Day la mot thread cua Brian Dennis tra loi ve van de ACL out khong filter cac packet sourced tu local router.

You need to create a local policy and route all packets you want effected by the outbound ACL (i.e. outbound E0/0) out of a loopback interface first. Not a pretty solution but it is a solution. See example
below:


Rack1R1#wr t
<snip>
!
hostname Rack1R1
!
interface Loopback0
ip address 10.11.11.11 255.255.255.255
!
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 100 out
no ip route-cache
!
ip local policy route-map OutACL
!
access-list 1 permit any
access-list 100 deny ip any any
route-map OutACL permit 10
match ip address 1
set interface Loopback0
!
<snip>
end

Rack1R1#sho ip rout
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
C 10.11.11.11/32 is directly connected, Loopback0
C 10.1.1.0/24 is directly connected, Ethernet0/0
R 10.22.22.22/32 [120/1] via 10.1.1.2, 00:00:14, Ethernet0/0
Rack1R1#ping 10.22.22.22

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.22.22.22, timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5) Rack1R1#conf t Enter configuration commands, one per line. End with CNTL/Z. Rack1R1(config)#no ip local policy route-map OutACL Rack1R1(config)#^Z Rack1R1#ping 10.22.22.22

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.22.22.22, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms Rack1R1#

Brian Dennis, CCIE #2210 (R&S/ISP-Dial/Security)
Director of CCIE Training and Development -
IPexpert, Inc.
Mailto: brian@ipexpert.net
Toll Free: 866.225.8064
Outside U.S. & Canada: 312.321.6924

-----Original Message-----
From: nobody@groupstudy.com [mailto:nobody@groupstudy.com] On Behalf Of Richard Davidson
Sent: Friday, April 04, 2003 7:36 PM
To: Brian Dennis; 'Richard Davidson'; 'groupstudy'
Subject: RE: local sourced traffic no matching out bound ACL?

Yes, I would love to know how to effect packets
sourced by the router with an acl.
Rich

--- Brian Dennis <brian@5g.net> wrote:
> You are correct in your findings that packets
> sourced by the router are
> not affected by an outbound ACL. If you want packets
> sourced by the
> router to be affected by an outbound ACL let me know
> and I'll show you
> how.
>
> Brian Dennis, CCIE #2210 (R&S/ISP-Dial/Security)
> Director of CCIE Training and Development -
> IPexpert, Inc.
> Mailto: brian@ipexpert.net
> Toll Free: 866.225.8064
> Outside U.S. & Canada: 312.321.6924
>
> -----Original Message-----
> From: nobody@groupstudy.com
> [mailto:nobody@groupstudy.com] On Behalf Of
> Richard Davidson
> Sent: Friday, April 04, 2003 4:47 PM
> To: groupstudy
> Subject: local sourced traffic no matching out bound
> ACL?
>
> If I have an access-list on E0 that denys all
> traffic
> out and the router has an adjacency with a
> neighboring
> ospf router, how does this route stay up. This
> router
> can still ping neighboring devices out of the E0
> interface. Does the router not follow the interface access-list rule?
> I think it does. What do I do to get the router to follow the rules
> of the access-list.
> Any link or explanation would help.
>
> Thanks All.

chào anh,

eem không hiểu lắm cấu hình này. Theo mặc định access-list sẽ có phát biểu deny ở cuối cùng. Trong cấu hình ví dụ của anh đưa ra, access-list 100 chỉ có deny và access-list này được apply vào e0. trong trường hợp đó, e0 sẽ tương đươnng với DOWN.

Mong anh xem xét,
cám ơn anh.

Đó chính là ý nghĩa chính của bài này, khi dùng access-control list out cho interface và access control list cấm tất cả các ip packet (deny all). Những ip packet có nguồn từ router sẽ không bị chi phối bởi access-control list này. Do đó vẫn có thể ping đầu bên kia của interface và router bên kia vẫn nhận được routing update.

như vậy khi định nghĩa policy routing, mình không cần phải apply policy vào một interface nào đó giống như của access-list hả anh?

theo em nhớ là trong interface vẫn phải có lệnh policy map gì đó.

Bạn đã nhớ đúng rồi đó sinhvienngheo, trong interface có lệnh ip policy route-map để áp dụng các chính sách routing đối với packet đi vào interface đó.

Còn lệnh ip local policy route-map là dùng để áp dụng các chính sách này cho packet xuất phát từ chính router đó.

như vậy, khi một packet đi vào một interface của router, nếu có dùng policy route-map (PBR) thì packet đó sẽ được policy route ra interface phù hợp. khi đó bảng routing table sẽ không được tham khảo. ok. So far so good!

vậy, nếu trên router của em bây giờ chạy đủ thứ hết, ví dụ có cả NAT, IPsec, PBR và routing thông thường, em muốn hỏi thứ tự xử lý của các công nghệ trên?


---->my packet-------->Router (NAT,PBR,IPsec, routing...)-------output

cám ơn,

Khi dùng PBR, gói tin sẽ được chuyển đến địa chỉ hoặc cổng mạng phù hợp, nhưng nó vẫn phải tham khảo bảng routing!
Chẳng hạn như nếu bạn set interface serial 1 cho một số gói tin nào đó nhưng trong bảng routing không có serial 1 (mặc dù về vật lý, đường này vẫn tốt, nhưng không được đưa vào bảng routing vì metric xấu hơn chẳng hạn), thì PBR vẫn không chạy tốt.

Còn về thứ tự xử lý các công nghệ thì có lẽ phải nhờ ai đó trả lời giúp bạn vậy, mình chưa thấy tài liệu nào mô tả vấn đề này.

anh hoachuối,

dưới đây là một cái link chỉ về thứ tự ưu tiên xử lý các packet khi anh áp dụng hàng loạt công nghệ khác nhau làm thay đổi packets:


http://www.cisco.com/warp/public/556/5.html

theo quá trình này, PBR diễn ra trước quá trình routing thông thường. Khi đó bảng route sẽ không được tham khảo.

bảng route chỉ được tham khảo khi lệnh

set ip default-nexthop được dùng. Lệnh này khác với set ip next-hop. ;-)

cũng theo bảng trên, ipsec sẽ được xử lý trước, đến CAR, PBR, routing, NAT...

cám ơn Anh,

Chào bạn, cám ơn bạn đã gửi một đường dẫn rất tốt về thứ tự các công việc đang xử lý. Tuy nhiên tài liệu này không nói rõ về PBR có tham khảo bảng routing hay không (mà theo mình nghĩ là có như đã đề cập ở bài gửi trước). Có bạn nào có thông tin về việc này không thì cho xin cao kiến nha.
Cám ơn rất nhiều!

vậy là đối với PBR (policy based routing), em còn hai vấn đề:

1. PBR có tham khảo bảng routing table hay không?
2. Có phải PBR chỉ apply cho input traffic thôi?

xin cám ơn,

Hi Hoa Chuoi, SVN
1/ PBR không có tham khảo bảng routing. Chừng nào PBR không có match được cái gì thì lúc đó mới tham khảo đến Routing table.
Tức là độ ưu tiên của PBR cao hơn routing thôngt thường.
Tuy nhiên cần làm rõ 2 trường hợp đặc biệt.
- Với lệnh set ip next-hop hay set-interface thì packet sẽ được forward bất chấp route trong routing table.
- Với lệnh set ip default-nexthop và set ip default-interface thì nó có tham khảo qua routing table, nếu không thấy route nào match thì nó dùng default trong PBR. Dĩ nhiên sẽ bỏ qua default route trong routing table.
2/ PBR chỉ apply cho input and local traffice. Nhưng cũng như routing thông thường thôi. Router sẽ xử lý các packet input và quyết định out ra interface nào.

cám ơn anh Hoachuoi, anh Hải và anh Phúc,

Với PBR thì em đã hiểu. Tuy nhiên, em không hiểu sự khác nhau giữa Fast-switch PBR và PBR thông thường. Hai cơ chế này có gì khác nhau? Còn Netflow PBR?

mong các anh giải thích sự khác nhau giữa những công nghệ này?