取消
显示结果 
搜索替代 
您的意思是: 
cancel
5822
查看次数
52
有帮助
7
回复

求助cisco策略路由问题,已测试2811和4506都没实现,手生不懂

huangmingchao
Level 1
Level 1

新接了一个防火墙,想先测试,但是策略路由一直不生效,4506是没有反映,删除策略自动重启,2811是显示有匹配数据包,但是追踪路由下一跳还是原路由。
1 个已接受解答

已接受的解答

jingjian
Spotlight
Spotlight
第一,你可以把你的4506交换机的硬件配置通过show module命令贴出来,然后可以确认你的设备是否支持PBR
第二,因为2811路由器默认只有两个路由接口,如果想在2811上做PBR,那么你的深信服设备要连接到2811上,需要确认2811的接口是否够用
第三,因为你的拓扑中没有标注设备的互联地址,所以不能清楚的体现的你的网络流量的走向,请更新一下你的物理连接图
第四,你的配置是正确的,并没有任何问题

在原帖中查看解决方案

7 条回复7

jingjian
Spotlight
Spotlight
第一,你可以把你的4506交换机的硬件配置通过show module命令贴出来,然后可以确认你的设备是否支持PBR
第二,因为2811路由器默认只有两个路由接口,如果想在2811上做PBR,那么你的深信服设备要连接到2811上,需要确认2811的接口是否够用
第三,因为你的拓扑中没有标注设备的互联地址,所以不能清楚的体现的你的网络流量的走向,请更新一下你的物理连接图
第四,你的配置是正确的,并没有任何问题

YilinChen
Spotlight
Spotlight
本帖最后由 YilinChen 于 2017-11-13 12:57 编辑
如果不支持策略路由,还有另一种变通的办法:把深信服做为192.168.19.x网段的网关来实现测试:
第一步:
网络架构不变,深信服FW的内网口接4506上的接口为ACCESS模式,加到和192.168.19.X网段相同的VLAN内;
第二步:
a.将192.168.19.X网段的 SVI接口的IP变更,深信服FW的内网口设成原来192.168.19.X网段的网关IP;
b.不用改变SVI口的IP地址,而是改动192.168.19.X网段对应DHCP服务的配置,将网关IP改成 深信服FW的内网口的IP。
另,192.168.19.X网段内主机和其它网段的通信,通过深信服FW添加明细路由实现;

fortune
VIP Alumni
VIP Alumni
看看你的4500是否支持PBR ,不同的license 支持的特性不一样的哦,要确认

fortune
VIP Alumni
VIP Alumni
F0/0 是直连19网段的端口么? 你试试在vlan 网关上做看看

one-time
Level 13
Level 13
已经有用户帮您解答问题啦,快来看看有没有解决您的问题,来标记最佳答案吧,这也是给辛苦解答问题的用户一份的鼓励。

huangmingchao
Level 1
Level 1
已经确认了 2008年的设备licence不支持,软件版本不支持,2811的也是,在4506开了个新vlan分了16的子网,先测试设备,测试完了再替换老asa5500

xuxianda7
Spotlight
Spotlight
那就是支持的问题了,这个平时可以查release note
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接