网络相当简单。单板路由器用于 nat/WAN 访问,第 3 层交换机用于 VLAN 间路由。
路由器:
ip nat inside source list nated-nets interface FastEthernet0/0 overload
ip access-list extended nated-nets
permit ip 192.168.10.0 0.0.0.255 any
permit ip 192.168.11.0 0.0.0.255 any
permit ip 192.168.12.0 0.0.0.255 any
interface FastEthernet0/0
description [f0/0][ISP]
ip address dhcp
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
interface FastEthernet0/1.10
description [f0/1.10][vlan10]
encapsulation dot1Q 10
ip address 192.168.10.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly in
interface FastEthernet0/1.11
description [f0/1.11][vlan11]
encapsulation dot1Q 11
ip address 192.168.11.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly in
interface FastEthernet0/1.12
description [f0/1.12][vlan12]
encapsulation dot1Q 12
ip address 192.168.12.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly in
转变:
interface range gigabitEthernet 0/1-7
switchport mode access
switchport access vlan 10
spanning-tree portfast
switchport nonegotiate
interface range gigabitEthernet 0/8-14
switchport mode access
switchport access vlan 11
spanning-tree portfast
switchport nonegotiate
interface range gigabitEthernet 0/15-21
switchport mode access
switchport access vlan 12
spanning-tree portfast
switchport nonegotiate
interface GigabitEthernet0/24
description [g0/24][router]
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10-12
switchport mode trunk
switchport nonegotiate
load-interval 30
carrier-delay msec 0
spanning-tree portfast trunk
interface Vlan10
ip address 192.168.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip policy route-map vlan10
interface Vlan11
ip address 192.168.11.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip policy route-map vlan11
interface Vlan12
ip address 192.168.12.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip policy route-map vlan12
route-map vlan10 permit 10
match ip address vlan-gateway
set ip next-hop 192.168.10.254
route-map vlan11 permit 10
match ip address vlan-gateway
set ip next-hop 192.168.11.254
route-map vlan12 permit 10
match ip address vlan-gateway
set ip next-hop 192.168.12.254
ip access-list extended vlan-gateway
deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
deny ip 192.168.11.0 0.0.0.255 192.168.0.0 0.0.255.255
deny ip 192.168.12.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip any any
交换机路由表:
Switch# show ip route
Gateway of last resort is not set
C 192.168.10.0/24 is directly connected, Vlan10
C 192.168.11.0/24 is directly connected, Vlan11
C 192.168.12.0/24 is directly connected, Vlan12
期望的结果:
源 IP:192.168.10.25
目标 IP:192.168.11.15
路由:192.168.10.25 --> 192.168.10.1 --> 192.168.11.15
源 IP:192.168.10.25
目标 IP:8.8.8.8
路由:192.168.10.25 --> 192.168.10.1 --> 192.168.10.254 --> ISP
我想避免的事情:
源 IP:192.168.10.25
目标 IP:192.168.11.15
路由:192.168.10.25 --> 192.168.10.1 --> 192.168.10.254 --> 192.168.11.15
源 IP:192.168.10.25
目标 IP:8.8.8.8
路由:192.168.10.25 --> 192.168.10.1 --> 192.168.11.254 --> ISP
虽然此配置确实可以正常工作,但感觉有些马虎。
查看访问列表时,我还看到了意想不到的结果。我打开了 12 个终端窗口,ping 其他本地子网中的 IP,打开了 5 个终端窗口,ping 外部子网,并且打开了一堆随机的 youtube、vine、facebook 和其他数据包聊天丰富的网站。我以为这个数字会更高。
Extended IP access list vlan-gateway
10 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
20 deny ip 192.168.11.0 0.0.0.255 192.168.0.0 0.0.255.255 (478 matches)
30 deny ip 192.168.12.0 0.0.0.255 192.168.0.0 0.0.255.255 (3062 matches)
40 permit ip any any (47 matches)
答案1
使用您当前的配置,您没有在交换机上执行 VLAN 间路由;你在路由器上这样做。这很糟糕,原因有很多,其中最主要的是,从一个 VLAN 到另一个 VLAN 的所有流量都经过中继连接和路由器(这会导致瓶颈)。另外,您说您想使用“单根路由器进行 nat/WAN 访问,使用第 3 层交换机进行 VLAN 间路由”,所以您现在所做的实际上并不是您想要做的。
由于您的交换机具有第 3 层功能,因此您只需在每个 VLAN 上为其指定一个 IP 地址(它已经具有),然后使用命令启用 IP 路由ip routing;这将处理 VLAN 间路由。
然后,您需要修改网络图,使用不同的 IP 子网将交换机连接到路由器,而不是通过中继连接将所有 VLAN 传输到路由器;您还必须配置交换机以使用路由器作为其默认网关。路由器配置需要进行相应的修改:与交换机的单一连接,以及一些路由表条目,以告诉它“您可以通过与交换机的连接访问这些内部 IP 子网”。最后但并非最不重要的是,每个 VLAN 中的所有计算机都需要使用该 VLAN 中的交换机接口(192.168.10.1、192.168.11.1 或 192.168.12.1)作为其默认网关。
这将实现你的要求:
Source IP: 192.168.10.25
Destination IP: 192.168.11.15
Route: 192.168.10.25 --> 192.168.10.1 --> 192.168.11.15
Source IP: 192.168.10.25
Destination IP: 8.8.8.8
Route: 192.168.10.25 --> 192.168.10.1 --> Router --> ISP
以下是修改后的网络图(使用 192.168.42.0/24 作为路由器交换机连接):
以下是交换机的相应示例配置(为简洁起见省略了一些细节):
interface range gigabitEthernet 0/1-7
switchport mode access
switchport access vlan 10
interface range gigabitEthernet 0/8-14
switchport mode access
switchport access vlan 11
interface range gigabitEthernet 0/15-21
switchport mode access
switchport access vlan 12
interface GigabitEthernet0/24
ip address 192.168.42.42 255.255.255.0
interface Vlan10
ip address 192.168.10.1 255.255.255.0
interface Vlan11
ip address 192.168.11.1 255.255.255.0
interface Vlan12
ip address 192.168.12.1 255.255.255.0
ip routing
ip route 0.0.0.0 0.0.0.0 192.168.42.1
以下是路由器的相应示例配置(同样,为了简洁起见,省略了一些细节):
ip access-list extended nated-nets
permit ip 192.168.10.0 0.0.0.255 any
permit ip 192.168.11.0 0.0.0.255 any
permit ip 192.168.12.0 0.0.0.255 any
permit ip 192.168.42.0 0.0.0.255 any
ip nat inside source list nated-nets interface FastEthernet0/0 overload
interface FastEthernet0/0
ip address dhcp
ip nat outside
interface FastEthernet0/1
ip address 192.168.42.1 255.255.255.0
ip nat inside
ip route 192.168.10.0 255.255.255.0 192.168.42.42
ip route 192.168.11.0 255.255.255.0 192.168.42.42
ip route 192.168.12.0 255.255.255.0 192.168.42.42
当然,这可以进一步优化(例如,不需要 /24 子网来连接两个设备,并且那些路由表条目可以轻松合并);但这应该足以让您开始。
答案2
访问列表的提示非常奇怪,也许您可以使用调试 IP 数据包访问列表或 wireshark 来详细查看。但是这种设计不寻常,并且没有思科最佳实践,因为您避免使用 cef 并增加子处理来转发。