+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Эквивалент route-map в CISCO

Эквивалент route-map в CISCO, RouterOS

tishri

Guest

05.02.2017 03:50:00

Привет! В маршрутизаторах Cisco есть команда route-map. Она позволяет задать access-list с разрешёнными подсетями, которые направляются к next-hop роутеру. Всё, что не соответствует access-list, будет отброшено. Такая настройка рассчитана на большое количество VLAN'ов. У каждого VLAN-интерфейса свои разрешённые подсети. Я пробовал использовать ip-firewall, но там получается бардак, потому что нужно прописывать много правил на каждый интерфейс. Есть ли более простой способ с ip-mangle? Хотелось бы узнать, есть ли что-то похожее в MikroTik. Пожалуйста, приведите оптимальный пример настройки с несколькими разрешёнными подсетями для каждого VLAN-интерфейса. Спасибо, TCC

shaoranrch

Guest

22.02.2017 01:59:00

Привет! Полагаю, ты хочешь пропускать трафик через VLAN только с определённых подсетей. Если ты ещё не делал этого, можно использовать списки адресов и указать нужные подсети. Например: 10.0.0.0/16 и 10.1.0.0/16 — это единственные подсети, которым разрешён проход к интерфейсу vlan443 (то есть только трафик из этих подсетей сможет пройти через этот интерфейс). Для этого можно написать правило с использованием address list примерно так:

ip firewall address-list add list=allowed443 address=10.0.0.0/16
ip firewall address-list add list=allowed443 address=10.1.0.0/16

ip firewall filter add chain=forward action=drop out-interface=vlan443 src-address-list=!allowed443

Отправлено с моего SAMSUNG-SM-G920A через Tapatalk

tishri

Guest

24.02.2017 09:10:00

Привет, спасибо за ответ. Маршрутная карта Cisco управляет трафиком через таблицу маршрутизации. Это значит, что если совпадение найдено, доступ к определённой таблице маршрутизации будет разрешён. То, что вы на самом деле пытаетесь сделать, эквивалентно команде Cisco «cisco access group in/out».

AldoJimenez

Guest

24.02.2017 14:33:00

Вы можете использовать комбинацию маршрутизирующих фильтров, правил маршрутизации и правил Mangle, чтобы добиться этого с помощью отдельных таблиц маршрутизации. https://wiki.mikrotik.com/wiki/Manual:Routing/Routing_filters https://wiki.mikrotik.com/wiki/Manual:Routing_Table_Matcher

tishri

Guest

25.02.2017 11:57:00

Это пример конфигурации с сайта Cisco. Можешь помочь перевести эти инструкции на эквивалент Mikrotik?

interface Serial0
ip address 172.16.5.1 255.255.255.0
ip policy route-map Sally
!

access-list 1 permit 172.16.6.0 0.0.0.255
access-list 2 permit 172.16.7.0 0.0.0.255
!

route-map Sally permit 10
match ip address 1
set ip next-hop 172.16.4.2
!

route-map Sally permit 15
match ip address 2
set ip next-hop 172.16.4.3

shaoranrch

Guest

25.02.2017 12:17:00

Можно сделать примерно так:
/ip route add gateway=172.16.4.2 routing-mark=list1
/ip route add gateway=172.16.4.3 routing-mark=list2
/ip firewall mangle add chain=prerouting src-address=172.16.6.0/24 in-interface=serial0 action=mark-routing new-routing-mark=list1
/ip firewall mangle add chain=prerouting src-address=172.16.7.0/24 in-interface=serial0 action=mark-routing new-routing-mark=list2

Возможно, там есть ошибки в синтаксисе, но суть примерно такая.
Отправлено с моего SAMSUNG-SM-G920A через Tapatalk

tishri Guest	#7 0 26.02.2017 11:38:00 Спасибо..

AldoJimenez

Guest

27.02.2017 16:29:00

Не могу превзойти @shaoranrch. Вот альтернативный вариант, если хотите использовать VLAN и VRF на одном роутере. Последние два маршрута нужны для перераспределения в ваш IGP, а дальше вы можете использовать Route Filters для любой дальнейшей обработки маршрутной информации. Очевидно, что существует несколько способов достичь вашей цели, в зависимости от сложности, вашей конкретной схемы и так далее. Но если то, что вы хотите сделать, соответствует конфигурации Cisco, которую вы привели ниже, то пост @shaoranrch будет лучшим решением. Надеюсь, поможет, и удачи!

/ip address
add address=172.16.6.1/24 interface=vlan200 network=172.16.6.0
add address=172.16.7.1/24 interface=vlan300 network=172.16.7.0

/ip route vrf
add export-route-targets=200:0 import-route-targets=200:0 interfaces=vlan200 route-distinguisher=200:0 routing-mark=VLAN200
add export-route-targets=300:0 import-route-targets=300:0 interfaces=vlan300 route-distinguisher=300:0 routing-mark=VLAN300

/ip route
add distance=1 gateway=172.16.4.2@main routing-mark=VLAN200
add distance=1 gateway=172.16.4.3@main routing-mark=VLAN300
add distance=1 dst-address=172.16.6.0/24 gateway=vlan200
add distance=1 dst-address=172.16.7.0/24 gateway=vlan300

Цитата

Это пример конфигурации с сайта Cisco. Можете помочь перевести эти инструкции на эквивалент Mikrotik?

interface Serial0
ip address 172.16.5.1 255.255.255.0
ip policy route-map Sally
!

access-list 1 permit 172.16.6.0 0.0.0.255
access-list 2 permit 172.16.7.0 0.0.0.255
!

route-map Sally permit 10
match ip address 1
set ip next-hop 172.16.4.2
!

route-map Sally permit 15
match ip address 2
set ip next-hop 172.16.4.3

tishri Guest	#9 0 06.03.2017 07:52:00 Спасибо, @AldoJimenez, возможно, я попробую использовать VRF.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры