У меня есть коммутатор Cisco 3750, который обрабатывает много VLAN. На некоторых из них есть IP-интерфейс, и он выполняет маршрутизацию для тех компьютеров, которые подключены к этим VLAN, которые используют IP-адреса коммутатора в качестве шлюза по умолчанию.
У коммутатора также есть шлюз по умолчанию; он необходим, поскольку одна из этих VLAN подключена к интернет-маршрутизатору, поэтому каждое исходящее соединение, которое не направлено на какую-либо конкретную внутреннюю подсеть, должно направляться туда.
Сам коммутатор также имеет другой IP-адрес, который мы используем для управления; этот адрес привязан к одной из VLAN. Трафик с/на этот адрес должен проходить по другому маршруту.
Вопрос: Я хочу, чтобы любое исходящее IP-соединение, которое исходит от коммутатора, проходило через другой маршрут, нежели его шлюз по умолчанию. Но это должно применяться только к пакетам, которые исходят от самого коммутатора; те пакеты, которые исходят от любого устройства, подключенного к любой VLAN на коммутаторе, должны проходить через маршрут по умолчанию.
Маршрутизация на основе источника — это то, что мне нужно; т. е. мне нужен статический маршрут, который применяется только к пакетам, исходящим от самого коммутатора.
Можно ли это сделать на коммутаторе Cisco 3750?
Как?
Редактировать: почему я хочу этого
Это тестовая среда, где шлюзом по умолчанию является межсетевой экран Linux, который в любой момент временимощьбыть вниз; наши рабочие станции находятся по ту сторону этого брандмауэра, и есть также некоторая другая маршрутизация в середине.
Коммутатор имеет IP управления в подсети, которая связана с нашей основной сетью, где шлюзмогпозвольте ему общаться с нами, не проходя через его шлюз по умолчанию.
И, конечно, мы не хотим потерять связь с коммутатором, если тестовая зона не полностью работает. Но в то же время шлюз по умолчанию коммутатораимеетбыть этим, потому что сам коммутатор также действует как маршрутизатор для (многих) подсетей, которые формируют эту тестовую область. Поэтому мне нужно направить через альтернативный шлюз весь трафик, который исходит от коммутатора, но только через него.
Редактировать:show version
Cisco IOS Software, C3750 Software (C3750-IPBASEK9-M), Version 12.2(25)SEE1, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Mon 22-May-06 08:51 by yenanh
Image text-base: 0x00003000, data-base: 0x01026AEC
ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(25r)SEC, RELEASE SOFTWARE (fc4)
SW-TEST uptime is 5 weeks, 1 day, 16 hours, 22 minutes
System returned to ROM by power-on
System image file is "flash:c3750-ipbasek9-mz.122-25.SEE1/c3750-ipbasek9-mz.122-25.SEE1.bin"
решение1
Если вы хотите направить или пометить трафик, исходящий от коммутатора или маршрутизатора (будет работать на IPBASE), я предполагаю, что вы уже преуспели, но если нет...
conf t
access-list 1 any
route-map pbr permit 10
match ip address 1
set ip next-hop 3.3.3.3
exit
ip local policy route-map pbr
end
wr
Обратите внимание, что ip local policyэто указано в глобальной конфигурации, а не в интерфейсе. И вы можете захотеть иметь более подробный ACL
Это касается только трафика, исходящего от устройства, а не трафика, проходящего через него.
решение2
Cisco 3750 поддерживают «маршрутизацию на основе политик», которая позволит вам принимать решения о маршрутизации на основе стандартного ACL. Вот PDF-файл с объяснением:
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/25sg/configuration/guide/pbroute.pdf
Из любопытства, почему? Мне кажется, что то, чего вы хотите добиться, можно было бы достичь и другим способом.
Из PDF-файла:
The following example illustrates how to route traffic from different sources to different
places (next hops). Packets arriving from source 1.1.1.1 are sent to the next hop at 3.3.3.3;
packets arriving from source 2.2.2.2 are sent to the next hop at 3.3.3.5.
access-list 1 permit ip 1.1.1.1
access-list 2 permit ip 2.2.2.2
! interface fastethernet 3/1
ip policy route-map Texas
! route-map Texas permit 10
match ip address 1 set ip next-hop 3.3.3.3
! route-map Texas permit 20
match ip address 2 set ip next-hop 3.3.3.5
Хотя в вашем случае вместо fastethernet 3/1 вы бы поставили интерфейс vlan, который вы хотите, чтобы исходная маршрутизация произошла. Если вы скопируете и вставите этот код в текстовый редактор и измените IP и интерфейс на то, что вам нужно, вы можете вставить его прямо в режим конфигурации на коммутаторе
решение3
Согласно ответу einstiien, правильным решением будет использовать PBR. К сожалению, вы используете набор функций IP Base, а функциональность PBR недоступна в этом наборе функций, поэтому вам придется купить PBR.
Можно ли просто сделать управляющий восходящий канал частью управляющей VLAN и обеспечить маршрутизацию к управляющей станции? Это позволило бы всем другим VLAN получать доступ к управляющей станции через этот маршрут, но это можно исправить, предоставив блокирующие трафик ACL дальше по линии (или, возможно, на самом коммутаторе, я не могу точно вспомнить, что можно и что нельзя делать с ACL на портах коммутатора прямо сейчас).