У меня есть коммутатор Cisco 3750, который обрабатывает множество VLAN. У него есть IP-интерфейс на некоторых из них, и он выполняет маршрутизацию для компьютеров, подключенных к этим VLAN, которые используют IP-адреса коммутатора в качестве шлюза по умолчанию.
Коммутатор также имеет шлюз по умолчанию; это необходимо, потому что одна из этих VLAN подключена к интернет-маршрутизатору, поэтому каждое исходящее соединение, которое не направлено ни в какую конкретную внутреннюю подсеть, должно идти туда.
Сам коммутатор также имеет другой IP-адрес, который мы используем для управления; этот адрес привязан к одной из сетей VLAN. Трафик с / на этот адрес должен проходить по другому маршруту.
Вопрос: я хочу, чтобы любое исходящее IP-соединение, исходящее от коммутатора, проходило по другому маршруту, чем его шлюз по умолчанию. Но это должно применяться только к пакетам, исходящим от самого коммутатора; те пакеты, которые приходят с любого устройства, подключенного к любой VLAN на коммутаторе, должны проходить по маршруту по умолчанию.
Маршрутизация на основе источника - вот что мне здесь нужно; то есть мне нужен статический маршрут, который применяется только к пакетам, исходящим от самого коммутатора.
Можно ли это сделать на коммутаторе Cisco 3750?
Как?
Это тестовая среда, где шлюзом по умолчанию является межсетевой экран Linux, который в любой момент мощь быть внизу; наши рабочие станции находятся по ту сторону этого брандмауэра, а посередине есть другая маршрутизация.
Коммутатор имеет управляющий IP-адрес в подсети, которая связана с нашей основной сетью, где шлюз мог позволить ему разговаривать с нами, не проходя через шлюз по умолчанию.
И, конечно, мы не хотим терять возможность подключения к коммутатору, если тестовая зона не работает полностью. Но в то же время шлюз коммутатора по умолчанию имеет именно так, потому что сам коммутатор также действует как маршрутизатор для (многих) подсетей, которые образуют эту тестовую область. Поэтому мне нужно направить через альтернативный шлюз весь трафик, поступающий от коммутатора, но только его.
show versionCisco IOS Software, C3750 Software (C3750-IPBASEK9-M), Version 12.2(25)SEE1, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Mon 22-May-06 08:51 by yenanh
Image text-base: 0x00003000, data-base: 0x01026AEC
ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(25r)SEC, RELEASE SOFTWARE (fc4)
SW-TEST uptime is 5 weeks, 1 day, 16 hours, 22 minutes
System returned to ROM by power-on
System image file is "flash:c3750-ipbasek9-mz.122-25.SEE1/c3750-ipbasek9-mz.122-25.SEE1.bin"
Если вы хотите направить или пометить трафик, исходящий от коммутатора или маршрутизатора (будет работать на IPBASE), я предполагаю, что вам это уже удалось, но если нет.
conf t
access-list 1 any
route-map pbr permit 10
match ip address 1
set ip next-hop 3.3.3.3
exit
ip local policy route-map pbr
end
wr
Обратите внимание, что ip local policy указывается в глобальной конфигурации, а не в интерфейсе. И вы можете иметь более подробный ACL
Это касается только трафика, исходящего от устройства, а не трафика, проходящего через него.
Cisco 3750 поддерживает «маршрутизацию на основе политик», которая позволяет принимать решения о маршрутизации на основе стандартного ACL. Вот PDF, объясняющий это:
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/25sg/configuration/guide/pbroute.pdf
Почему из любопытства? Мне кажется, что то, чего вы хотите достичь, возможно, возможно и другим способом.
Из PDF:
The following example illustrates how to route traffic from different sources to different
places (next hops). Packets arriving from source 1.1.1.1 are sent to the next hop at 3.3.3.3;
packets arriving from source 2.2.2.2 are sent to the next hop at 3.3.3.5.
access-list 1 permit ip 1.1.1.1
access-list 2 permit ip 2.2.2.2
! interface fastethernet 3/1
ip policy route-map Texas
! route-map Texas permit 10
match ip address 1 set ip next-hop 3.3.3.3
! route-map Texas permit 20
match ip address 2 set ip next-hop 3.3.3.5
Хотя в вашем случае вместо fastethernet 3/1 вы бы поместили интерфейс vlan, который вы хотите, чтобы исходная маршрутизация выполнялась. Если вы скопируете и вставите этот код в текстовый редактор и измените IP-адреса и интерфейс на то, что вам нужно, вы можете вставить его прямо в режим конфигурации на переключателе.
Согласно ответу einstiien, правильнее всего использовать PBR. К сожалению, вы используете набор функций IP Base, а функции PBR недоступны в этом наборе функций, поэтому вам придется вместо этого купить PBR.
Можно ли было бы просто сделать восходящий канал управления частью управляемой VLAN и обеспечить маршрутизацию к станции управления? Это позволило бы всем другим сетям VLAN получить доступ к станции управления через этот маршрут, но это можно исправить, предоставив ACL для блокировки трафика дальше по линии (или, возможно, на самом коммутаторе, я не могу сказать, что точно помню, что вы можно и нельзя делать с ACL на портах коммутатора прямо сейчас).