私は多くの VLAN を処理する Cisco 3750 スイッチを持っています。このスイッチにはいくつかの VLAN に IP インターフェイスがあり、スイッチの IP アドレスをデフォルト ゲートウェイとして使用する VLAN に接続されたコンピューターのルーティングを行います。
スイッチにはデフォルト ゲートウェイもあります。これは、VLAN の 1 つがインターネット ルーターに接続されているため、特定の内部サブネットに向けられていないすべての送信接続がそこを通過する必要があるために必要です。
スイッチ自体にも、管理用に使用する別の IP アドレスがあります。このアドレスは、VLAN の 1 つに接続されています。このアドレスとの間のトラフィックは、別のルートを経由する必要があります。
質問: スイッチから発信されるすべての IP 接続が、デフォルト ゲートウェイとは異なるルートを通過するようにしたいのですが、これはスイッチ自体から発信されるパケットにのみ適用されます。スイッチ上の任意の VLAN に接続されている任意のデバイスから発信されるパケットは、デフォルト ルートを通過する必要があります。
ここで必要なのはソースベースのルーティングです。つまり、スイッチ自体から発信されたパケットにのみ適用される静的ルートが必要です。
これは Cisco 3750 スイッチで実行できますか?
どうやって?
編集: なぜこれが欲しいのか
これはテスト環境であり、デフォルトゲートウェイはLinuxファイアウォールであり、かもしれないダウンしている。ワークステーションはこのファイアウォールの反対側にあり、中間には別のルーティングもあります。
スイッチには、メインネットワークにリンクされたサブネット上の管理IPがあり、ゲートウェイができたデフォルトゲートウェイを経由せずに通信できるようにします。
もちろん、テストエリアが完全に機能していない場合にスイッチとの接続が失われないようにする必要があります。しかし、同時に、スイッチのデフォルトゲートウェイはもっているスイッチ自体は、このテスト領域を形成する (多数の) サブネットのルーターとしても機能するため、スイッチは 1 つである必要があります。したがって、スイッチからのすべてのトラフィックを、スイッチのみから別のゲートウェイにルーティングする必要があります。
編集:show version
Cisco IOS Software, C3750 Software (C3750-IPBASEK9-M), Version 12.2(25)SEE1, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Mon 22-May-06 08:51 by yenanh
Image text-base: 0x00003000, data-base: 0x01026AEC
ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(25r)SEC, RELEASE SOFTWARE (fc4)
SW-TEST uptime is 5 weeks, 1 day, 16 hours, 22 minutes
System returned to ROM by power-on
System image file is "flash:c3750-ipbasek9-mz.122-25.SEE1/c3750-ipbasek9-mz.122-25.SEE1.bin"
答え1
スイッチまたはルーターから発信されるトラフィックを誘導またはタグ付けする場合 (IPBASE で動作します)、すでに成功していると思いますが、そうでない場合は、
conf t
access-list 1 any
route-map pbr permit 10
match ip address 1
set ip next-hop 3.3.3.3
exit
ip local policy route-map pbr
end
wr
ip local policyインターフェースではなくグローバル設定で指定されることに注意してください。また、より詳細なACLが必要になる場合があります。
これは、デバイスから発信されるトラフィックのみを対象とし、デバイスを通過するトラフィックは対象としません。
答え2
Cisco 3750 は「ポリシーベース ルーティング」をサポートしており、標準 ACL に基づいてルーティングを決定できます。これを説明する PDF は次のとおりです。
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/25sg/configuration/guide/pbroute.pdf
興味深いのですが、なぜですか? あなたが達成したいことは、別の方法でも可能かもしれないように思えます。
PDFから:
The following example illustrates how to route traffic from different sources to different
places (next hops). Packets arriving from source 1.1.1.1 are sent to the next hop at 3.3.3.3;
packets arriving from source 2.2.2.2 are sent to the next hop at 3.3.3.5.
access-list 1 permit ip 1.1.1.1
access-list 2 permit ip 2.2.2.2
! interface fastethernet 3/1
ip policy route-map Texas
! route-map Texas permit 10
match ip address 1 set ip next-hop 3.3.3.3
! route-map Texas permit 20
match ip address 2 set ip next-hop 3.3.3.5
ただし、あなたの場合は、fastethernet 3/1の代わりに、ソースルーティングが発生するVLANインターフェイスを配置します。このコードをコピーしてテキストエディタに貼り付け、IPとインターフェイスを必要なものに変更すると、スイッチの設定モードに直接貼り付けることができます。
答え3
einstiien さんの回答によると、正しい方法は PBR を使用することです。残念ながら、IP ベースの機能セットを使用しており、その機能セットでは PBR 機能が利用できないため、代わりに PBR を購入する必要があります。
管理アップリンクを管理 VLAN の一部にして、管理ステーションへのルーティングを提供するだけでよいのでしょうか。そうすると、他のすべての VLAN がそのルート経由で管理ステーションにアクセスできるようになりますが、トラフィックをブロックする ACL をさらに下流に提供することで修正できる可能性があります (または、スイッチ自体で修正できる可能性があります。現時点では、スイッチ ポートの ACL で何ができて何ができないかを正確に思い出すことはできません)。