<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
p.msonormal0, li.msonormal0, div.msonormal0
{mso-style-name:msonormal;
mso-margin-top-alt:auto;
margin-right:0cm;
mso-margin-bottom-alt:auto;
margin-left:0cm;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
span.EstiloDeEmail18
{mso-style-type:personal-reply;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="PT-BR" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Uma dúvida aqui da solução Evandro.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">A configuração é aplicada no plano de encaminhamento geral da caixa, ou seja, não importa por qual interface o tráfego “entrar” ele será tratado pela ACl global.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Nesse caso, se no ambiente de rede do operador ele usar alguma sub rede pertencente a rede 100.64/10, por exemplo: algum servidor/serviço interno configurado dentro da sub-rede 100.100.0.0/24, ou
até mesmo quando o operador tem diversos BNG na rede e não quer usar NAT para que um usuário do BNG A fale com o usuário do BNG B.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Esse tráfego de origem 100.100.0.0/24 entrando pela interface de uplink do roteador não vai conseguir alcançar os usuários PPPoE/IPoE. Ainda não encontrei como resolver essa situação no NE40 de forma
simples, sem ter que criar N termos na ACL geral excluindo essas redes uma a uma. Você avaliou esse cenário?<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Seria bem mais fácil se aplicasse configurações de ACL nas interfaces virtuais criadas para os usuários PPPoE/IPoE.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><b>De:</b> bpf <bpf-bounces@listas.brasilpeeringforum.org> <b>
Em nome de </b>Evandro Alves<br>
<b>Enviada em:</b> sábado, 7 de dezembro de 2019 01:39<br>
<b>Para:</b> Lista das indisponibilidades da Internet brasileira <caiu@eng.registro.br>; bpf@listas.brasilpeeringforum.org<br>
<b>Assunto:</b> Re: [BPF] [GTER] NE40 PBR<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal">Olá pessoal. <br>
Resolvi sair da toca e publicar o artigo que eu havia mencionado sobre a configuração de PBR no NE40.<br>
Segue o link para o artigo.<br>
<br>
<a href="https://www.facebook.com/outsourceitnow/posts/434853920802173?__tn__=K-R">https://www.facebook.com/outsourceitnow/posts/434853920802173?__tn__=K-R</a> <br>
<br>
Desculpem a demora e obrigado pela paciência.<o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<div>
<p class="MsoNormal"><br>
<br>
On Thu, Nov 21, 2019 at 11:06 AM Fábio Hernandes <<a href="mailto:fabio@hernandes.eti.br" target="_blank">fabio@hernandes.eti.br</a>> wrote:<o:p></o:p></p>
</div>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">
<div>
<div>
<p class="MsoNormal">Tudo bem Evandro?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Você por acaso já escreveu o artigo?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<p class="MsoNormal">-- <br>
Fábio R. Hernandes<br>
Fone: (17) 99643 6715<o:p></o:p></p>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<div>
<p class="MsoNormal">Em seg., 4 de nov. de 2019 às 12:42, Evandro Alves <<a href="mailto:evandroalves28@gmail.com" target="_blank">evandroalves28@gmail.com</a>> escreveu:<o:p></o:p></p>
</div>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">
<p class="MsoNormal">Consegui fazer funcionar.<br>
Vou escrever um artigo a respeito e passo pra galera.<br>
<br>
On Mon, Nov 4, 2019 at 12:27 PM Evandro Alves <<a href="mailto:evandroalves28@gmail.com" target="_blank">evandroalves28@gmail.com</a>><br>
wrote:<br>
<br>
> como vpn-instances não resolve, porque a ideia é a seguinte:<br>
> tenho um pool de ips publicos que é limitado. Ele será preenchido<br>
> primeiro. Assim que este pool estiver populado, os assinantes passarão a<br>
> obter ip do pool de ips privados. Muda-se o pool de ips, mas o dominio,<br>
> vpn-instance, são os mesmos.<br>
> Para fazer via vpn-instance, teria que definir via radius que o usuário ou<br>
> grupo de usuário utilizasse determinada vpn-instance, porém no meu cenário,<br>
> não há diferença entre os usuários que obterão ip público e os que obterão<br>
> ip privado. A única diferença é que "quem chega primeiro, pega ip público",<br>
> e quem tem ip publico, vai tem uplink na interface X, e quem tem ip<br>
> privado, vai na interface Y, para que seja feito o CGNAT em uma caixa<br>
> externa.<br>
><br>
><br>
> On Mon, Nov 4, 2019 at 12:21 PM Evandro Alves <<a href="mailto:evandroalves28@gmail.com" target="_blank">evandroalves28@gmail.com</a>><br>
> wrote:<br>
><br>
>> Tentei aplicar na interface de entrada também e não deu certo.<br>
>> Tanto na GE0/3/13 quanto na GE0/3/13.2000 como inbound.<br>
>> Tentei aplicar no escopo global também, mas só funciona como UCL. O<br>
>> problema de UCL é que trata somente se a conexão pertence ao user-group<br>
>> definido na UCL e no dominio, e os usuários se conectam usando o mesmo<br>
>> domínio.<br>
>><br>
>> On Mon, Nov 4, 2019 at 12:16 PM Joelson Vendramin via gter <<br>
>> <a href="mailto:gter@eng.registro.br" target="_blank">gter@eng.registro.br</a>> wrote:<br>
>><br>
>>> Evandro,<br>
>>> Talvez o problema esteja em aplicar a traffic-policy na saída da<br>
>>> interface. O roteador já deve ter processado os pacotes colocando o<br>
>>> next-hop seguindo a tabela de roteamento. Portanto, o tráfego que você está<br>
>>> tentando aplicar a PBR não vai aparecer na GigabitEthernet0/3/14.<br>
>>><br>
>>> Tente mudar a lógica da sua policy para aplicar na (ou nas) interfaces<br>
>>> onde o tráfego "entra" no roteador.<br>
>>> De qualquer forma, se você puder fugir das PBRs e usar uma solução com<br>
>>> vpn-instances, conforme o Tales sugeriu, seria bem melhor!<br>
>>> Sds,<br>
>>> --Joelson Vendramin<br>
>>><br>
>>> Em sexta-feira, 1 de novembro de 2019 21:39:28 BRT, Tales Rodarte <<br>
>>> <a href="mailto:talesrodarte@gmail.com" target="_blank">talesrodarte@gmail.com</a>> escreveu:<br>
>>><br>
>>> Evandro,<br>
>>><br>
>>> Não obtive sucesso ao realizar está configuração em alguns NE20 (aplicar<br>
>>> o PBR baseado nas interfaces UPLINK) e tão pouco conseguir aplicar o PBR<br>
>>> direto no template PPP.<br>
>>><br>
>>> A forma mais simples de contornar isso é criar uma vpn-instance com rota<br>
>>> default para o next-hop que deseja e colocar os PPP para usarem ela.<br>
>>> O parâmetro da vpn-instance tu envia via radius.<br>
>>><br>
>>> Outra forma que tem também é vincular a vpn-instance a POOLs diferentes<br>
>>> e enviar o parametro de pool via radius ou usar ucl-group.<br>
>>> Mas nem todas as formas se encaixam na maioria dos ambientes de ISP.<br>
>>><br>
>>> --<br>
>>><br>
>>> Tales<br>
>>><br>
>>><br>
>>> Em 01/11/2019 17:41, Evandro Alves escreveu:<br>
>>> > estou com alguma dificuldade para configurar uma PBR no NE40.<br>
>>> > O que preciso é trocar o next-hop de acordo com o ip de origem do<br>
>>> pacote<br>
>>> > para tráfego de saída para direcionar o tráfego dos clientes<br>
>>> conectados com<br>
>>> > ip de CGNAT para uma caixa externa.<br>
>>> > segui a receitinha de bolo, mas não funciona.<br>
>>> ><br>
>>> > acl name from-temp-cgnat number 3100<br>
>>> ><br>
>>> > rule 64 permit ip source 100.64.0.0 0.63.255.255<br>
>>> ><br>
>>> ><br>
>>> > traffic classifier TEMP-CGNAT operator or<br>
>>> ><br>
>>> > if-match acl 3100<br>
>>> ><br>
>>> ><br>
>>> > traffic behavior TEMP-CGNAT<br>
>>> ><br>
>>> > redirect ip-nexthop 10.192.0.157<br>
>>> ><br>
>>> ><br>
>>> > traffic policy TEMP-CGNAT<br>
>>> ><br>
>>> > share-mode<br>
>>> ><br>
>>> > classifier TEMP-CGNAT behavior TEMP-CGNAT precedence 1<br>
>>> ><br>
>>> ><br>
>>> > interface GigabitEthernet0/3/4<br>
>>> ><br>
>>> > undo shutdown<br>
>>> ><br>
>>> > ip address <ip-de-enlace-uplink-padrão><br>
>>> ><br>
>>> > traffic-policy TEMP-CGNAT outbound<br>
>>> ><br>
>>> ><br>
>>> > interface GigabitEthernet0/3/14<br>
>>> ><br>
>>> > undo shutdown<br>
>>> ><br>
>>> > ip address 10.192.0.158 255.255.255.252<br>
>>> ><br>
>>> ><br>
>>> > display ip routing-table 0.0.0.0 0<br>
>>> ><br>
>>> > Route Flags: R - relay, D - download to fib, T - to vpn-instance, B -<br>
>>> black<br>
>>> > hole route<br>
>>> ><br>
>>> ><br>
>>> ------------------------------------------------------------------------------<br>
>>> ><br>
>>> > Routing Table : _public_<br>
>>> ><br>
>>> > Summary Count : 1<br>
>>> ><br>
>>> ><br>
>>> ><br>
>>> > Destination/Mask Proto Pre Cost Flags NextHop<br>
>>> Interface<br>
>>> ><br>
>>> ><br>
>>> ><br>
>>> > <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> Static 60 0 D <ip-do-gateway-padrao><br>
>>> > GigabitEthernet0/3/4<br>
>>> ><br>
>>><br>
>>> --<br>
>>> gter list <a href="https://eng.registro.br/mailman/listinfo/gter" target="_blank">
https://eng.registro.br/mailman/listinfo/gter</a><br>
>>><br>
>>> --<br>
>>> gter list <a href="https://eng.registro.br/mailman/listinfo/gter" target="_blank">
https://eng.registro.br/mailman/listinfo/gter</a><br>
>>><br>
>><br>
>><br>
>> --<br>
>> Evandro Alves P.<br>
>><br>
><br>
><br>
> --<br>
> Evandro Alves P.<br>
><br>
<br>
<br>
-- <br>
Evandro Alves P.<br>
--<br>
gter list <a href="https://eng.registro.br/mailman/listinfo/gter" target="_blank">
https://eng.registro.br/mailman/listinfo/gter</a><o:p></o:p></p>
</blockquote>
</div>
</blockquote>
</div>
<p class="MsoNormal"><br clear="all">
<o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<p class="MsoNormal">-- <o:p></o:p></p>
<div>
<p class="MsoNormal">Evandro Alves P.<o:p></o:p></p>
</div>
</div>
</div>
</div>
</body>
</html>