Announcement

**Mr.LeVy** · 30-06-2008, 04:29 PM

Bạn ping với packet size bao nhiêu? Hầu hết các site nước ngoài hay chỉ 1 hay 2 site. Có khi nào là vấn đề MTU ko?

Bác cứ kiểm tra trước, em xem xét file conf của bác tí đã

**vantho** · 30-06-2008, 04:33 PM

Hi LeVy!

Bị hầu hết các trang nước ngoài, ping packet size lớn hơn 150 là out, cái này mình có hỏi lại ISP thì nói là bên đó đang chận Ping lớn packet lớn. MTU 1500 bytes.Thanks!

**Mr.LeVy** · 30-06-2008, 05:13 PM

Hi,

Bác kiểm tra cái NAT static nha.
Em đọc sơ qua và có ý kiến thế này.
- Traffic default ( internet) bác ko nên dùng PBR nghĩa là routing normal bằng thông tin trong routing table ( ở đây là static )
ip route 0.0.0.0 0.0.0.0 Serial0/2/0
- Traffic cho mail thì áp dụng PBR để điều chỉnh qua Y.Y.Y.Y
Cái nào không đúng với PBR thì nó sẽ route bình thường thôi ( hi vọng là em ko nhầm)

Vấn đề còn lại là
- NAT ( bác tự kiểm tra xem)
cấu hình route-map
route-map map-1 permit 20
match ip address OUTSIDE
set ip next-hop Y.Y.Y.Y

(chắc rằng OUTSIDE là các server application của bác)
Ap dụng route-map trên interface FE.
Bác xem interface intput tương ứng mà áp dụng

Mà thực ra em thấy bác route ra ngoài theo Interface thì ko cần PBR, cần cấu hình static trên router thôi. Khi nào bác route theo source thì mới cầ đến PBR chứ.

Hi vọng giúp bác chút ý tưởng.

**vantho** · 30-06-2008, 05:40 PM

Originally posted by Mr.LeVy View Post

Hi,

Bác kiểm tra cái NAT static nha.
Em đọc sơ qua và có ý kiến thế này.
- Traffic default ( internet) bác ko nên dùng PBR nghĩa là routing normal bằng thông tin trong routing table ( ở đây là static )
ip route 0.0.0.0 0.0.0.0 Serial0/2/0
- Traffic cho mail thì áp dụng PBR để điều chỉnh qua Y.Y.Y.Y
Cái nào không đúng với PBR thì nó sẽ route bình thường thôi ( hi vọng là em ko nhầm)

Vấn đề còn lại là
- NAT ( bác tự kiểm tra xem)
cấu hình route-map
route-map map-1 permit 20
match ip address OUTSIDE
set ip next-hop Y.Y.Y.Y

(chắc rằng OUTSIDE là các server application của bác)
Ap dụng route-map trên interface FE.
Bác xem interface intput tương ứng mà áp dụng

Mà thực ra em thấy bác route ra ngoài theo Interface thì ko cần PBR, cần cấu hình static trên router thôi. Khi nào bác route theo source thì mới cầ đến PBR chứ.

Hi vọng giúp bác chút ý tưởng.

===> NAT static làm việc giống như LeVy nói, OUTSIDE là các application server. Mình cần dùng PBR để route theo source do bên trong chạy VPN site2site. Có khi nào là do ISP của mình đang bị nghẽn không nhỉ ? ( ISP là EVN )???

**binhhd** · 30-06-2008, 05:43 PM

Originally posted by vantho View Post

Chào các bạn!

Hệ thống bên mình gồm 2 line LL, Mail & application chạy trên 1 line, internet chạy trên line kia. Không hiểu sao line đi internet thường xuyên hay bị trường hợp là đi các trang trong nước thì tốt còn những trang quốc tế thì chậm hoặc không đc ( ping và tracert trên line này thì ok ).Mình có sử dụng Policy Routing, không biết có vấn đề gì ở PR này không .Gởi kèm file config,rất mong câu trả lời của các bạn. Cảm ơn.

interface FastEthernet0/0
ip address a.a.a.a 255.255.255.248
ip nat inside
ip virtual-reassembly
ip policy route-map map-1
duplex auto
speed auto
!
interface FastEthernet0/1
ip address b.b.b.b 255.255.255.240
ip policy route-map map-1
duplex auto
speed auto
!
interface Serial0/2/0
bandwidth 2048
ip address c.c.c.c 255.255.255.252
ip nat outside
ip virtual-reassembly
encapsulation ppp
load-interval 30
!
interface Serial0/3/0
bandwidth 1536
ip address d.d.d.d 255.255.255.252
ip virtual-reassembly
load-interval 30
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Y.Y.Y.Y
ip route 0.0.0.0 0.0.0.0 Serial0/2/0
!
!
no ip http server
no ip http secure-server
ip nat inside source static 222.255.158.134 203.190.168.158
!
ip access-list standard INTERNET
permit 222.255.158.134
permit 203.190.168.144 0.0.0.15
deny any log
!
ip access-list extended IPSEC_ACL
permit ip 203.190.168.144 0.0.0.15 168.241.0.0 0.0.127.255
permit ip 203.190.168.144 0.0.0.15 168.241.128.0 0.0.63.255
permit ip 203.190.168.144 0.0.0.15 168.241.192.0 0.0.31.255
ip access-list extended OUTSIDE
permit ip any host 168.241.243.2
permit ip any host 168.241.243.10
deny ip any any log
!
route-map map-1 permit 10
match ip address INTERNET
set interface Serial0/2/0
!
route-map map-1 permit 20
match ip address OUTSIDE
set ip next-hop Y.Y.Y.Y
!
route-map POLICY permit 100
set ip next-hop Y.Y.Y.Y

hi VanTho,
hình như file config trên chưa đầy đủ, bạn có thể gởi đầy đủ file config và topology mạng không?

**Mr.LeVy** · 30-06-2008, 06:27 PM

Ok, ko khó lắm đâu, bác cho sơ đồ & yêu cầu lên, em xử lý cho. Nếu cần cứ thay IP thật bằng Ip giả (đừng dùng X.X.X.X khó phân biệt lắm) bác thay 2 octet đầu là được rồi. Cấu hình của bác em thấy ko được ổn lắm.

Vậy nhé

**vantho** · 30-06-2008, 06:54 PM

hi all!

Sorry, mình post topo và config lên đây, nhờ mọi người kiểm tra giúp. Thks

Attached Files

config2801.txt (2.8 KB, 73 views)

**Mr.LeVy** · 30-06-2008, 08:54 PM

Trời, bác làm ơn chi tiết 1 chút những yêu cầu cụ thể port nào kết nối với cái gì, route làm sao, source nào, des nào. Thật ra từ cái file ban đầu em cũng vẽ được topo như vậy rồi. Topo của bác có cung cấp thêm gì đâu.

**vantho** · 01-07-2008, 03:30 PM

Hi bác LeVy và anh binhhd, mình sẽ post lại topo sau, @Levy: bác cho tui contacts của bác đi..Thks

**vantho** · 03-07-2008, 12:04 PM

hi all!, gởi mọi người, nhờ mọi người kiểm tra lại giúp. Cái topo thì giống như cái ban đầu thôi, trên ASA : FE 0/0 int outside --> FE 0/0 trên Router, FE 0/1 & FE 0/2 int inside ---> SW 3750--> LAN. Trên Router : S0/2/0 connect to EVN, S0/3/0 Connect to VDC.FE 0/1 for testing.

Cảm ơn mọi người đã quan tâm.

Attached Files

**vantho** · 03-07-2008, 07:18 PM

Mình có thắc mắc tí, hiện tại trong từ LAN qua FW được NAT ra ngoài với địa chỉ .128.134 đến Router, từ router NAT thêm 1 lần nữa ra line của EVN, không biết có phải do vấn đề này không mà khi line của VDC overload thì line kia access internet rất chậm,nhất là những website có địa chỉ quốc tế.
Có ai cho ý kiến với!

**vantho** · 08-07-2008, 09:50 AM

Hix,có bác nào giúp em với!!!

**tranmyphuc** · 08-07-2008, 12:48 PM

Originally posted by vantho View Post

Mình có thắc mắc tí, hiện tại trong từ LAN qua FW được NAT ra ngoài với địa chỉ .128.134 đến Router, từ router NAT thêm 1 lần nữa ra line của EVN, không biết có phải do vấn đề này không mà khi line của VDC overload thì line kia access internet rất chậm,nhất là những website có địa chỉ quốc tế.
Có ai cho ý kiến với!

Chào !!!
Bạn thừ liên lạc với kỷ thuật của ISP này chưa ??
Họ nói gì ?
Thử moditor trên ISA xem
Chúc vui !!!

**vantho** · 08-07-2008, 12:56 PM

Hi Phuc!

cảm ơn bạn đã trả lời, mình cũng có hỏi ISP nhưng bên đó nói không block gì hết...cry.Mình đang dùng Winshark để monitor nhưng vẫn chưa tìm ra đc nguyên nhân, mình nghĩ chắc tại config của bên mình có vấn đề nhưng vẫn chưa biết chỗ nào.

Announcement

Policy Routing help!

Policy Routing help!

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment