[GTER] NE40 PBR

André Luiz Rodrigues Dias andredias at hexanetworks.com.br
Thu Nov 14 14:26:37 -03 2019


Um artigo sobre esse assunto no BPF será fantástico!

Att;

André Dias
HexaNetworks
(17)99670-0482




> On 14 Nov 2019, at 11:32, Gondim <gondim at linuxinfo.com.br> wrote:
> 
> Bom dia Evandro,
> 
> Posso te sugerir, já que vai escrever um artigo sobre isso, que seja no
> Brasil Peering Fórum [1]?
> 
> A comunidade agradece e sucesso!
> 
> [1] https://wiki.brasilpeeringforum.org/
> 
> Em 04/11/2019 12:47, Evandro Alves escreveu:
>> Consegui fazer funcionar.
>> Vou escrever um artigo a respeito e passo pra galera.
>> 
>> On Mon, Nov 4, 2019 at 12:27 PM Evandro Alves <evandroalves28 at gmail.com>
>> wrote:
>> 
>>> como vpn-instances não resolve, porque a ideia é a seguinte:
>>> tenho um pool de ips publicos que é limitado. Ele será preenchido
>>> primeiro. Assim que este pool estiver populado, os assinantes passarão a
>>> obter ip do pool de ips privados. Muda-se o pool de ips, mas o dominio,
>>> vpn-instance, são os mesmos.
>>> Para fazer via vpn-instance, teria que definir via radius que o usuário ou
>>> grupo de usuário utilizasse determinada vpn-instance, porém no meu cenário,
>>> não há diferença entre os usuários que obterão ip público e os que obterão
>>> ip privado. A única diferença é que "quem chega primeiro, pega ip público",
>>> e quem tem ip publico, vai tem uplink na interface X, e quem tem ip
>>> privado, vai na interface Y, para que seja feito o CGNAT em uma caixa
>>> externa.
>>> 
>>> 
>>> On Mon, Nov 4, 2019 at 12:21 PM Evandro Alves <evandroalves28 at gmail.com>
>>> wrote:
>>> 
>>>> Tentei aplicar na interface de entrada também e não deu certo.
>>>> Tanto na GE0/3/13 quanto na GE0/3/13.2000 como inbound.
>>>> Tentei aplicar no escopo global também, mas só funciona como UCL. O
>>>> problema de UCL é que trata somente se a conexão pertence ao user-group
>>>> definido na UCL e no dominio, e os usuários se conectam usando o mesmo
>>>> domínio.
>>>> 
>>>> On Mon, Nov 4, 2019 at 12:16 PM Joelson Vendramin via gter <
>>>> gter at eng.registro.br> wrote:
>>>> 
>>>>> Evandro,
>>>>> Talvez o problema esteja em aplicar a traffic-policy na saída da
>>>>> interface. O roteador já deve ter processado os pacotes colocando o
>>>>> next-hop seguindo a tabela de roteamento. Portanto, o tráfego que você está
>>>>> tentando aplicar a PBR não vai aparecer na GigabitEthernet0/3/14.
>>>>> 
>>>>> Tente mudar a lógica da sua policy para aplicar na (ou nas) interfaces
>>>>> onde o tráfego "entra" no roteador.
>>>>> De qualquer forma, se você puder fugir das PBRs e usar uma solução com
>>>>> vpn-instances, conforme o Tales sugeriu, seria bem melhor!
>>>>> Sds,
>>>>> --Joelson Vendramin
>>>>> 
>>>>>    Em sexta-feira, 1 de novembro de 2019 21:39:28 BRT, Tales Rodarte <
>>>>> talesrodarte at gmail.com> escreveu:
>>>>> 
>>>>> Evandro,
>>>>> 
>>>>> Não obtive sucesso ao realizar está configuração em alguns NE20 (aplicar
>>>>> o PBR baseado nas interfaces UPLINK) e tão pouco conseguir aplicar o PBR
>>>>> direto no template PPP.
>>>>> 
>>>>> A forma mais simples de contornar isso é criar uma vpn-instance com rota
>>>>> default para o next-hop que deseja e colocar os PPP para usarem ela.
>>>>> O parâmetro da vpn-instance tu envia via radius.
>>>>> 
>>>>> Outra forma que tem também é vincular a vpn-instance a POOLs diferentes
>>>>> e enviar o parametro de pool via radius  ou usar ucl-group.
>>>>> Mas nem todas as formas se encaixam na maioria dos ambientes de ISP.
>>>>> 
>>>>> --
>>>>> 
>>>>> Tales
>>>>> 
>>>>> 
>>>>> Em 01/11/2019 17:41, Evandro Alves escreveu:
>>>>>> estou com alguma dificuldade para configurar uma PBR no NE40.
>>>>>> O que preciso é trocar o next-hop de acordo com o ip de origem do
>>>>> pacote
>>>>>> para tráfego de saída para direcionar o tráfego dos clientes
>>>>> conectados com
>>>>>> ip de CGNAT para uma caixa externa.
>>>>>> segui a receitinha de bolo, mas não funciona.
>>>>>> 
>>>>>> acl name from-temp-cgnat number 3100
>>>>>> 
>>>>>> rule 64 permit ip source 100.64.0.0 0.63.255.255
>>>>>> 
>>>>>> 
>>>>>> traffic classifier TEMP-CGNAT operator or
>>>>>> 
>>>>>> if-match acl 3100
>>>>>> 
>>>>>> 
>>>>>> traffic behavior TEMP-CGNAT
>>>>>> 
>>>>>> redirect ip-nexthop 10.192.0.157
>>>>>> 
>>>>>> 
>>>>>> traffic policy TEMP-CGNAT
>>>>>> 
>>>>>> share-mode
>>>>>> 
>>>>>> classifier TEMP-CGNAT behavior TEMP-CGNAT precedence 1
>>>>>> 
>>>>>> 
>>>>>> interface GigabitEthernet0/3/4
>>>>>> 
>>>>>> undo shutdown
>>>>>> 
>>>>>> ip address <ip-de-enlace-uplink-padrão>
>>>>>> 
>>>>>> traffic-policy TEMP-CGNAT outbound
>>>>>> 
>>>>>> 
>>>>>> interface GigabitEthernet0/3/14
>>>>>> 
>>>>>> undo shutdown
>>>>>> 
>>>>>> ip address 10.192.0.158 255.255.255.252
>>>>>> 
>>>>>> 
>>>>>> display ip routing-table 0.0.0.0 0
>>>>>> 
>>>>>> Route Flags: R - relay, D - download to fib, T - to vpn-instance, B -
>>>>> black
>>>>>> hole route
>>>>>> 
>>>>>> 
>>>>> ------------------------------------------------------------------------------
>>>>>> Routing Table : _public_
>>>>>> 
>>>>>> Summary Count : 1
>>>>>> 
>>>>>> 
>>>>>> 
>>>>>> Destination/Mask    Proto  Pre  Cost        Flags NextHop
>>>>> Interface
>>>>>> 
>>>>>> 
>>>>>>         0.0.0.0/0  Static  60  0            D  <ip-do-gateway-padrao>
>>>>>> GigabitEthernet0/3/4
>>>>>> 
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>> 
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>> 
>>>> 
>>>> --
>>>> Evandro Alves P.
>>>> 
>>> 
>>> --
>>> Evandro Alves P.
>>> 
>> 
> -- 
>  ⢀⣴⠾⠻⢶⣦⠀  Marcelo Gondim 
>  ⣾⠁⢠⠒⠀⣿⡁  Sysadmin - https://www.linuxinfo.com.br
>  ⢿⡄⠘⠷⠚⠋   DA04 922E 78B3 44A5 3C8D 23D0 8DB5 571E E151 4E19
>  ⠈⠳⣄⠀⠀⠀⠀  Logic will get you from A to B. Imagination will take you everywhere. (Albert Einstein)
> 
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list