请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 309|回复: 7

求助cisco策略路由问题,已测试2811和4506都没实现,手生不懂

[复制链接]
发表于 2017-11-11 02:25:25 | 显示全部楼层 |阅读模式
0可用金钱
  1. <img src="http://bbs.csc-china.com.cn/forum.php?mod=image&aid=31034&size=300x300&key=11bcd5fe9f92a36d&nocache=yes&type=fixnone" aid="attachimg_31034" alt="" border="0">
复制代码
新接了一个防火墙,想先测试,但是策略路由一直不生效,4506是没有反映,删除策略自动重启,2811是显示有匹配数据包,但是追踪路由下一跳还是原路由。
绘图1.jpg

最佳答案

查看完整内容

第一,你可以把你的4506交换机的硬件配置通过show module命令贴出来,然后可以确认你的设备是否支持PBR 第二,因为2811路由器默认只有两个路由接口,如果想在2811上做PBR,那么你的深信服设备要连接到2811上,需要确认2811的接口是否够用 第三,因为你的拓扑中没有标注设备的互联地址,所以不能清楚的体现的你的网络流量的走向,请更新一下你的物理连接图 第四,你的配置是正确的,并没有任何问题
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (2 评价)
发表于 2017-11-11 02:25:26 | 显示全部楼层
第一,你可以把你的4506交换机的硬件配置通过show module命令贴出来,然后可以确认你的设备是否支持PBR
第二,因为2811路由器默认只有两个路由接口,如果想在2811上做PBR,那么你的深信服设备要连接到2811上,需要确认2811的接口是否够用
第三,因为你的拓扑中没有标注设备的互联地址,所以不能清楚的体现的你的网络流量的走向,请更新一下你的物理连接图
第四,你的配置是正确的,并没有任何问题
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
发表于 2017-11-13 12:53:32 | 显示全部楼层
本帖最后由 YilinChen 于 2017-11-13 12:57 编辑

如果不支持策略路由,还有另一种变通的办法:把深信服做为192.168.19.x网段的网关来实现测试:
第一步:
网络架构不变,深信服FW的内网口接4506上的接口为ACCESS模式,加到和192.168.19.X网段相同的VLAN内;
第二步:
a.将192.168.19.X网段的 SVI接口的IP变更,深信服FW的内网口设成原来192.168.19.X网段的网关IP;
b.不用改变SVI口的IP地址,而是改动192.168.19.X网段对应DHCP服务的配置,将网关IP改成 深信服FW的内网口的IP。

另,192.168.19.X网段内主机和其它网段的通信,通过深信服FW添加明细路由实现;

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (2 评价)
发表于 2017-11-14 20:42:41 | 显示全部楼层
  看看你的4500是否支持PBR ,不同的license 支持的特性不一样的哦,要确认

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (1 评价)
发表于 2017-11-14 20:52:55 | 显示全部楼层
F0/0 是直连19网段的端口么? 你试试在vlan 网关上做看看
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-11-20 12:06:30 | 显示全部楼层
已经有用户帮您解答问题啦,快来看看有没有解决您的问题,来标记最佳答案吧,这也是给辛苦解答问题的用户一份的鼓励。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2017-11-21 18:28:14 | 显示全部楼层
已经确认了 2008年的设备licence不支持,软件版本不支持,2811的也是,在4506开了个新vlan分了16的子网,先测试设备,测试完了再替换老asa5500
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-11-30 08:00:03 | 显示全部楼层
  那就是支持的问题了,这个平时可以查release note
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2017-12-16 09:39 , Processed in 0.094557 second(s), 49 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表