나는 많은 VLAN을 처리하는 Cisco 3750 스위치를 가지고 있습니다. 일부에는 IP 인터페이스가 있으며 스위치의 IP 주소를 기본 게이트웨이로 사용하는 VLAN에 연결된 컴퓨터에 대한 라우팅을 수행합니다.
스위치에는 기본 게이트웨이도 있습니다. 이는 VLAN 중 하나가 인터넷 라우터에 연결되어 있기 때문에 필요하며, 특정 내부 서브넷으로 향하지 않는 모든 나가는 연결은 그곳으로 가야 합니다.
스위치 자체에는 관리에 사용하는 또 다른 IP 주소도 있습니다. 이 주소는 VLAN 중 하나에 연결됩니다. 이 주소에서 오가는 트래픽은 다른 경로를 거쳐야 합니다.
질문: 스위치에서 나오는 모든 나가는 IP 연결이 기본 게이트웨이와 다른 경로를 통과하기를 원합니다. 그러나 이는 스위치 자체에서 발생하는 패킷에만 적용되어야 합니다. 스위치의 VLAN에 연결된 모든 장치에서 나오는 패킷은 기본 경로를 통과해야 합니다.
여기서는 소스 기반 라우팅이 필요합니다. 즉, 스위치 자체에서 발생하는 패킷에만 적용되는 고정 경로를 원합니다.
Cisco 3750 스위치에서 이 작업을 수행할 수 있습니까?
어떻게?
편집: 내가 이것을 원하는 이유
이는 기본 게이트웨이가 언제든지 Linux 방화벽인 테스트 환경입니다.~할 것 같다쓰러져라; 우리 워크스테이션은 이 방화벽 반대편에 있고 중간에 다른 라우팅도 있습니다.
스위치에는 당사의 메인 네트워크에 연결된 서브넷에 관리 IP가 있습니다.~할 수 있었다기본 게이트웨이를 통하지 않고 우리와 대화할 수 있도록 허용합니다.
물론 테스트 영역이 완전히 작동하지 않는 경우 스위치에 대한 연결이 끊어지는 것을 원하지 않습니다. 그러나 동시에 스위치의 기본 게이트웨이는가지다스위치 자체가 이 테스트 영역을 형성하는 (많은) 서브넷에 대한 라우터 역할도 하기 때문입니다. 따라서 스위치에서 들어오는 모든 트래픽을 대체 게이트웨이를 통해 라우팅해야 합니다.
편집하다:show version
Cisco IOS Software, C3750 Software (C3750-IPBASEK9-M), Version 12.2(25)SEE1, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Mon 22-May-06 08:51 by yenanh
Image text-base: 0x00003000, data-base: 0x01026AEC
ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(25r)SEC, RELEASE SOFTWARE (fc4)
SW-TEST uptime is 5 weeks, 1 day, 16 hours, 22 minutes
System returned to ROM by power-on
System image file is "flash:c3750-ipbasek9-mz.122-25.SEE1/c3750-ipbasek9-mz.122-25.SEE1.bin"
답변1
스위치나 라우터(IPBASE에서 작동)에서 발생하는 트래픽을 직접 지정하거나 태그를 지정하려는 경우 이미 성공한 것 같지만 그렇지 않은 경우도 있습니다.
conf t
access-list 1 any
route-map pbr permit 10
match ip address 1
set ip next-hop 3.3.3.3
exit
ip local policy route-map pbr
end
wr
ip local policy인터페이스 아래가 아닌 전역 구성에 지정됩니다 . 그리고 더 자세한 ACL을 원할 수도 있습니다.
이는 장치를 통과하는 트래픽이 아닌 장치에서 발생하는 트래픽에만 해당됩니다.
답변2
Cisco 3750은 표준 ACL을 기반으로 라우팅 결정을 내릴 수 있는 "정책 기반 라우팅"을 지원합니다. 이를 설명하는 PDF는 다음과 같습니다.
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/25sg/configuration/guide/pbroute.pdf
호기심에, 왜? 당신이 달성하고 싶은 것이 다른 방법으로 가능할 수도 있는 것 같습니다.
PDF에서:
The following example illustrates how to route traffic from different sources to different
places (next hops). Packets arriving from source 1.1.1.1 are sent to the next hop at 3.3.3.3;
packets arriving from source 2.2.2.2 are sent to the next hop at 3.3.3.5.
access-list 1 permit ip 1.1.1.1
access-list 2 permit ip 2.2.2.2
! interface fastethernet 3/1
ip policy route-map Texas
! route-map Texas permit 10
match ip address 1 set ip next-hop 3.3.3.3
! route-map Texas permit 20
match ip address 2 set ip next-hop 3.3.3.5
귀하의 경우에는 fastethernet 3/1 대신 소스 라우팅이 발생하기를 원하는 VLAN 인터페이스를 배치할 것입니다. 이 코드를 복사하여 텍스트 편집기에 붙여넣고 IP와 인터페이스를 필요한 대로 변경하면 스위치의 구성 모드에 바로 붙여넣을 수 있습니다.
답변3
einstiien의 답변에 따르면 올바른 일은 PBR을 사용하는 것입니다. 안타깝게도 IP Base 기능 세트를 사용하고 있으며 해당 기능 세트에서는 PBR 기능을 사용할 수 없으므로 대신 PBR을 구매해야 합니다.
단순히 관리 네트워크 VLAN의 관리 업링크 부분을 만들고 관리 스테이션에 라우팅을 제공하는 것이 가능합니까? 그러면 다른 모든 VLAN이 해당 경로를 통해 관리 스테이션에 액세스할 수 있지만 라인 아래에 트래픽 차단 ACL을 제공하면 문제가 해결될 수 있습니다(또는 스위치 자체에서 정확히 무엇을 기억하는지 말할 수 없음). 현재 스위치 포트의 ACL을 사용할 수도 있고 할 수도 없습니다.)