web-dev-qa-db-ja.com

Cisco 3750スイッチのソースベースのルーティング?

多くのVLANを処理するこのCisco3750スイッチがあります。それらのいくつかにはIPインターフェースがあり、スイッチのIPアドレスをデフォルトゲートウェイとして使用するVLANに接続されているコンピューターのルーティングを行います。

スイッチにはデフォルトゲートウェイもあります。これが必要なのは、これらのVLANの1つがインターネットルーターに接続されているため、特定の内部サブネットに向けられていないすべての発信接続がそこに到達する必要があるためです。

スイッチ自体にも、管理に使用する別のIPアドレスがあります。このアドレスは、VLANの1つに接続されています。このアドレスとの間のトラフィックは、別のルートを経由する必要があります。

質問:スイッチからの発信IP接続は、デフォルトゲートウェイとは異なるルートを経由する必要があります。ただし、これはスイッチ自体から発信されたパケットにのみ適用されます。スイッチの任意のVLANに接続されている任意のデバイスから送信されるパケットは、デフォルトルートを通過する必要があります。

ここでは、ソースベースのルーティングが必要です。つまり、スイッチ自体から発信されたパケットにのみ適用される静的ルートが必要です。

これはCisco3750スイッチで実行できますか?

どうやって?

編集:なぜこれが欲しいのか

これはテスト環境であり、デフォルトゲートウェイはLinuxファイアウォールであり、いつでも可能性がありますダウンしています。私たちのワークステーションはこのファイアウォールの反対側にあり、中央には他のルーティングもあります。
スイッチには、メインネットワークにリンクされたサブネット上に管理IPがあり、ゲートウェイcouldは、デフォルトゲートウェイを経由せずに私たちと通信できるようにします。
もちろん、テスト領域が完全に機能していない場合でも、スイッチへの接続が失われることは望ましくありません。ただし、同時に、スイッチ自体がこのテスト領域を形成する(多くの)サブネットのルーターとしても機能するため、スイッチのデフォルトゲートウェイhasがそのゲートウェイになります。したがって、スイッチからのすべてのトラフィックを代替ゲートウェイ経由でルーティングする必要がありますが、それだけです。

編集:show version

Cisco IOS Software, C3750 Software (C3750-IPBASEK9-M), Version 12.2(25)SEE1, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Mon 22-May-06 08:51 by yenanh
Image text-base: 0x00003000, data-base: 0x01026AEC

ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(25r)SEC, RELEASE SOFTWARE (fc4)

SW-TEST uptime is 5 weeks, 1 day, 16 hours, 22 minutes
System returned to ROM by power-on
System image file is "flash:c3750-ipbasek9-mz.122-25.SEE1/c3750-ipbasek9-mz.122-25.SEE1.bin"
ciscoroutingswitch
3
Massimo

スイッチまたはルーターから発信されたトラフィックを転送またはタグ付けする場合(IPBASEで機能します)、すでに成功していると思いますが、そうでない場合は。

conf t

access-list 1 any

route-map pbr permit 10

 match ip address 1

 set ip next-hop 3.3.3.3

exit

ip local policy route-map pbr

end

wr

ご了承ください ip local policyは、インターフェースではなくグローバル構成で指定されます。そして、より詳細なACLが必要になる場合があります

これは、デバイスから発信されたトラフィックのみであり、デバイスを通過するトラフィックではありません。

4
Gotcha

Cisco 3750は、標準ACLに基づいてルーティングを決定できる「ポリシーベースルーティング」をサポートしています。 PDF説明しています:
http://www.Cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/25sg/configuration/guide/pbroute.pdf

好奇心から、なぜですか?あなたが達成したいことが別の方法で可能かもしれないように私には思えます。

PDFから:

The following example illustrates how to route traffic from different sources to different
places (next Hops). Packets arriving from source 1.1.1.1 are sent to the next hop at 3.3.3.3;
packets arriving from source 2.2.2.2 are sent to the next hop at 3.3.3.5.

access-list 1 permit ip 1.1.1.1 
access-list 2 permit ip 2.2.2.2 

! interface fastethernet 3/1
ip policy route-map Texas
! route-map Texas permit 10
   match ip address 1 set ip next-hop 3.3.3.3
! route-map Texas permit 20
   match ip address 2 set ip next-hop 3.3.3.5

ただし、fastethernet 3/1の代わりに、ソースルーティングを実行するVLANインターフェイスを配置します。このコードをコピーしてテキストエディターに貼り付け、IPとインターフェイスを必要なものに変更すると、スイッチの構成モードに直接貼り付けることができます

2
einstiien

Einstiienの回答によれば、正しいことはPBRを使用することです。残念ながら、IPベース機能セットを使用していて、その機能セットではPBR機能を使用できないため、代わりにPBRを購入する必要があります。

管理アップリンクをmanagemenet VLANの一部にして、管理ステーションへのルーティングを提供することは可能でしょうか?それにより、他のすべてのVLANがそのルートを介して管理ステーションにアクセスできるようになりますが、将来的にトラフィックブロッキングACLを提供することで修正可能になります(または、おそらくスイッチ自体で、現在スイッチポートのACLで実行できることと実行できないことを正確に思い出すことはできません)。

0
Vatine