思科 3750 交换机上的基于源的路由?

思科 3750 交换机上的基于源的路由?

我有一台 Cisco 3750 交换机,它可以处理多个 VLAN。它在其中一些 VLAN 上有一个 IP 接口,并为连接到使用交换机 IP 地址作为默认网关的 VLAN 的计算机提供路由。

交换机也有一个默认网关;这是必要的,因为其中一个 VLAN 连接到 Internet 路由器,所以每个未指向任何特定内部子网的传出连接都需要去那里。

交换机本身还有另一个 IP 地址,我们将其用于管理;此地址与其中一个 VLAN 关联。来自/到达此地址的流量需要通过另一条路由。

问题:我希望来自交换机的任何传出 IP 连接都通过不同于其默认网关的路由。但这仅适用于源自交换机本身的数据包;来自连接到交换机上任何 VLAN 的任何设备的数据包都应通过默认路由。

这里我需要的是基于源的路由;即我想要一个仅适用于来自交换机本身的数据包的静态路由。

这可以在 Cisco 3750 交换机上完成吗?

如何?


编辑:我为什么想要这个

这是一个测试环境,其中默认网关是 Linux 防火墙,在任何给定时间可能发生故障;我们的工作站位于防火墙的另一侧,中间还有一些其他路由。
交换机在子网上有一个管理 IP,该子网链接到我们的主网络,其中网关可以允许它与我们通信,而无需通过其默认网关。
当然,如果测试区域无法完全正常工作,我们不想失去与交换机的连接。但与此同时,交换机的默认网关是那个,因为交换机本身也充当构成此测试区域的(许多)子网的路由器。所以我需要通过备用网关路由来自交换机的所有流量,但仅限于它。


编辑:show version

Cisco IOS Software, C3750 Software (C3750-IPBASEK9-M), Version 12.2(25)SEE1, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Mon 22-May-06 08:51 by yenanh
Image text-base: 0x00003000, data-base: 0x01026AEC

ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(25r)SEC, RELEASE SOFTWARE (fc4)

SW-TEST uptime is 5 weeks, 1 day, 16 hours, 22 minutes
System returned to ROM by power-on
System image file is "flash:c3750-ipbasek9-mz.122-25.SEE1/c3750-ipbasek9-mz.122-25.SEE1.bin"

答案1

如果您想引导或标记来自交换机或路由器的流量(将在 IPBASE 上工作),我猜您已经成功了,但如果没有。

conf t

access-list 1 any

route-map pbr permit 10

 match ip address 1

 set ip next-hop 3.3.3.3

exit

ip local policy route-map pbr

end

wr

请注意,这ip local policy是在全局配置中指定的,而不是在接口下指定的。您可能希望有更详细的 ACL

这仅适用于源自设备的流量,而不适用于通过设备的流量。

答案2

Cisco 3750 支持“基于策略的路由”,这将允许您根据标准 ACL 做出路由决策。以下是解释该策略的 PDF:
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/25sg/configuration/guide/pbroute.pdf

出于好奇,为什么?在我看来,你想要实现的目标也许可以通过其他方式实现。

摘自 PDF:

The following example illustrates how to route traffic from different sources to different
places (next hops). Packets arriving from source 1.1.1.1 are sent to the next hop at 3.3.3.3;
packets arriving from source 2.2.2.2 are sent to the next hop at 3.3.3.5.

access-list 1 permit ip 1.1.1.1 
access-list 2 permit ip 2.2.2.2 

! interface fastethernet 3/1
ip policy route-map Texas
! route-map Texas permit 10
   match ip address 1 set ip next-hop 3.3.3.3
! route-map Texas permit 20
   match ip address 2 set ip next-hop 3.3.3.5  

虽然在您的例子中,对于 fastethernet 3/1,您会放置您希望源路由发生的 vlan 接口。如果您将此代码复制并粘贴到文本编辑器中,并将 IP 和接口更改为您需要的,您可以将其直接粘贴到交换机的配置模式中

答案3

根据 einstiien 的回答,正确的做法是使用 PBR。不幸的是,您使用的是 IP Base 功能集,而该功能集中没有 PBR 功能,因此您需要购买 PBR。

是否可以简单地将管理上行链路设为管理网络 VLAN 的一部分,并提供到管理站的路由?这将允许所有其他 VLAN 通过该路由访问管理站,但可以通过在线路下方提供流量阻止 ACL 来解决这个问题(或者,可能在交换机本身上,我现在记不清交换机端口上的 ACL 可以做什么和不能做什么)。

相关内容