Topicstarter

Hallo,

Beetje lastige topic titel maar kon er even niets beters van maken.

volgende probleem/uitdaging doet zich voor.

Ik heb een Cisco 3750 12.2(40)SE waarop ik vlan heb geconfigureerd.

stukje config

code:

!
interface Vlan1
 no ip address
 no ip route-cache
 no ip mroute-cache
 shutdown
!
interface Vlan20
 description Servers
 ip address 10.202.0.254 255.255.255.0
 ip helper-address 10.202.0.58
 no shutdown
!
interface Vlan21
 description Netwerk
 ip address 10.202.1.254 255.255.255.0
 ip helper-address 10.202.0.58
 no shutdown

-- KNIP --

ip route 0.0.0.0 0.0.0.0 10.202.1.1 (is xs4all)
ip classless

Ik heb 2 gateways, 1 xs4all el-cheapo snel internet en 1 sdsl belangrijke verbindingen internet.
Servers gebruiken 2 en werkplekken gebruiken 1.
Nu wil ik dat werkplekken in vlan 8 via pbr internet opgaan via 1 maar nog wel de rest van het netwerk kunnen bereiken en dus ook de server. Ik wil dat de servers internet opgaan via 2 en ook de rest van het netwerk kunnen gebruiken.

Nu dacht ik dat te kunnen doen met pbr maar als ik in dhcp bij default gateway het ip adres op geef van de vlan en daarna een route-map maak met set ip default next-hop (gateway 1) dan heb ik toch het probleem dat al mijn werkstations via de default internet gateway bij mijn server proberen te komen, of is de swicth zo slim om te zeggen "he die pakketjes moeten eigenlijk naar het server vlan dus die routeer ik direct en niet via de default next-hop"?

Ik hoop dat mijn verhaal een beetje duidelijk is.

Alvast bedankt voor jullie IO.

*Helder oogenblik*
De nexthop (die buiten de vlan ligt) is pas te bereiken nadat de default gateway (ip adres van het vlan) is gebruikt om uit te zoeken waar de next-hop zich bevindt. Dus in theorie zou het dus zo moeten zijn dat hij op dat moment in zijn routing tabel de andere vlans ziet en dus die eerste gebruikt (explicite routes) en daarna pas de next-hop.

[ Voor 10% gewijzigd door Acmosa op 24-05-2008 14:20 ]

But then again, I could be wrong..

zondag 25 mei 2008 15:58

Acties:

Kabouterplop01

chown -R me base:all

Zou mooi zijn als je 2 routertjes vlan's ondersteunen dan heb je in iig op je 3750 geen default route nodig.
de ene router nat je in subnet van vlan x en de andere in subnet y waarschijnlijk hoef je niet eens te trunken.
De ene uplink in de belangrijke router
De andere in de snelle jelle xs4all lijn.
Volgens mij moet dat zo makkelijk gaan als ik het schets.

edit:
En dan wel de poorten in het juiste vlan hangen, zowel de serverports als de "uplinks".

[ Voor 11% gewijzigd door Kabouterplop01 op 25-05-2008 16:06 ]

zondag 25 mei 2008 18:06

Acties:

Equator

Crew Council

#whisky #barista

of is de swicth zo slim om te zeggen "he die pakketjes moeten eigenlijk naar het server vlan dus die routeer ik direct en niet via de default next-hop"?

Dat kan je natuurlijk doen door er zelf een explicite route voor aan te maken.. Voor zowel het 10.202.0.0 en het 10.202.1.0 netwerk

[ Voor 10% gewijzigd door Equator op 25-05-2008 18:07 ]

zondag 25 mei 2008 18:55

Acties:

jvanhambelgium

Sowieso als jij via Policy-Based-Routing werkt zullen de packets die buiten de boot vallen (en die dus niet in een route-map/ACL's zijn opgenomen) eigenlijk terugvallen op conventioneel (lees : destination-based-routing) routing en dan zie ik geen probleem.
In de forwaring table staan de 2 LAN's op de VLAN's, 10.202.0.x en 10.202.1.x toch als "directly-connected" dus communicatie naar servers tussen de VLAN's is geen enkel probleem.

zondag 25 mei 2008 19:02

Acties:

Verwijderd

ken je het programma, packet tracer? dat programma is van cisco. je kan daarmee netwerken simuleren. probeer het daar eens mee!

zondag 25 mei 2008 22:43

Acties:

Acmosa

...no comment.

Topicstarter

Equator schreef op zondag 25 mei 2008 @ 18:06:
[...]

Dat kan je natuurlijk doen door er zelf een explicite route voor aan te maken.. Voor zowel het 10.202.0.0 en het 10.202.1.0 netwerk

Ik weet alleen niet hoe ik dat moet doen. Ik ga er van uit dat de switch zelf routeerd tussen de vlans omdat ik ze (de vlans) een ip adres heb gegeven. Ik heb geen enkele route met de hand gemaakt die naar een vlans gaat. Wanneer ik met de hand explicite routes ga maken dan zou het moeten werken.

@wessel93 Packet tracer is leuk maar kan heel veel dingen niet en het netwerk dat ik moet bouwen snapt het pakketje niet. Heb het daar namelijk al mee geprobeerd.

@janvanhambelgium Jij bevestigd dus mijn theorie in mijn heldere oogenblik...?

But then again, I could be wrong..

maandag 26 mei 2008 08:04

Acties:

jvanhambelgium

> @janvanhambelgium Jij bevestigd dus mijn theorie in mijn heldere oogenblik...?

Wel, Cisco bevestigd dat toch ;-)
Je moet WEL een specifiekere route-map maken dat je vb voor internet-traffiek PBR wilt toepassen. (dus vb een ACL die exlusion doet voor beide VLAN ranges en die vallen dus uit de PBR branch)

Als je een algemene match gaat doen kan je beter "gewoon" gaan routen!

Dus :

- Maak 2 route-maps aan die je elk op hun betreffende sub-interfaces gaat zetten
- De "match" criteria zou een extend ACL moeten zijn
- De actie die je kan doen is die set-next-hop naar elk hun betreffene gateway

De extended ACL gaat dan wel volgende zaken moeten bevatten :

access-list 101 deny ip 10.202.0.0 0.0.0.255 10.202.1.0 0.0.0.255
access-list 101 deny ip 10.202.1.0 0.0.0.255 10.202.0.0 0.0.0.255
access-list 101 permit ip any any

Dus enig verkeer van VLAN1 -> VLAN2 (en omgekeerd) gaat dus niet door PBR geprocessed worden en zou dus "regulier" geroute moeten gaan worden.
Het laatste "permit any any" statement zal dus alle andere traffiek WEL matchen en vervolgens in functie van de "set" statement van processen.

En dan wat config op de interface / route-maps

route-map XS4ALL permit 10
match ip address 101
set ip default next-hop IP_VAN_XS4ALL

route-map SDSL permit 10
match ip address 101
set ip default next-hop IP_VAN_SDSL

interface Vlan20
description Servers
ip address 10.202.0.254 255.255.255.0
ip helper-address 10.202.0.58
ip policy route-map SDSL
no shutdown
!
interface Vlan21
description Netwerk
ip address 10.202.1.254 255.255.255.0
ip helper-address 10.202.0.58
ip policy route-map XS4ALL
no shutdown

TIP : Mischien nog effe lezen rond fast-switching en PBR want daar kunnen wat caveats zijn in de zin dat bepaalde "set" statements niet werken op interfaces die fast-switching doen !
Nu je werkt met 12.2 wat precies wel redelijk recent is ... voor versie 12 zou je wel eens kunnen merken dat "set ip default next-hop" en "set default interface" niet werken op interfaces die fast switched staan (statement : "ip route-cache policy")

woensdag 28 mei 2008 09:19

Acties:

Acmosa

...no comment.

Topicstarter

Bedankt voor jullie reacties.
Het had allemaal dit weekend plaats moeten vinden maar dankzij een 3de partij moesten we alles weer terug draaien voordat het live ging, dus ik weet nog niet of de configuratie gaat werken.
Wanneer alles live is en werkt zal ik de configuratie posten zodat andere mensen met dit soort dingen een houvast hebben.
Jammer dat die spullen meestal zo duur zijn dat een lab opzetten geen optie is.
Testen en eventueel een roll-back is meesal goedkoper.

Ill keep you posted.

(of is er iemand die weet hoe je een 3750 SE image kan emuleren?)

[ Voor 6% gewijzigd door Acmosa op 28-05-2008 10:33 ]

But then again, I could be wrong..