Cisco 3750 基于策略的路由限制?

Cisco 3750 基于策略的路由限制?

我有两个 3750,它们通过 SVI 路由服务器子网(分别是 Core1 和 Core2)。在 Core1 上,我有 vlan 1100,其 SVI 为 xx100.1,并在 100.3 上有一个透明的 squid 代理。

当我在 core1 上执行以下操作时:

ip access-list extended lab-filter
 remark ### Force HTTP and HTTPS to Barracuda ###
 deny tcp any any neq www 443
 deny ip any x.x.x.x 0.0.255.255
 permit ip x.x.x.x. 0.0.0.255 any

route-map Barracuda permit 20
 match ip address lab-filter
 set ip next-hop x.x.100.3

interface Vlan1100
description Barracuda VLAN Interface
ip address x.x.100.1 255.255.255.0
no ip redirects
no ip proxy-arp

On Core1
interface Vlan1010
ip address x.x.10.1 255.255.255.0
ip access-group 115 in
ip access-group 116 out
no ip redirects
no ip proxy-arp
ip policy route-map Barracuda

On Core2
interface Vlan1120
ip address x.x.120.1 255.255.255.0
ip access-group 102 in
no ip proxy-arp
ip policy route-map Barracuda

一切运行正常,所有网络流量均被转至过滤器。

问题出现了,当我将另一台 3750 直接连接到 Core1 并尝试同样的事情时,它不会将流量重定向到 100.3。

core1#sho route-map
route-map Barracuda, permit, sequence 20
  Match clauses:
    ip address (access-lists): lab-filter
  Set clauses:
    ip next-hop x.x.100.3
  Policy routing matches: 138260 packets, 12930735 bytes


core2#sho route-map
route-map Barracuda, permit, sequence 10
  Match clauses:
   ip address (access-lists): lab-filter
  Set clauses:
   ip next-hop x.x.100.3
  Nexthop tracking current: 0.0.0.0
  x.x.100.3, fib_nh:0,oce:0,status:0 
  Policy routing matches: 0 packets, 0 bytes

基本上,我试图将所有内容从 Core1 上的 vlan 1010 中取出,将 vlan 1120 中的所有内容从 Core2 中取出,然后将端口 80 和 443 重定向到直接连接到 Core1 的 100.3。

下一跳 IP 是否必须是连接路由?如果不是,我该如何通过它?

答案1

下一跳应该是流量将传递到的下一个第 3 层地址,因此,是的,它应该位于直接连接到 3750 并具有连接路由的网络段上。

请记住,您不是在重写数据包的目标地址,而是以不同的方式路由它。因此,下一个第 3 层跃点应该是 Barracuda(当您的路由器直接接触 Barracuda 所在的 VLAN 时),或者是知道(可能通过基于策略的路由)该流量需要终止于何处的下一跳第 3 层路由器。

答案2

Shane 关于下一跳的回答是正确的,但我想指出另一个问题。您目前在匹配 ACL 中拒绝 ACE。在 3750 上使用 PBR 时,您不应该在匹配 ACL 中拒绝 ACE。3750 在 TCAM 中执行 PBR,但无法对拒绝执行 PBR。拒绝将被 CPU 路由,并可能迅速降低交换机的性能。参考

由于您正在执行 PBR,因此您必须拥有 IP 服务功能集,您可能要考虑在 3750 上使用 WCCP。它有几个优点。

  • 如果您的代理失败,路由器将不会尝试向其发送流量,并将正常路由流量,从而允许 Internet 访问继续不间断。(根据您使用代理的原因,这可能是也可能不是您想要的行为。)
  • 您可以添加额外的代理以实现冗余。

请记住,3750 上的 WCCP 会执行 L2 重定向和返回。许多配置 Squid 和 WCCP 的指南都是基于 GRE 重定向的。

相关内容