我正在尝试在 brocade VDX(NOS 操作系统)上配置基于策略的路由,以根据目标子网引导流量。
我希望从 10.5.2.0/23 到 10.5.1.0/25 的流量由交换机 (10.5.2.1) 上配置的 VE 路由
我希望从 10.5.2.0/23 到其他任何地方的流量通过作为防火墙/路由器的 pfsense 框。(10.5.2.2)
为此,我配置了两个 ACLS,指定源网络和目标网络
第一个说允许从 10.5.2.0/23 到 10.5.1.0/25 的流量
show access-list ip emgap01ToStorage in
ip access-list emgap01ToStorage on Ve 3020 at Ingress (From PBR)
seq 10 permit ip 10.5.2.0 255.255.254.0 10.5.1.0 255.255.255.128 (Active)
接下来说允许从 10.5.2.0/23 到 ANY 的流量
show access-list ip emgap01ToFirewall in
ip access-list emgap01ToFirewall on Ve 3020 at Ingress (From PBR)
seq 10 permit ip 10.5.2.0 255.255.254.0 any (Active)
然后我将路线图应用于这两个规则。
首先是序列 10,如果流量匹配第一个 ACL,则通过分配的 VE 正常路由
如果流量没有进入该 acl 中指定的网络,它应该进入 seq 20,它将下一跳设置为 10.5.2.2
show route-map emgap
Interface Ve 3020
ip policy route-map emgap permit 10 (Active)
match ip address acl emgap01ToStorage
set ip next-hop 10.5.2.1
Policy routing matches: 0 packets Note: Counter values are partial
Interface Ve 3020
ip policy route-map emgap permit 20 (Active)
match ip address acl emgap01ToFirewall
set ip next-hop 10.5.2.2 (selected)
Policy routing matches: 0 packets Note: Counter values are partial
在此配置中,似乎没有应用路由,流量永远不会传递到防火墙(10.5.2.2)
我这里可能有两个问题
- 我只是写错了 ACLS(可能是因为 PBR 显示 0 个数据包与策略匹配?)
- 路由器没有向防火墙发送流量,因为它不知道 10.5.2.2 是路由器。由于它是一个 pfsense 盒子,织锦不知何故不知道 10.5.2.2 可以路由东西。
这是路线图的运行配置
route-map emgap permit 10
match ip address acl emgap01ToStorage
set ip next-hop 10.5.2.1
!
route-map emgap permit 20
match ip address acl emgap01ToFirewall
set ip next-hop 10.5.2.2
以及我想要的拓扑的基本图片
