...
Блок кода |
---|
0/ME5200:R17-180# sh hw-module maximum Thu NovFeb 2429 0910:1708:1148 20222024 FLAGS: N/S - Not Supported Transport-tunnels: MPLS transport tunnels, L3VPN service PHP tunnels Service-tunnels: MPLS L2VPN service tunnels, L3VPN service non-PHP tunnels Switch entries: MPLS Ingress Label Table Shared resources Resource Current Configured Approx. Cap. Used ----------------------- ------------ ------------ ------------- ----- CPU punt entries 65536 65536 N/S 1514 Ingress shapers 128 128 N/S 02 Service tunnels 6144 6144 N/S 21 Mirrors 15 N/S N/S 01 TPID 3 N/S N/S 1 VLAN profiles 8 N/S N/S 3 Ingress rewrite 68 N/S N/S 3 Egress rewrite 260 N/S N/S 3 BFD timers 8 N/S N/S 12 BFD local RX/TX timers 8 N/S N/S 12 BFD source addresses 1647 N/S47 N/S 01 FEC 126970 N/S N/S 1813 ECMP 4094 N/S N/S 0 IPv4ACL acl-entries 0 0 N/S 0 <<<<<< текущее значение IPv6 acl-entries N/S 0 0 <<<<<<<<<<< текущее значение N/S 0 Transport tunnels 2048 2048 N/S 135 IPv4 flows 0100 100 0 N/S 0 IPv6 flows 0 0 N/S 0 IPv4 routes 1289709 1289709 30502363453931 4746 IPv6 routes 100110 100110 19081682153077 211 ARP 53242 N/S N/S 1011 Interfaces 8192 N/S N/S 5651 VSI 8190 N/S N/S 1917 Switch entries 0N/S N/S N/S 0 Rate limiters 1023 N/S N/S 02 0/ME5200:R17-180# |
Если выделенных ресурсов для ACL не достаточно, то следует добавить требуемое количество ресурсов выполнив команду:
...
Во вторых, необходимо включить возможность настройки ACL для трафика использующего d efaultdefault-route.
Блок кода |
---|
0/ME5200revX:R17-180(config)#hw-module enable acl-default |
...
Блок кода |
---|
0/ME5200:R17-180# sh hw-module maximum Thu NovFeb 2429 0910:2511:1517 20222024 FLAGS: N/S - Not Supported Transport-tunnels: MPLS transport tunnels, L3VPN service PHP tunnels Service-tunnels: MPLS L2VPN service tunnels, L3VPN service non-PHP tunnels Switch entries: MPLS Ingress Label Table Shared resources Resource Current Configured Approx. Cap. Used ----------------------- ------------ ------------ ------------- ----- CPU punt entries 65536 65536 N/S 1514 Ingress shapers 128 128 N/S 02 Service tunnels 6144 6144 N/S 21 Mirrors 15 N/S N/S 01 TPID 3 N/S N/S 1 VLAN profiles 8 N/S N/S 3 Ingress rewrite 68 N/S N/S 3 Egress rewrite 260 N/S N/S 3 BFD timers 8 N/S N/S 12 BFD local RX/TX timers 8 N/S N/S 12 BFD source addresses 1647 N/S47 N/S 01 FEC 126970 N/S N/S 1813 ECMP 4094 N/S N/S 0 IPv4ACL acl-entries 10 10 N/S 2 <<<<<<< измененное<<<<<<<<<<< изменённое значение IPv6 acl-entries 0 0 N/S 0 Transport tunnels 2048 2048 N/S 135 IPv4 flows 0100 100 0 N/S 0 IPv6 flows 0 0 N/S 0 IPv4 routes 1289709 1289709 30502363453931 4746 IPv6 routes 100110 100110 19081682153077 211 ARP 53242 N/S N/S 1011 Interfaces 8192 N/S N/S 5651 VSI 8190 N/S N/S 1917 Switch entries 0N/S N/S N/S 0 Rate limiters 1023 N/S N/S 02 0/ME5200:R17-180# |
Пример ACL и его применение на интерфейсе показано ниже.
...
Блок кода |
---|
interface tengigabitethernet 0/0/11.100124 description "labr02 te 1/0/1.124" encapsulation outer-vid 100 inner-vid 124 ipv4 access-group ingress pbr-default ipv4 address 100.124.0.1/24 exit ipv4 access-list pbr seq-num 10 action redirect nexthop 1 ipv4 address 192.168.55.22 exit source ipv4 100.124.0.0/24 exit exit exit |
В данном случае весь трафик из сети 100.124.0.0/24 будет отправлен по адресу nexthop 192.168.55.22. Если адрес 192.168.55.22 отсутствует в таблице маршрутизации, то трафик будет отброшен
Ниже пример несколько расширенного PBR.
Блок кода |
---|
ipv4 access-list pbr-default seq-num 20 action redirect default nexthop 1 ipv4 address 192.168.55.22 exit nexthop 2 ipv4 address 10.0.0.2 exit source ipv4 100.124.0.0/24 exit exit exit |
В данном случае, при применении команды default под правила PBR будет попадать трафик из сети 100.124.0.0/24, но не имеющий специфичных маршрутов в таблице маршрутизации.
В случае отсутствия маршрута до адреса 192.168.55.22 трафик будет перенаправляться на адрес 10.0.0.2, в случае недоступности и его будет отброшен.
С помощью PBR можно также перенаправить трафик из GRT в VRF или наоборот.
Если этот acl будет применён на интерфейсе в GRT, то трафик будет перенаправлен на nexthop в vrf vrf_eltex.
Блок кода |
---|
access-list pbr
seq-num 10
action redirect
destination
ipv4 172.20.20.0/23
exit
nexthop 1
ipv4 192.168.55.22
vrf vrf_eltex
exit
exit
exit |
Если же acl будет применён на интерфейсе в VRF, то трафик будет перенаправлен на nexthop в GRT.
Блок кода |
---|
access-list pbr
seq-num 10
action redirect
destination
ipv4 172.20.20.0/23
exit
nexthop 1
ipv4 192.168.55.22
exit
exit
exit |