Cisco-Konfigurationsbeispiel für richtlinienbasiertes Routing

10

Ich befinde mich in einer Situation, in der ich mich vor nicht allzu langer Zeit befand, aber ich kann mich nicht erinnern, wie ich es gelöst habe :)

Das Szenario

Ich habe einen Cisco IOS-Router mit einer LAN-Schnittstelle (fa0 / 0) und einer WAN-Schnittstelle (fa0 / 1) sowie einer zweiten WAN-Schnittstelle (fa0 / 2).

  • Es gibt zwei LAN-Subschnittstellen fa0 / 0.10 und fa0 / 0.20.
  • Es gibt eine Standardroute über fa0 / 1. Es gibt jedoch eine statische Route zu einem bestimmten Subnetz, z. B. 1.2.3.4/24 über fa0 / 2 (fa0 / 2 liegt näher an diesem Subnetz, aber eine teurere $$$ WAN-Verbindung).

Alle meine fa0 / 0.10-Benutzer greifen auf 1.2.3.4/24 zu und werden daher über die statische Route aus fa0 / 2 (WAN2) gesendet. Für alle anderen Ziele gehen fa0 / 0.10-Benutzer über die DHCP-Standardroute, die ich auf der WAN1-Schnittstelle fa0 / 1 erhalte.

Die Problemdefinition;

Benutzer im fa0 / 0.20-Subnetz greifen einfach auf das Internet zu. Kein Benutzer in meinem fa0 / 0.20-Subnetz muss wirklich auf das Remote-Subnetz 1.2.3.4/24 zugreifen. In den seltensten Fällen werden sie jedoch über die statische Route über fa0 / 2 gesendet. Ich möchte dies jedoch nicht, ich möchte, dass sie über fa0 / 1, die Standard-WAN-Schnittstelle, auf 1.2.3.4/24 zugreifen. Ich glaube, ich kann dies über PBR erreichen, aber ich kann es scheinbar nicht zum Laufen bringen?

Dies ist die Konfiguration, die ich derzeit versuche.

interface FastEthernet0/0.10
 description LAN1
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

interface FastEthernet0/0.20
 description LAN2
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip policy route-map FORCE-LAN2-VIA-WAN1

interface FastEthernet0/1
 description WAN1
 ip address dhcp
 ip nat outside
 ip virtual-reassembly

interface FastEthernet0/2
 description WAN2 - Used for 1.2.3.4/24
 ip address 5.5.5.5 255.255.255.0

! Static route to route to a remote subnet via 2nd WAN link
ip route 1.2.3.4 0.0.0.255 5.5.5.6
! A default route is received on fa0/1 (WAN1) via DHCP from ISP
! for all other traffic
!
! NAT fa0/0.10 users when accessing the Internet via WAN1
ip nat inside source route-map ROUTE-WAN1 interface FastEthernet0/1 overload
!
! NAT fa0/0.20 users out via WAN1
ip nat inside source route-map FORCE-LAN2-VIA-WAN1 interface FastEthernet0/1 overload

route-map ROUTE-WAN1 permit 10
 match interface FastEthernet0/1

route-map FORCE-LAN2-VIA-WAN1 permit 10
 match interface FastEthernet0/0.20
 set default interface FastEthernet0/1

Ich versuche, richtlinienbasiertes Routing direkt auf die fa0 / 0.20-Subschnittstelle anzuwenden, um den gesamten Datenverkehr über WAN1, fa0 / 1 zu erzwingen. Mein Verständnis ist, dass, da es eine spezifischere Route als die von DHCP auf fa0 / 1 in der FIB empfangene Standardroute gibt, diese die PBR überschreibt und der Verkehr von fa0 / 0.20 bis 1.2.3.4/24 immer noch WAN2, fa0 / verwendet 2. Zumindest glaube ich, dass dies der Fall ist, wenn Sie "Standardschnittstelle festlegen ..." verwenden. Wenn ich zum Beispiel "set ip next-hop" verwenden würde, würde dies die PBR zwingen, Vorrang zu haben, aber WAN1, fa0 / 1, empfängt eine IP von DHCP und ändert sich somit :)

Als Anmerkung; Es gibt tatsächlich viele statische Routen über WAN2, daher möchte ich die Situation und die Richtlinienroute fa0 / 0.10 über WAN2 für bestimmte Subnetze nicht umkehren. Die Konfiguration dort ist komplexer als ich es zugelassen habe, lange und kurz, aber es ist nicht möglich, das zu ändern. Wenn es außer PBR einen besseren Weg gibt, dieses Problem anzugehen, bin ich ganz Ohr. Ich kämpfe mit dieser Methode, weil sie die beste Lösung ist, die mir bekannt ist.

Update Ein spektakulär gezeichnetes Topologiediagramm wurde hinzugefügt

Topologie

jwbensley
quelle
Welches Routing-Verhalten möchten Sie, wenn WAN1 oder WAN2 ausfallen? Möchten Sie, dass der Datenverkehr dann über die verbleibende UP-WAN-Schnittstelle fließt, oder möchten Sie den Datenverkehr löschen, anstatt über Ihr teures WAN2 zu gehen, wenn WAN1 ausfällt?
Generalnetworkerror
Könnten Sie uns bitte ein Netzwerkdiagramm zeigen? Ein Bild
sagt mehr

Antworten:

9

Ich würde empfehlen, eine Routenkarte nur für einen Zweck zu verwenden (eine für nat, eine andere für pbr); Eine gemischte Verwendung kann zu einem Durcheinander führen. Für NAT wird das match interfacePost-Routing angewendet - praktisch, um bedingte Nat-Einträge vorzunehmen.

Die Routenkarte für PBR sollte eine ACL verwenden, um den von LAN2 kommenden Datenverkehr abzugleichen, und dann den nächsten Hop auf die gewünschte Schnittstelle mit set interfacenot einstellen set default- oder set ip next-hop dynamic dhcpda Sie die tatsächliche GW-Adresse nicht kennen. Dadurch wird jede Routing-Logik umgangen / überschrieben, die andernfalls Datenverkehr an Ihr teures WAN senden würde.

Ricky Beam
quelle
1
Können Sie eine Beispielkonfiguration für dieses Setup angeben?
Bulki
set ip next-hop dynamic dhcpwar was ich brauchte, wie habe ich das vermisst? :) Trotzdem, danke, dass du so schnell bist und den guten Rat hast!
Jwbensley