İlke Tabanlı Yönlendirme için Cisco yapılandırma örneği


10

Kendimi çok uzun zaman önce bulunmadığım bir durumda buldum, ama nasıl çözdüğümü hatırlayamıyorum :)

Senaryo

LAN arabirimi (fa0 / 0) ve WAN arabirimi (fa0 / 1) ve 2. WAN arabirimi (fa0 / 2) bulunan bir Cisco IOS yönlendiricim var.

  • Fa0 / 0.10 ve fa0 / 0.20 olmak üzere iki LAN alt arabirimi olduğunu varsayalım.
  • Fa0 / 1 üzerinden varsayılan bir rota vardır. Bununla birlikte, belirli bir alt ağa statik bir yol vardır, diyelim ki fa0 / 2 üzerinden 1.2.3.4/24 (fa0 / 2 bu alt ağa daha yakın, ancak daha pahalı bir $$$ WAN bağlantısı)

Tüm fa0 / 0.10 kullanıcılarım 1.2.3.4/24'e erişiyor ve böylece statik yol onları fa0 / 2'den (WAN2) gönderiyor. Diğer tüm hedefler için fa0 / 0.10 kullanıcıları, WAN1 arabirimi fa0 / 1'de aldığım DHCP varsayılan yolundan geçer.

Problem tanımı;

Fa0 / 0.20 alt ağındaki kullanıcılar sadece İnternet'e erişir. Benim fa0 / 0.20 alt ağımdaki hiçbir kullanıcının gerçekten uzak 1.2.3.4/24 alt ağına erişme ihtiyacı yoktur. Nadiren yaparlar, bu durumda statik yol onları fa0 / 2 yoluyla gönderir. Ben de bunu istemiyorum, ben varsayılan WAN arayüzü fa0 / 1 üzerinden 1.2.3.4/24 erişmek istiyorum. Bunu PBR ile başarabileceğime inanıyorum, ama işe yarayamadım mı?

Şu anda denediğim yapılandırma bu;

interface FastEthernet0/0.10
 description LAN1
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

interface FastEthernet0/0.20
 description LAN2
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip policy route-map FORCE-LAN2-VIA-WAN1

interface FastEthernet0/1
 description WAN1
 ip address dhcp
 ip nat outside
 ip virtual-reassembly

interface FastEthernet0/2
 description WAN2 - Used for 1.2.3.4/24
 ip address 5.5.5.5 255.255.255.0

! Static route to route to a remote subnet via 2nd WAN link
ip route 1.2.3.4 0.0.0.255 5.5.5.6
! A default route is received on fa0/1 (WAN1) via DHCP from ISP
! for all other traffic
!
! NAT fa0/0.10 users when accessing the Internet via WAN1
ip nat inside source route-map ROUTE-WAN1 interface FastEthernet0/1 overload
!
! NAT fa0/0.20 users out via WAN1
ip nat inside source route-map FORCE-LAN2-VIA-WAN1 interface FastEthernet0/1 overload

route-map ROUTE-WAN1 permit 10
 match interface FastEthernet0/1

route-map FORCE-LAN2-VIA-WAN1 permit 10
 match interface FastEthernet0/0.20
 set default interface FastEthernet0/1

WAN1, fa0 / 1 üzerinden tüm trafiği zorlamak için doğrudan fa0 / 0.20 alt arabirimine ilke tabanlı yönlendirmeyi uygulamaya çalışıyorum. Anladığım kadarıyla, FIB'de fa0 / 1'de DHCP tarafından alınan varsayılan rotadan daha spesifik bir rota olduğundan, PBR'yi geçersiz kılar ve fa0 / 0.20'den 1.2.3.4/24'e gelen trafik hala WAN2, fa0 / 2. Ya da en azından, "varsayılan arayüzü ayarla ..." kullanırken durumun böyle olduğuna inanıyorum. Örneğin "set ip next-hop" kullanacak olsaydım, bu PBR'yi öncelik almaya zorlardı, ancak WAN1, fa0 / 1, DHCP tarafından bir IP alır ve bu nedenle de değişir :)

Yan not olarak; Aslında WAN2 üzerinden birçok statik yol vardır, bu yüzden belirli alt ağlar için durumu ve politika yolunu fa0 / 0.10 WAN2 üzerinden tersine çevirmek istemiyorum. Orada yapılandırma izin verdiğimden daha karmaşık, uzun ve kısa olsa da, bunu değiştirmek için uygun değildir. Ayrıca, PBR dışında bu sorunu çözmek için daha iyi bir yol varsa, ben tamamen kulaklarım. Bu yöntemle savaşıyorum çünkü farkında olduğum en iyi çözüm.

Güncelleme Muhteşem çizilmiş bir topoloji diyagramı eklendi

Topoloji


WAN1 veya WAN2 aşağı inerse hangi yönlendirme davranışını istiyorsunuz? Daha sonra trafiğin UP olan kalan WAN arabirimi üzerinden akmasını mı istiyorsunuz yoksa WAN1 başarısız olursa pahalı WAN2'nizi geçmek yerine trafiği mi düşüreceksiniz?
generalnetworkerror

Bize bir ağ diyagramı gösterir misiniz? Bir resim bin kelimeye bedeldir :)
OzNetNerd

Yanıtlar:


9

Sadece bir amaç için bir yol haritası kullanmanızı tavsiye ederim (biri nat için, diğeri pbr için); karışık kullanım karışıklık yaratabilir. NAT için, match interfacekoşullu nat girişleri yapmak için kullanışlı olan yönlendirme sonrası uygulanır.

PBR için yol haritası, LAN2'den gelen trafiği eşleştirmek için bir ACL kullanmalı ve sonraki sekmeyi set interfacedeğil set default- veya set ip next-hop dynamic dhcpgerçek gw adresini bilmeyeceğiniz şekilde istenen arayüze ayarlamalıdır . Bu, aksi takdirde pahalı WAN'ınıza trafik gönderecek olan yönlendirme mantığını baypas eder / geçersiz kılar.


1
Bu kurulumun örnek bir yapılandırmasını verebilir misiniz?
Bulki

set ip next-hop dynamic dhcpihtiyacım olan şeydi, bunu nasıl özledim? :) Yine de, bu kadar hızlı ve sağlam tavsiye için teşekkürler!
jwbensley
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.