Eu tenho esse switch Cisco 3750 que lida com muitas VLANs. Ele possui uma interface IP em alguns deles e faz roteamento para os computadores conectados às VLANs que usam os endereços IP do switch como gateway padrão.
O switch também possui um gateway padrão; isso é necessário porque uma dessas VLANs está conectada a um roteador de Internet, portanto, toda conexão de saída que não é direcionada a nenhuma sub-rede interna específica precisa ir para lá.
O switch em si também possui outro endereço IP, que usamos para gerenciamento; esse endereço está anexado a uma das VLANs. O tráfego de/para este endereço precisa passar por outra rota.
A questão: desejo que qualquer conexão IP de saída proveniente do switch passe por uma rota diferente do gateway padrão. Mas isso só deve se aplicar a pacotes originados do próprio switch; os pacotes provenientes de qualquer dispositivo conectado a qualquer VLAN no switch devem passar pela rota padrão.
Roteamento baseado em origem é o que preciso aqui; ou seja, eu quero uma rota estática que se aplique apenas a pacotes originados do próprio switch.
Isso pode ser feito em um switch Cisco 3750?
Como?
Editar: por que eu quero isso
Este é um ambiente de teste, onde o gateway padrão é um firewall Linux que a qualquer momentopoderestar abatido; nossas estações de trabalho estão do outro lado desse firewall e também há outro roteamento no meio.
O switch possui um IP de gerenciamento em uma sub-rede que está ligada à nossa rede principal, onde um gatewaypoderiapermitir que ele fale conosco sem passar pelo gateway padrão.
E é claro que não queremos perder a conectividade com o switch se a área de teste não estiver funcionando totalmente. Mas, ao mesmo tempo, o gateway padrão do switchtemser esse, porque o próprio switch também atua como um roteador para as (muitas) sub-redes que formam esta área de teste. Então preciso rotear através de um gateway alternativo todo o tráfego que vem do switch, mas somente ele.
Editar:show version
Cisco IOS Software, C3750 Software (C3750-IPBASEK9-M), Version 12.2(25)SEE1, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Mon 22-May-06 08:51 by yenanh
Image text-base: 0x00003000, data-base: 0x01026AEC
ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(25r)SEC, RELEASE SOFTWARE (fc4)
SW-TEST uptime is 5 weeks, 1 day, 16 hours, 22 minutes
System returned to ROM by power-on
System image file is "flash:c3750-ipbasek9-mz.122-25.SEE1/c3750-ipbasek9-mz.122-25.SEE1.bin"
Responder1
Se você deseja direcionar ou marcar o tráfego originado do switch ou roteador (funcionará no IPBASE), suponho que você já conseguiu, mas se não.
conf t
access-list 1 any
route-map pbr permit 10
match ip address 1
set ip next-hop 3.3.3.3
exit
ip local policy route-map pbr
end
wr
Observe que isso ip local policyé especificado na configuração global, não em uma interface. E você pode querer ter uma ACL mais detalhada
Isso se aplica apenas ao tráfego originado no dispositivo, e não ao tráfego que passa por ele.
Responder2
O Cisco 3750 suporta "Roteamento baseado em políticas", que permitirá que você tome decisões de roteamento com base em uma ACL padrão. Aqui está o PDF explicando isso:
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/25sg/configuration/guide/pbroute.pdf
Por curiosidade, por quê? Parece-me que o que você deseja alcançar pode ser possível de outra maneira.
Do PDF:
The following example illustrates how to route traffic from different sources to different
places (next hops). Packets arriving from source 1.1.1.1 are sent to the next hop at 3.3.3.3;
packets arriving from source 2.2.2.2 are sent to the next hop at 3.3.3.5.
access-list 1 permit ip 1.1.1.1
access-list 2 permit ip 2.2.2.2
! interface fastethernet 3/1
ip policy route-map Texas
! route-map Texas permit 10
match ip address 1 set ip next-hop 3.3.3.3
! route-map Texas permit 20
match ip address 2 set ip next-hop 3.3.3.5
Embora no seu caso, em vez do fastethernet 3/1, você coloque a interface vlan na qual deseja que o roteamento de origem ocorra. Se você copiar e colar este código em um editor de texto e alterar os IPs e a interface para o que você precisa, você pode colá-lo diretamente no modo de configuração do switch
Responder3
De acordo com a resposta de einstiien, a coisa certa a fazer é usar o PBR. Infelizmente, você está usando um conjunto de recursos IP Base e a funcionalidade PBR não está disponível nesse conjunto de recursos, então você precisará comprar o PBR.
Seria possível simplesmente tornar o uplink de gerenciamento parte da VLAN da rede de gerenciamento e fornecer roteamento para a estação de gerenciamento? Isso permitiria que todas as outras VLANs acessassem a estação de gerenciamento por essa rota, mas isso pode ser solucionado fornecendo ACLs de bloqueio de tráfego mais adiante (ou, possivelmente, no próprio switch, não posso dizer que me lembro exatamente do que você pode e não pode fazer com ACLs em portas de switch no momento).