Ich habe diesen Cisco 3750-Switch, der viele VLANs verwaltet. Einige davon verfügen über eine IP-Schnittstelle und er führt das Routing für die Computer durch, die mit diesen VLANs verbunden sind und die IP-Adressen des Switches als Standard-Gateway verwenden.
Der Switch verfügt außerdem über ein Standard-Gateway. Dies ist erforderlich, da eines dieser VLANs mit einem Internet-Router verbunden ist. Jede ausgehende Verbindung, die nicht an ein bestimmtes internes Subnetz gerichtet ist, muss daher dorthin gehen.
Der Switch selbst hat auch eine andere IP-Adresse, die wir für die Verwaltung verwenden; diese Adresse ist an eines der VLANs angeschlossen. Der Datenverkehr von/zu dieser Adresse muss über eine andere Route laufen.
Die Frage: Ich möchte, dass jede ausgehende IP-Verbindung, die vom Switch kommt, über eine andere Route als das Standard-Gateway geht. Dies sollte jedoch nur für Pakete gelten, die vom Switch selbst stammen; Pakete, die von einem Gerät kommen, das mit einem VLAN auf dem Switch verbunden ist, sollten über die Standardroute gehen.
Was ich hier brauche, ist quellenbasiertes Routing, d. h. ich möchte eine statische Route, die nur für Pakete gilt, die vom Switch selbst stammen.
Kann dies auf einem Cisco 3750-Switch durchgeführt werden?
Wie?
Bearbeiten: Warum ich das will
Dies ist eine Testumgebung, in der das Standard-Gateway eine Linux-Firewall ist, die zu jedem beliebigen Zeitpunktkönntedown sein; unsere Workstations sind auf der anderen Seite dieser Firewall, und dazwischen gibt es noch ein weiteres Routing.
Der Switch hat eine Management-IP in einem Subnetz, das mit unserem Hauptnetzwerk verbunden ist, wo ein GatewaykönnteErlauben Sie ihm, mit uns zu kommunizieren, ohne über sein Standard-Gateway zu gehen.
Und natürlich möchten wir die Verbindung zum Switch nicht verlieren, wenn der Testbereich nicht vollständig funktioniert. Gleichzeitig ist das Standard-Gateway des Switcheshatdas zu sein, weil der Switch selbst auch als Router für die (vielen) Subnetze fungiert, die diesen Testbereich bilden. Ich muss also den gesamten Datenverkehr, der vom Switch kommt, über ein alternatives Gateway leiten, aber nur diesen.
Bearbeiten:show version
Cisco IOS Software, C3750 Software (C3750-IPBASEK9-M), Version 12.2(25)SEE1, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Mon 22-May-06 08:51 by yenanh
Image text-base: 0x00003000, data-base: 0x01026AEC
ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(25r)SEC, RELEASE SOFTWARE (fc4)
SW-TEST uptime is 5 weeks, 1 day, 16 hours, 22 minutes
System returned to ROM by power-on
System image file is "flash:c3750-ipbasek9-mz.122-25.SEE1/c3750-ipbasek9-mz.122-25.SEE1.bin"
Antwort1
Wenn Sie den vom Switch oder Router stammenden Datenverkehr umleiten oder kennzeichnen möchten (funktioniert mit IPBASE), gehe ich davon aus, dass dies bereits erfolgreich war. Andernfalls nicht.
conf t
access-list 1 any
route-map pbr permit 10
match ip address 1
set ip next-hop 3.3.3.3
exit
ip local policy route-map pbr
end
wr
Beachten Sie, dass dies ip local policyin der globalen Konfiguration angegeben wird, nicht unter einer Schnittstelle. Und Sie möchten möglicherweise eine detailliertere ACL haben
Dies gilt nur für Datenverkehr, der vom Gerät ausgeht, nicht für Datenverkehr, der über das Gerät läuft.
Antwort2
Cisco 3750s unterstützen „Policy-Based Routing“, wodurch Sie Routing-Entscheidungen auf Basis einer Standard-ACL treffen können. Hier ist die PDF-Datei mit der Erklärung:
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/25sg/configuration/guide/pbroute.pdf
Nur aus Neugier: Warum? Mir scheint, das, was Sie erreichen möchten, könnte auch auf andere Weise möglich sein.
Aus dem PDF:
The following example illustrates how to route traffic from different sources to different
places (next hops). Packets arriving from source 1.1.1.1 are sent to the next hop at 3.3.3.3;
packets arriving from source 2.2.2.2 are sent to the next hop at 3.3.3.5.
access-list 1 permit ip 1.1.1.1
access-list 2 permit ip 2.2.2.2
! interface fastethernet 3/1
ip policy route-map Texas
! route-map Texas permit 10
match ip address 1 set ip next-hop 3.3.3.3
! route-map Texas permit 20
match ip address 2 set ip next-hop 3.3.3.5
In Ihrem Fall würden Sie jedoch stattdessen für Fastethernet 3/1 die VLAN-Schnittstelle angeben, über die das Quellrouting erfolgen soll. Wenn Sie diesen Code kopieren und in einen Texteditor einfügen und die IPs und die Schnittstelle nach Bedarf ändern, können Sie ihn direkt in den Konfigurationsmodus auf dem Switch einfügen.
Antwort3
Gemäß Einsteins Antwort ist es richtig, PBR zu verwenden. Leider verwenden Sie einen IP Base-Funktionssatz und die PBR-Funktionalität ist in diesem Funktionssatz nicht verfügbar. Sie müssen also stattdessen PBR kaufen.
Wäre es möglich, den Management-Uplink einfach zu einem Teil des Management-VLAN zu machen und Routing zur Management-Station bereitzustellen? Dadurch könnten alle anderen VLANs über diese Route auf die Management-Station zugreifen. Dies lässt sich jedoch möglicherweise beheben, indem weiter unten in der Leitung (oder möglicherweise auf dem Switch selbst, ich kann mich im Moment nicht genau erinnern, was Sie mit ACLs auf Switch-Ports tun können und was nicht) verkehrsblockierende ACLs bereitgestellt werden.