Сеть довольно простая. Router-on-a-stick для доступа nat / WAN, коммутатор уровня 3 для межвлановой маршрутизации.
Маршрутизатор:
ip nat inside source list nated-nets interface FastEthernet0/0 overload
ip access-list extended nated-nets
permit ip 192.168.10.0 0.0.0.255 any
permit ip 192.168.11.0 0.0.0.255 any
permit ip 192.168.12.0 0.0.0.255 any
interface FastEthernet0/0
description [f0/0][ISP]
ip address dhcp
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
interface FastEthernet0/1.10
description [f0/1.10][vlan10]
encapsulation dot1Q 10
ip address 192.168.10.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly in
interface FastEthernet0/1.11
description [f0/1.11][vlan11]
encapsulation dot1Q 11
ip address 192.168.11.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly in
interface FastEthernet0/1.12
description [f0/1.12][vlan12]
encapsulation dot1Q 12
ip address 192.168.12.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly in
Переключатель:
interface range gigabitEthernet 0/1-7
switchport mode access
switchport access vlan 10
spanning-tree portfast
switchport nonegotiate
interface range gigabitEthernet 0/8-14
switchport mode access
switchport access vlan 11
spanning-tree portfast
switchport nonegotiate
interface range gigabitEthernet 0/15-21
switchport mode access
switchport access vlan 12
spanning-tree portfast
switchport nonegotiate
interface GigabitEthernet0/24
description [g0/24][router]
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10-12
switchport mode trunk
switchport nonegotiate
load-interval 30
carrier-delay msec 0
spanning-tree portfast trunk
interface Vlan10
ip address 192.168.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip policy route-map vlan10
interface Vlan11
ip address 192.168.11.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip policy route-map vlan11
interface Vlan12
ip address 192.168.12.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip policy route-map vlan12
route-map vlan10 permit 10
match ip address vlan-gateway
set ip next-hop 192.168.10.254
route-map vlan11 permit 10
match ip address vlan-gateway
set ip next-hop 192.168.11.254
route-map vlan12 permit 10
match ip address vlan-gateway
set ip next-hop 192.168.12.254
ip access-list extended vlan-gateway
deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
deny ip 192.168.11.0 0.0.0.255 192.168.0.0 0.0.255.255
deny ip 192.168.12.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip any any
Таблица маршрутизации коммутатора:
Switch# show ip route
Gateway of last resort is not set
C 192.168.10.0/24 is directly connected, Vlan10
C 192.168.11.0/24 is directly connected, Vlan11
C 192.168.12.0/24 is directly connected, Vlan12
Желаемый результат:
Исходный IP: 192.168.10.25
IP-адрес назначения: 192.168.11.15
Маршрут: 192.168.10.25 -> 192.168.10.1 -> 192.168.11.15
Исходный IP: 192.168.10.25
IP-адрес назначения: 8.8.8.8
Маршрут: 192.168.10.25 -> 192.168.10.1 -> 192.168.10.254 -> ISP
Вещи, которых я пытаюсь избежать:
Исходный IP: 192.168.10.25
IP-адрес назначения: 192.168.11.15
Маршрут: 192.168.10.25 -> 192.168.10.1 -> 192.168.10.254 -> 192.168.11.15
Исходный IP: 192.168.10.25
IP-адрес назначения: 8.8.8.8
Маршрут: 192.168.10.25 -> 192.168.10.1 -> 192.168.11.254 -> ISP
Хотя эта конфигурация ДЕЙСТВИТЕЛЬНО работает, она кажется небрежной.
Я также вижу неожиданные результаты при просмотре списков доступа. У меня есть 12 окон терминалов, открытых для проверки IP-адресов в других локальных подсетях и 5 для проверки связи с внешними подсетями, и у меня открыта куча случайных веб-сайтов с YouTube, Vine, Facebook и других, богатых пакетной болтовней. Я думал, что цифра будет больше.
Extended IP access list vlan-gateway
10 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
20 deny ip 192.168.11.0 0.0.0.255 192.168.0.0 0.0.255.255 (478 matches)
30 deny ip 192.168.12.0 0.0.0.255 192.168.0.0 0.0.255.255 (3062 matches)
40 permit ip any any (47 matches)
С вашей текущей конфигурацией вы не выполняете маршрутизацию между VLAN на коммутаторе; вы делаете это на роутере. Это плохо по ряду причин, основная из которых заключается в том, что весь трафик, идущий из одной VLAN в другую VLAN, проходит через магистральное соединение и маршрутизатор (что вызывает узкое место). Кроме того, вы сказали, что хотите использовать «Router-on-a-stick для доступа nat / WAN, коммутатор уровня 3 для маршрутизации между vlan», поэтому то, что вы сейчас делаете, на самом деле не то, что вы хотите делать.
Поскольку ваш коммутатор поддерживает уровень 3, вам нужно только дать ему IP-адрес в каждой VLAN (которая у него уже есть) и включить IP-маршрутизацию с помощью команды ip routing
; это позаботится о маршрутизации между VLAN.
Затем вам нужно будет изменить карту сети, чтобы использовать другую IP-подсеть для подключения коммутатора к маршрутизатору вместо переноса всех ваших VLAN на маршрутизатор через магистральное соединение; вам также необходимо настроить коммутатор для использования маршрутизатора в качестве шлюза по умолчанию. Конфигурацию маршрутизатора необходимо будет соответствующим образом изменить: одно соединение с коммутатором и несколько записей в таблице маршрутов, чтобы сообщить ему, что «вы можете достичь этих внутренних IP-подсетей через ваше соединение с коммутатором». И последнее, но не менее важное: все компьютеры в каждой VLAN должны будут использовать интерфейс коммутатора в этой VLAN (192.168.10.1, 192.168.11.1 или 192.168.12.1) в качестве шлюза по умолчанию.
Это позволит достичь того, о чем вы просили:
Source IP: 192.168.10.25
Destination IP: 192.168.11.15
Route: 192.168.10.25 --> 192.168.10.1 --> 192.168.11.15
Source IP: 192.168.10.25
Destination IP: 8.8.8.8
Route: 192.168.10.25 --> 192.168.10.1 --> Router --> ISP
Вот обновленная карта сети (с использованием 192.168.42.0/24 для соединения маршрутизатор-коммутатор):
Вот соответствующий пример конфигурации коммутатора (некоторые детали опущены для краткости):
interface range gigabitEthernet 0/1-7
switchport mode access
switchport access vlan 10
interface range gigabitEthernet 0/8-14
switchport mode access
switchport access vlan 11
interface range gigabitEthernet 0/15-21
switchport mode access
switchport access vlan 12
interface GigabitEthernet0/24
ip address 192.168.42.42 255.255.255.0
interface Vlan10
ip address 192.168.10.1 255.255.255.0
interface Vlan11
ip address 192.168.11.1 255.255.255.0
interface Vlan12
ip address 192.168.12.1 255.255.255.0
ip routing
ip route 0.0.0.0 0.0.0.0 192.168.42.1
А вот и соответствующий образец конфигурации для роутера (опять же, для краткости некоторые детали опущены):
ip access-list extended nated-nets
permit ip 192.168.10.0 0.0.0.255 any
permit ip 192.168.11.0 0.0.0.255 any
permit ip 192.168.12.0 0.0.0.255 any
permit ip 192.168.42.0 0.0.0.255 any
ip nat inside source list nated-nets interface FastEthernet0/0 overload
interface FastEthernet0/0
ip address dhcp
ip nat outside
interface FastEthernet0/1
ip address 192.168.42.1 255.255.255.0
ip nat inside
ip route 192.168.10.0 255.255.255.0 192.168.42.42
ip route 192.168.11.0 255.255.255.0 192.168.42.42
ip route 192.168.12.0 255.255.255.0 192.168.42.42
Конечно, это может быть дополнительно оптимизировано (например, подсеть / 24 не требуется для подключения только двух устройств, и эти записи в таблице маршрутов можно легко объединить); но этого должно быть достаточно, чтобы вы начали.
Запрос списка доступа очень странный, возможно, вы могли бы использовать список доступа отладочных IP-пакетов или wirehark, чтобы увидеть подробности. Однако этот дизайн необычен и не содержит лучших практик cisco, потому что вы избегаете cef и увеличиваете подпроцессинг для пересылки.