1 Vlan eigen internet - Netwerken

maandag 6 april 2009 16:43

Acties:

Topicstarter

We gaan over op glasvezelv an KPN. Nu hebben we de lijn liggen met een ASA5510 eraan. Onze oude lijn heeft nog een Pix515E. Deze is nu nog in bedrijf. Deze zitten beiden aan een 3750 layer3 switch. Op deze switch zitten meerdere vlans. Op vlan1 draait nu nog een oude IP range. Op vlan31 heb ik een nieuwe ip-range staan.

Nu is het zo dat op de 3750 de 0.0.0.0/0 naar de pix gaat. Wat goed is. Maar nu wil ik dat alles wat van vlan31 afkomstig is naar de ASA word gerouteerd. Nu is het volgens mij zo dat de router alleen kijkt naar de destination, en dat is altijd het internet (in dit geval). Nu is alleen de source dus anders. Ik heb gezocht maar kan nergens vinden waar je op de 3750 kan instellen dat hij voor vlan31 dus een andere gateway moet gebruiken. Hij zal dus naar de source moeten kijken.

Heeft iemand een idee? Is dit überhaupt mogelijk?

GoT a clue? Specs

maandag 6 april 2009 17:12

Acties:

Verwijderd

Het kan, het heet policy based routing, ik weet niet of de layer 3 switches het aan kunnen

kijk eens naar:
Policy based routing
route maps

config example:
http://www.cisco.com/en/U...ration/guide/pbroute.html

[ Voor 29% gewijzigd door Verwijderd op 06-04-2009 17:25 ]

woensdag 8 april 2009 00:02

Acties:

Verwijderd

Is het niet veel simpeler? Je kunt de switch hier gewoon buiten spel zetten... Apparaten die in de nieuwe reeks en in VLAN 31 hangen geef je gewoon de ASA als default gateway. Dan ben je toch ook klaar? Of moeten ze ook bij apparaten in het andere VLAN?

woensdag 8 april 2009 09:43

Acties:

H@rry

Topicstarter

Het is inderdaad de bedoeling dat de andere vlans bereikbaar zijn. Maar om te testen had ik inderdaad de asa als default gateway ingesteld. En dan werkt het. PBR zou de oplossing zijn, maar ik heb er geen ervaring mee en ben er nog niet achter of de 3750 het kan (ik denk het wel). Maar ik heb de nieuwe lijn al als standaard internet gateway ingesteld, dus iedereen gebruikt hem al. Bedankt voor de reacties.

GoT a clue? Specs

woensdag 8 april 2009 20:47

Acties:

Flyduck

H@rry schreef op woensdag 08 april 2009 @ 09:43:
Het is inderdaad de bedoeling dat de andere vlans bereikbaar zijn. Maar om te testen had ik inderdaad de asa als default gateway ingesteld. En dan werkt het. PBR zou de oplossing zijn, maar ik heb er geen ervaring mee en ben er nog niet achter of de 3750 het kan (ik denk het wel). Maar ik heb de nieuwe lijn al als standaard internet gateway ingesteld, dus iedereen gebruikt hem al. Bedankt voor de reacties.

En mocht je toch willen dat andere VLANS bereikbaar zijn kan je of static routes gebruiken op je clients of static routes configuren op de ASA (en dus icmp redirects gebruiken)

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

donderdag 9 april 2009 08:10

Acties:

TrailBlazer

Karnemelk FTW

policy based routing is inderdaad de truc. Je zal dan wel even je SDM template moeten aanpassen.
http://www.cisco.com/en/U...guration/guide/swsdm.html

code:

route-map toAsa deny 10
match ip address localSubnets
route-map toAsa permit 20
set ip next-hop asa.ip
!
interface vlan31
ip policy route-map toAsa
!
ip access-list standard localSubnets
permit net1 mask1
permit net2 mask2
!
end

eventueel kan je route-map nog korter maar ik weet niet of de 3750 dat ondersteunt.

code:

1 2	route-map toAsa permit 10 set ip default next-hop ip.asa

[ Voor 14% gewijzigd door TrailBlazer op 09-04-2009 08:14 ]

dinsdag 14 april 2009 15:51

Acties:

H@rry

Topicstarter

Ik moet idd. de SDM template veranderen. Betekent ook dat de switch gereboot moet worden. Laat dit nou net 1 van de belangrijkste switches zijn... Had het van het weekend moeten doen, maarja... vergeten. Ik heb alles nu geconfigureerd, maar alleen die reboot nog, dan zie ik of het werkt.

GoT a clue? Specs

dinsdag 14 april 2009 16:06

Acties:

TrailBlazer

Karnemelk FTW

Ja dan moet je de switch rebooten. Ik denk dat er wat ASICs/memory anders geprogrameerd worden.

woensdag 15 april 2009 09:39

Acties:

H@rry

Topicstarter

Gisteravond de switch gereboot en het werkt! Het is eigenlijk vrij simpel. Een access list met een aantal denys en permits, toewijzen aan een route-map, en deze weer toewijzen aan een vlan.

Wat de reboot doet is inderdaad wat geheugen toewijzen aan het routing gebeuren. Deze had 0 en heeft nu 512 (ik denk K). Zie tabel: http://www.cisco.com/en/U...guration/guide/swsdm.html

GoT a clue? Specs

woensdag 15 april 2009 09:49

Acties:

TrailBlazer

Karnemelk FTW

Ja natuurlijk werkt dat ik weet wel iets van Cisco networking af

http://www.cisco.com/en/U...uide/swsdm.html#wp1102975
deze link moet je hebben. De getallen slaan gewoon op aantallen. Je kan nu tot 256 PBR constructies maken als ik het goed lees. Als je echter bij deze waardes in de buurt komt ben je eigenlijk al te laat en moet je gewoon een nieuw device kopen wat wat meer capaciteit heeft.

code:

route-map toAsa permit 10
match nolocalSubnets
set ip next-hop asa.ip
!
interface vlan31
ip policy route-map toAsa
!
ip access-list standard nolocalSubnets
deny net1 mask1
deny net2 mask2
permit any
!
end

Zo kan die ook nog volgens mij. Scheelt weer een route-map entry en is in theorie nog een fractie sneller.

[ Voor 4% gewijzigd door TrailBlazer op 15-04-2009 09:50 ]

woensdag 15 april 2009 19:12

Acties:

ijdod

TrailBlazer schreef op woensdag 15 april 2009 @ 09:49:
Ja natuurlijk werkt dat ik weet wel iets van Cisco networking af

Lies! Een praktijk examentje en ze denken meteen dat ze wat van Cisco afweten

Er zijn met PBR op de 3750 een aantal beperkingen. Gevolg is dat 'ie dan verkeer opeens via de CPU gaat doen, waar je niet vrolijk van wordt. Zat ook goed verstopt, qua documentatie:

Policy Based Routing (PBR) implementation in Cisco Catalyst 3750 switches has some limitations. If these restrictions are not followed, it can cause high CPU utilization.

- You can enable PBR on a routed port or an SVI.
- The switch does not support route-map deny statements for PBR.
- Multicast traffic is not policy-routed. PBR applies only to unicast traffic.
- Do not match ACLs that permit packets destined for a local address. PBR forwards these packets, which can cause ping or Telnet failure or route protocol flapping.
- Do not match ACLs with deny ACEs. Packets that match a deny ACE are sent to the CPU, which can cause high CPU utilization.

http://www.cisco.com/en/U...ote09186a00807213f5.shtml

Nummer 2 is gezien een aantal van de maps hierboven denkelijk wel relevant.

Root don't mean a thing, if you ain't got that ping...

woensdag 15 april 2009 20:21

Acties:

TrailBlazer

Karnemelk FTW

het praktijk examen vraagt niet om een lage CPU load enkel om functionaliteit nooit beweerd dat ik alles weet maar wel iets en dat kan je niet ontkennen

maar wel interessante informatie verder. Het werkt blijkbaar wel volgens de TS maar ik weet niet welke route-map die gebruikt.

woensdag 15 april 2009 22:13

Acties:

ijdod

Moet eerlijk bekennen dat wij er ook pas tegenaan liepen bij het troubleshooten van erg wazige performance issues, die hier uiteindelijk nauwelijks aan gerelateerd bleken. Maar je weet hoe het gaat, zodra je ergens een vergrootglas op legt, vindt je dingen. Ben later nog wel meer eigenaardigheden van de 3750 tegen gekomen. Sommige destination MAC rewrites vindt 'ie ook niet leuk in hardware.

Root don't mean a thing, if you ain't got that ping...

donderdag 23 april 2009 16:41

Acties:

H@rry

Topicstarter

Als ik jou goed begrijp zou ik het dus moeten omdraaien. Ik heb nu inderdaad een deny op een intern adres, en een permit op 0.0.0.0/0.

Ik moet nog wat dingen gaan omdraaien en dan kan ik het wel zo doen. Maar in principe is PBR een tijdelijke oplossing omdat we op een nieuwe internet lijn over gaan. Dat de CPU usage omhoog ging had ik ook gelezen, alleen niet dat het alleen op een deny is. Leuk om te weten

GoT a clue? Specs