Hoy aprenderemos como usar PBR en ruteadores Cisco para conectar usuarios de una LAN a distintos ISPs.
Supongamos que tenemos nuestra red Local un servidor, que queremos que esté disponible todo el tiempo en Internet y un usuario que se la pasa viendo el tubo todo el día.
Si sólo contamos con un ISP vamos a tener lentitud en el servidor, los clientes llamarán preguntando por qué está lento, etc etc. Todo por culpa de nuestro querido usuario corporativo que realiza sus investigaciones multimedia 
Tenemos un router Cisco, que será el que otorgue la magia para nuestra red.
Para garantizar la disponibilidad de nuestro servidor, contratamos un enlace de Internet con otro ISP (más barato, mas lento) para nuestro usuario. Con eso dejamos exclusivamente el ISP primario para nuestro servidor.
¡Bien! ¿Pero cómo le hacemos para que decirle a nuestro router, que sólo tiene una ruta por defecto para que los paquetines se vayan por el ISP primario, que todo lo que venga del ordenador de nuestro usuario se vaya por el ISP secundario?
Con PBR, claro 
PBR quiere decir “Policy Based Routing” ó “Ruteo Basado en Políticas”. Que es lo contrario del ruteo ordinario.
En el ruteo normal los paquetines son enrutados en base a la dirección destino; en cambio en PBR, son enviados en base a dirección origen.
El diagrama siguiente explica la configuración de red:
PBR
Resumiendo:
- Tenemos un servidor: 192.168.0.2
- Un cliente: 192.168.0.3
- Un router Cisco: 192.168.0.1
- Un ISP primario: 10.0.01
- un ISP secundario: 200.23.249.1
- Agregaremos una PBR para que todo lo que provenga de 192.168.0.3 (cliente) sea enviado al ISP2.
Nos conectamos por telnet a nuestro Router ó por Consola y entramos al modo privilegiado con el comando enable:
random@PC:~$ telnet 192.168.0.1
Trying 192.168.0.1...
Connected to 192.168.0.1.
Escape character is '^]'.
User Access Verification
Password:
ROUTER>en
Password:
ROUTER#
Accesar a la configuración del Router con configure terminal:
ROUTER#conf t
Enter configuration commands, one per line. End with CNTL/Z.
ROUTER(config)#
Agregar Listas de Acceso (ACLs) para determinar qué redes tendrán acceso:
ROUTER(config)#access-list 100 permit ip host 192.168.0.2 any
ROUTER(config)#access-list 101 permit ip host 192.168.0.3 any
ROUTER(config)#access-list 102 permit ip 192.168.0.0 0.0.0.255 any
Donde:
- ACL 100: permitir el acceso IP de 192.168.0.2 a cualquier dirección.
- ACL 101: permitir el acceso IP de 192.168.0.3 a cualquier dirección.
- ACL 102: permitir el acceso a la red 192.168.0.0/24, servicio IP a cualquier dirección.
Agregar la PBR en el Router:
ROUTER(config)#route-map Telnor permit 100
#match ip address 100
#set ip next-hop 10.0.0.1
ROUTER(config)#route-map Telnor permit 101
#match ip address 101
#set ip next-hop 200.23.249.1
ROUTER(config)#route-map Telnor permit 102
#match ip address 102
#set ip next-hop 10.0.0.1
Si ya estamos seguros de nuestras configuraciones y de que no vamos a perder comunicación con el, ejecutamos lo siguiente:
ROUTER(config)#interface FastEhternet2/0 (Interfaz donde se habilita la PBR)
#ip policy route-map Telnor
¡Listo! Después de lo anterior, tenemos a un servidor y a un usuario felices
August 17th, 2009 at 9:56 pm
Gracias por expliar este comando, es justo lo que estaba buscando pero una pregunta a ver si me las sabes responder…imaginate que por el ISP bueno (Fibra) tengo varias IP´S publicas y quiero utilizar cada una de ellas para dar un servicio a un servidor distinto distinto (SMTP, OWA, etc)..entiendo que hay que utilizar NAT…
August 18th, 2009 at 3:56 pm
Sí, ocupas NAT para “traducir” las direcciones de la zona Inside de tu red hacia la zona Outside (Internet).
Digamos por ejemplo que tienes tu rango de IPs publicas, una dirección de tu equipo ruteador y las quieres asignar para varios servicios de tu red interna:
200.10.10.1 –> SMTP; el servidor tiene la IP 192.168.10.1.
200.10.10.2 –> OWA; el servidor con IP 192.168.10.2.
Necesitas un ACL para permitir que estas direcciones puedan usar el NAT:
:
access-list 1 permit 192.168.10.1
access-list 1 permit 192.168.10.2
Ok, después tendrías que hacer la traducción de IP local a IP de Internet:
ip nat inside source static 192.168.10.1 200.10.10.1
ip nat inside source static 192.168.10.2 200.10.10.2
Éste es el momento feliz
ip nat inside source list 1 interface Ethernet0/0 overload
Que quiere decir: “Las direcciones de la red interna (Inside) contenidas en la ACL 1 pueden hacer usar la dirección real de la Interfaz Ethernet0/0 para ser accesadas desde el exterior (cosa que se dice llamar Overload: traducir varios dispositivos de la red interna a la dirección real del ruteador ó equipo)”.
Espero que te sirva lo anterior. Saludos.
August 19th, 2009 at 1:06 pm
OK, si los NAT Inside los tenia claros pero si quiero enviar hacia fuera por poner un ejemplo todo el trafico SMTP/25 por una de las IP´s publicas. Yo creo que por defecto la envia por la principal.
April 5th, 2010 at 10:35 pm
Hola, tengo un cisco de la serie 1800 con 2 wans, y 2 vlans, me gustaria saber como configurarlo para que vlan1 (192.168.0.xxx) salga por la fastethernet 1 (ip publica) y que la vlan 2 (192.168.1.xxx) salga por la FastEthernet 0 (ip publica). Es muy complejo de realizar? Un saludo.
Mark.
May 31st, 2010 at 3:24 pm
Hola:
Perdón por no contestar antes. Puedes entrar al IRC del GUL de Tijuana, México (gultij@freenode.net) donde podemos contestar tu pregunta. Saludos.
August 9th, 2010 at 9:58 pm
Este esquema reemplaza completamente a los equipos balanceadores??? que pasaria si el enlace hacia el ISP1 cae, mi trafico del servidor iria hacia el ISP2???… esparando respuesta..gracias!!
August 12th, 2010 at 10:18 pm
Este esquema no reemplaza a los equipos balanceadores, supongo que hablas de alguna implementación con IGRP o parecida. Lo que pasaría es que si se cae un ISP, los equipos de la red bajo ese PBR se quedarían sin enlace. La idea de este diagrama es evitar que ciertos equipos usen el mismo ISP.