基于策略路由的Cisco配置示例

10

我发现自己处于不久前的状况,但我不记得自己是如何解决的:)

场景

我有一个带有局域网接口(fa0 / 0)和WAN接口(fa0 / 1)以及第二个WAN接口(fa0 / 2)的Cisco IOS路由器。

  • 可以说有两个LAN子接口fa0 / 0.10和fa0 / 0.20。
  • 有一条通过fa0 / 1的默认路由。但是,有一条到特定子网的静态路由,可以说是通过fa0 / 2到达1.2.3.4/24(fa0/2距离该子网较近,但是更昂贵的$$$ WAN链接)

我所有的fa0 / 0.10用户都正在访问1.2.3.4/24,因此静态路由将其发送到fa0 / 2(WAN2)之外。对于所有其他目的地fa0 / 0.10,用户将使用我在WAN1接口fa0 / 1上收到的DHCP默认路由。

问题定义;

fa0 / 0.20子网中的用户只能访问Internet。我的fa0 / 0.20子网中没有用户真正需要访问远程1.2.3.4/24子网。但是,它们很少这样做,在这种情况下,静态路由会通过fa0 / 2发送它们。我不希望这样,我希望他们通过默认的WAN接口fa0 / 1访问1.2.3.4/24。我相信我可以通过PBR实现这一目标,但是我似乎无法使其正常运行?

这是我目前正在尝试的配置;

interface FastEthernet0/0.10
 description LAN1
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

interface FastEthernet0/0.20
 description LAN2
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip policy route-map FORCE-LAN2-VIA-WAN1

interface FastEthernet0/1
 description WAN1
 ip address dhcp
 ip nat outside
 ip virtual-reassembly

interface FastEthernet0/2
 description WAN2 - Used for 1.2.3.4/24
 ip address 5.5.5.5 255.255.255.0

! Static route to route to a remote subnet via 2nd WAN link
ip route 1.2.3.4 0.0.0.255 5.5.5.6
! A default route is received on fa0/1 (WAN1) via DHCP from ISP
! for all other traffic
!
! NAT fa0/0.10 users when accessing the Internet via WAN1
ip nat inside source route-map ROUTE-WAN1 interface FastEthernet0/1 overload
!
! NAT fa0/0.20 users out via WAN1
ip nat inside source route-map FORCE-LAN2-VIA-WAN1 interface FastEthernet0/1 overload

route-map ROUTE-WAN1 permit 10
 match interface FastEthernet0/1

route-map FORCE-LAN2-VIA-WAN1 permit 10
 match interface FastEthernet0/0.20
 set default interface FastEthernet0/1

我正在尝试将基于策略的路由直接应用到fa0 / 0.20子接口,以强制通过WAN1 fa0 / 1进行所有通信。我的理解是,由于FIB中fa0 / 1上的DHCP路由比DHCP收到的默认路由更具体,因此它会覆盖PBR,并且从fa0 / 0.20到1.2.3.4/24的流量仍在使用WAN2,fa0 / 2。或者至少,我相信使用“设置默认界面...”时会是这种情况。例如,如果我使用“ set ip next-hop”,这将强制PBR优先,但是WAN1 fa0 / 1通过DHCP接收IP,因此正在更改:)

作为旁注;实际上,有许多通过WAN2的静态路由,因此我不想针对特定子网通过WAN2改变这种情况和策略路由fa0 / 0.10。那里的配置比我所允许的更复杂,尽管有很多不足,但改变它是不可行的。此外,如果除了PBR之外,还有其他更好的方法可以解决此问题,我将不胜枚举。我正在使用这种方法,因为它是我所知道的最佳解决方案。

更新添加了绘制精美的拓扑图

拓扑结构

cisco  cisco-commands  pbr 
乔本斯利
source
如果WAN1或WAN2出现故障,您想要什么路由行为?您是否要让流量然后流经其余的UP WAN接口,或者如果WAN1出现故障,您是否要丢弃流量而不要通过昂贵的WAN2?
generalnetworkerror
您能给我们看一张网络图吗?一幅图片值得一千个单词:)
OzNetNerd

Answers:

9

我建议仅将路由图用于一个目的(一个用于nat,另一个用于pbr);混合使用会使事情变得一团糟。对于NAT,match interface它将应用路由后-方便地进行有条件的nat条目。

PBR的路由映射应该使用ACL匹配来自LAN2的流量,然后将下一跳设置为set interface不希望的接口,set default否则set ip next-hop dynamic dhcp您将不知道实际的gw地址。这会绕过/覆盖任何路由逻辑,否则它们会将流量发送到昂贵的WAN。

瑞奇光束
source
1
您能否提供此设置的示例配置?
Bulki
set ip next-hop dynamic dhcp是我所需要的,我怎么想念它?:)尽管如此,还是感谢您这么迅速和合理的建议!
jwbensley
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.