Route-map LAB 1.

Objetivo: Analizar el funcionamiento de PBR y route-maps en un escenario específico.

Topología:

Untitled picture

El objetivo específico de este laboratorio es diseñar una PBR para que el tráfico que pasa por el router B1 cumpla con los siguiente:
-Si los 3 links de B1 están activos el tráfico de la SUB3 y SUB4 hacia SUB1 debe pasar por el link1.
-Si los 3 links de B1 están activos el tráfico de la SUB3 hacia el resto de la red (SUB2) debe pasar por el link3.
-Si los 3 links de B1 están activos el tráfico de la SUB4 hacia el resto de la red (SUB2) debe pasar por el enlace principal (link2 con un costo ospf de 300)
-Si el link1 está caído el tráfico de la SUB3 hacia toda la red (SUB1 y SUB2) debe pasar por el link3.
-Si el link1 está caído el tráfico de la SUB4 hacia toda la red (SUB1 y SUB2) debe pasar por el enlace principal (link2).

O sea, dividir el tráfico para que el link2 sea exclusivo para el tráfico de SUB4 y el link3 exclusivo para el tráfico de SUB3.

Configs:

B1:
!
hostname B1
!
ip dhcp pool SUB3
network 14.1.20.0 255.255.255.0
default-router 14.1.20.1
dns-server 14.1.20.254
domain-name cisco.com
lease 7
!
ip dhcp pool SUB4
network 14.1.21.0 255.255.255.0
dns-server 14.1.21.254
domain-name cisco.com
default-router 14.1.21.1
lease 7
!
track 1 ip sla 1
delay down 40 up 40
!
/link1
interface FastEthernet0/0
ip address 14.1.130.2 255.255.255.252
ip ospf cost 500
!
interface FastEthernet1/0
ip address 14.1.20.1 255.255.255.0
ip policy route-map TEST
!
interface FastEthernet2/0
ip address 14.1.21.1 255.255.255.0
ip policy route-map TEST
!
/link2
interface Serial3/0
bandwidth 128
ip address 14.18.2.2 255.255.255.252
encapsulation ppp
ip ospf cost 300
!
/link3
interface Serial3/1
bandwidth 128
ip address 14.18.2.6 255.255.255.252
ip ospf cost 400
!
router ospf 1
area 1 stub no-summary
network 0.0.0.0 255.255.255.255 area 1
!
ip access-list extended SUB3-to-SUB1
permit ip 14.1.20.0 0.0.0.255 14.1.1.0 0.0.0.255
ip access-list extended SUB3-to-all
permit ip 14.1.20.0 0.0.0.255 any
ip access-list extended SUB4-to-SUB1
permit ip 14.1.21.0 0.0.0.255 14.1.1.0 0.0.0.255
ip access-list extended SUB4-to-all
permit ip 14.1.21.0 0.0.0.255 any
!
ip sla auto discovery
/Este ip sla manda un icmp hacia la ip 14.1.130.1 utilizando como fuente la dirección ip de la interfaz Fa0/0. Si se cae el link del lado de WAN1, el router no detecta el cambio en su Fa0/0 (no cambia el estado de la interfaz a down down). Esto permite mantener la ruta en la tabla para la subnet directamente conectada a la Fa0/0. El router manda el pqt por la interfaz Fa0/0 pero como el extremo está caído, no llega el paquete y por lo tanto el estado del icmp cambia a Timeout. El track 1 también cambia su estado a down (el track 1 por default sigue reachability y no state). Si se cayera la interfaz Fa0/0 del propio router, el sla cambia su estado a error socket (no puede construir el pqt porque le falta la ip fuente) y por lo tanto el track cambia a down.
ip sla 1
icmp-echo 14.1.130.1 source-interface FastEthernet0/0
frequency 20
ip sla schedule 1 life forever start-time now
!
/Normalmente (track 1 up) el tráfico de SUB3 a SUB1 se va por el link1. Si el track1 cambia de estado el primer next-hop se deshabilita y entre el juego la siguiente sentencia, que manda el tráfico hacia el link3.
route-map TEST permit 5
match ip address SUB3-to-SUB1
set ip next-hop verify-availability 14.1.130.1 10 track 1
set ip next-hop 14.18.2.5
!
/Normalmente (track 1 up) el tráfico de SUB4 a SUB1 se va por el link1. Si el track1 cambia de estado el primer next-hop se deshabilita y el tráfico se va siguiendo las rutas del proceso de enrutamiento.
route-map TEST permit 15
match ip address SUB4-to-SUB1
set ip next-hop verify-availability 14.1.130.1 10 track 1
!
/Todo el tráfico de SUB3 que llega a esta sentencia del route-map será enviado por el link3.
route-map TEST permit 25
match ip address SUB3-to-all
set ip next-hop 14.18.2.5
!

LAN:
!
hostname LAN
!
ip dhcp pool SUB1
network 14.1.1.0 255.255.255.0
default-router 14.1.1.1
dns-server 14.1.1.254
domain-name cisco.com
lease 7
!
ip dhcp pool SUB2
network 14.1.2.0 255.255.255.0
dns-server 14.1.2.254
domain-name cisco.com
default-router 14.1.2.1
lease 7
!
interface FastEthernet0/0
ip address 14.1.1.1 255.255.255.0
!
interface FastEthernet1/0
ip address 14.1.2.1 255.255.255.0
!
interface FastEthernet2/0
ip address 14.1.26.1 255.255.255.224
!
router ospf 1
network 0.0.0.0 255.255.255.255 area 0
!

WAN2:
!
hostname WAN2
!
track 1 ip sla 1
delay down 40 up 40
!
interface FastEthernet0/0
ip address 14.1.26.3 255.255.255.224
ip policy route-map TEST
!
/link2
interface Serial3/0
bandwidth 128
ip address 14.18.2.1 255.255.255.252
encapsulation ppp
ip ospf cost 300
clock rate 128000
!
/link3
interface Serial3/1
bandwidth 128
ip address 14.18.2.5 255.255.255.252
ip ospf cost 400
clock rate 128000
!
router ospf 1
area 1 stub no-summary
network 14.1.26.0 0.0.0.255 area 0
network 0.0.0.0 255.255.255.255 area 1
!
ip access-list extended SUB1-to-SUB3
permit ip 14.1.1.0 0.0.0.255 14.1.20.0 0.0.0.255
ip access-list extended SUB1-to-SUB4
permit ip 14.1.1.0 0.0.0.255 14.1.21.0 0.0.0.255
ip access-list extended all-to-SUB3
permit ip any 14.1.20.0 0.0.0.255
ip access-list extended all-to-SUB4
permit ip any 14.1.21.0 0.0.0.255
/Esta acl junto con el route-map LOCAL tiene como objetivo identificar el tráfico generado por el sla y mandarlo hacia el router WAN1, independientemente del enrutamiento del router WAN2. Si se cayera la interfaz Fa0/0 del router B1, WAN2 envía el icmp del sla a WAN1 y este, al no detectar problemas con la ruta directamente conectada del link1, lo envía por ese enlace. Como el otro extremo está caído, el sla y por lo tanto el track cambian de estado. Si se cae la interfaz Fa1/0 del router WAN1, el router WAN1 deja de tener una ruta directamente conectada para el destino ip del icmp que WAN2 le está tirando. El router WAN1 aprende la ruta de WAN2 y se crea un lazo en el cuál el pqt generado por WAN2 va a WAN1, por enrutamiento WAN1 lo envía a WAN2, y este por enrutamiento lo envía a B1. De este manera el track nunca estará down! a pesar de que el objetivo es que estuviera down cuando hubiera problemas con el link 1 en cualquiera de los extremos. Para esto tenemos varias soluciones, la mía fue una acl de salida en WAN1 Fa0/0 para bloquear el pqt enviado por WAN1 de vuelta a WAN2. De esta manera el track estará down.
ip access-list extended track1
permit ip host 14.1.26.3 host 14.1.130.2
!
ip sla auto discovery
/Como el link1 se encuentra en el router WAN1, todo el tráfico de SUB1 hacia SUB3 y SUB4 debe ser enviado hacia el router WAN1, si y solo si el link1 está activo. Lo primero en este sentido es crear un sla 1 que compruebe el estado de la ip 14.1.130.2 y configurar el track 1 para que siga su estado.
ip sla 1
icmp-echo 14.1.130.2 source-interface FastEthernet0/0
frequency 20
ip sla schedule 1 life forever start-time now
!
route-map TEST permit 5
match ip address SUB1-to-SUB3
set ip next-hop verify-availability 14.1.26.2 10 track 1
set ip next-hop 14.18.2.6
!
route-map TEST permit 15
match ip address SUB1-to-SUB4
set ip next-hop verify-availability 14.1.26.2 10 track 1
!
route-map TEST permit 25
match ip address all-to-SUB3
set ip next-hop 14.18.2.6
!
route-map LOCAL permit 5
match ip address track1
set ip next-hop 14.1.26.2
!

WAN1:
!
hostname WAN1
!
interface FastEthernet0/0
ip address 14.1.26.2 255.255.255.224
ip access-group track-complement out
!
interface FastEthernet1/0
ip address 14.1.130.1 255.255.255.252
ip ospf cost 500
!
router ospf 1
area 1 stub no-summary
network 14.1.26.0 0.0.0.255 area 0
network 14.1.130.0 0.0.0.255 area 1
!
/bloquear el track de vuelta.
ip access-list extended track-complement
deny   ip host 14.1.26.3 host 14.1.130.2
permit ip any any
!

Comprobación.

Con el link1 up:

PC3> trace 14.1.1.2
trace to 14.1.1.2, 8 hops max, press Ctrl+C to stop
1   14.1.20.1   15.600 ms 15.600 ms 15.600 ms
2   14.1.130.1   46.800 ms 46.800 ms 46.800 ms
3   14.1.26.1   78.000 ms 78.000 ms 62.400 ms
4   *14.1.1.2   62.400 ms (ICMP type:3, code:3, Destination port unreachable)

PC3> trace 14.1.2.2
trace to 14.1.2.2, 8 hops max, press Ctrl+C to stop
1   14.1.20.1   15.600 ms 15.600 ms 15.600 ms
2   14.18.2.5   46.800 ms 31.200 ms 46.800 ms
3   14.1.26.1   62.400 ms 62.400 ms 62.401 ms
4   *14.1.2.2   93.600 ms (ICMP type:3, code:3, Destination port unreachable)

PC4> trace 14.1.1.2
trace to 14.1.1.2, 8 hops max, press Ctrl+C to stop
1   14.1.21.1   15.600 ms 15.600 ms 15.600 ms
2 14.1.130.1   15.600 ms 46.801 ms 31.200 ms
3   14.1.26.1   46.800 ms 46.800 ms 46.800 ms
4   *14.1.1.2   93.600 ms (ICMP type:3, code:3, Destination port unreachable)

PC4> trace 14.1.2.2
trace to 14.1.2.2, 8 hops max, press Ctrl+C to stop
1   14.1.21.1   15.601 ms 15.600 ms 15.600 ms
2   14.18.2.1   46.800 ms 46.800 ms 46.800 ms
3   14.1.26.1   62.400 ms 78.000 ms 62.400 ms
4   *14.1.2.2   62.400 ms (ICMP type:3, code:3, Destination port unreachable)

Con el link1 down:

PC3> trace 14.1.1.2
trace to 14.1.1.2, 8 hops max, press Ctrl+C to stop
1   14.1.20.1   15.600 ms 15.600 ms 15.600 ms
2   14.18.2.5   62.401 ms 46.800 ms 46.800 ms
3   14.1.26.1   78.000 ms 78.000 ms 78.000 ms
4   *14.1.1.2   93.600 ms (ICMP type:3, code:3, Destination port unreachable)

PC3> trace 14.1.2.2
trace to 14.1.2.2, 8 hops max, press Ctrl+C to stop
1   14.1.20.1   15.600 ms 15.600 ms 15.600 ms
2 14.18.2.5   46.800 ms 46.800 ms 46.800 ms
3   14.1.26.1   78.000 ms 78.001 ms 78.000 ms
4   *14.1.2.2   93.600 ms (ICMP type:3, code:3, Destination port unreachable)

PC4> trace 14.1.1.2
trace to 14.1.1.2, 8 hops max, press Ctrl+C to stop
1   14.1.21.1   15.600 ms 15.600 ms 15.600 ms
2   14.18.2.1   46.800 ms 31.200 ms 46.801 ms
3   14.1.26.1   62.400 ms 46.800 ms 62.400 ms
4   *14.1.1.2   93.600 ms (ICMP type:3, code:3, Destination port unreachable)

PC4> trace 14.1.2.2
trace to 14.1.2.2, 8 hops max, press Ctrl+C to stop
1   14.1.21.1   15.600 ms 15.600 ms 15.600 ms
2   14.18.2.1   46.800 ms 46.800 ms 46.800 ms
3   14.1.26.1   78.000 ms 78.000 ms 62.400 ms
4   *14.1.2.2   93.601 ms (ICMP type:3, code:3, Destination port unreachable)

Advertisements
Posted in PBR

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s