Tengo este conmutador Cisco 3750 que maneja muchas VLAN. Tiene una interfaz IP en algunos de ellos y realiza enrutamiento para aquellas computadoras conectadas a esas VLAN que usan las direcciones IP del conmutador como puerta de enlace predeterminada.
El conmutador también tiene una puerta de enlace predeterminada; esto es necesario porque una de esas VLAN está conectada a un enrutador de Internet, por lo que cada conexión saliente que no esté dirigida a ninguna subred interna específica debe ir allí.
El propio conmutador también tiene otra dirección IP, que utilizamos para la gestión; esta dirección está adjunta a una de las VLAN. El tráfico desde/hacia esta dirección debe pasar por otra ruta.
La pregunta: quiero que cualquier conexión IP saliente que provenga del conmutador pase por una ruta diferente a la de su puerta de enlace predeterminada. Pero esto sólo debería aplicarse a los paquetes que se originan en el propio conmutador; aquellos paquetes que provienen de cualquier dispositivo conectado a cualquier VLAN en el conmutador deben pasar por la ruta predeterminada.
El enrutamiento basado en fuente es lo que necesito aquí; es decir, quiero una ruta estática que sólo se aplique a los paquetes que se originan en el propio conmutador.
¿Se puede hacer esto en un conmutador Cisco 3750?
¿Cómo?
Editar: por qué quiero esto
Este es un entorno de prueba, donde la puerta de enlace predeterminada es un firewall de Linux que en un momento dadopodríaestar abajo; Nuestras estaciones de trabajo están al otro lado de este firewall y también hay otra ruta en el medio.
El conmutador tiene una IP de administración en una subred que está vinculada a nuestra red principal, donde se encuentra una puerta de enlace.podríapermítale hablar con nosotros sin pasar por su puerta de enlace predeterminada.
Y, por supuesto, no queremos perder la conectividad con el conmutador si el área de prueba no funciona completamente. Pero, al mismo tiempo, la puerta de enlace predeterminada del conmutadortieneser ese, porque el propio conmutador también actúa como enrutador para las (muchas) subredes que forman esta área de prueba. Entonces necesito enrutar a través de una puerta de enlace alternativa todo el tráfico que proviene del conmutador, pero solo él.
Editar:show version
Cisco IOS Software, C3750 Software (C3750-IPBASEK9-M), Version 12.2(25)SEE1, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Mon 22-May-06 08:51 by yenanh
Image text-base: 0x00003000, data-base: 0x01026AEC
ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(25r)SEC, RELEASE SOFTWARE (fc4)
SW-TEST uptime is 5 weeks, 1 day, 16 hours, 22 minutes
System returned to ROM by power-on
System image file is "flash:c3750-ipbasek9-mz.122-25.SEE1/c3750-ipbasek9-mz.122-25.SEE1.bin"
Respuesta1
Si desea dirigir o etiquetar el tráfico que se origina desde el conmutador o enrutador (funcionará en IPBASE), supongo que ya lo logró, pero si no es así.
conf t
access-list 1 any
route-map pbr permit 10
match ip address 1
set ip next-hop 3.3.3.3
exit
ip local policy route-map pbr
end
wr
Tenga en cuenta que ip local policyse especifica en la configuración global, no en una interfaz. Y es posible que desee tener una ACL más detallada
Esto es solo para el tráfico que se origina en el dispositivo, no para el tráfico que pasa a través de él.
Respuesta2
Los Cisco 3750 admiten "enrutamiento basado en políticas", que le permitirá tomar decisiones de enrutamiento basadas en una ACL estándar. Aquí está el PDF que lo explica:
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/25sg/configuration/guide/pbroute.pdf
Por curiosidad, ¿por qué? Me parece que lo que quieres lograr podría ser posible de otra manera.
Del PDF:
The following example illustrates how to route traffic from different sources to different
places (next hops). Packets arriving from source 1.1.1.1 are sent to the next hop at 3.3.3.3;
packets arriving from source 2.2.2.2 are sent to the next hop at 3.3.3.5.
access-list 1 permit ip 1.1.1.1
access-list 2 permit ip 2.2.2.2
! interface fastethernet 3/1
ip policy route-map Texas
! route-map Texas permit 10
match ip address 1 set ip next-hop 3.3.3.3
! route-map Texas permit 20
match ip address 2 set ip next-hop 3.3.3.5
Aunque en su caso, para Fastethernet 3/1, colocaría la interfaz VLAN en la que desea que se produzca el enrutamiento de origen. Si copia y pega este código en un editor de texto y cambia las IP y la interfaz a lo que necesita, puede pegarlo directamente en el modo de configuración en el conmutador.
Respuesta3
Según la respuesta de einstiien, lo correcto es utilizar PBR. Lamentablemente, está utilizando un conjunto de funciones de IP Base y la funcionalidad PBR no está disponible en ese conjunto de funciones, por lo que deberá comprar PBR en su lugar.
¿Sería posible simplemente hacer que el enlace ascendente de administración forme parte de la VLAN de administración y proporcionar enrutamiento a la estación de administración? Eso permitiría que todas las demás VLAN accedan a la estación de administración a través de esa ruta, pero eso puede solucionarse proporcionando ACL que bloqueen el tráfico más adelante (o, posiblemente, en el propio conmutador, no puedo decir que recuerde exactamente lo que lo que puedo y no puedo hacer con las ACL en los puertos del switch en este momento).