Вы здесь

Policy Based Routing на Cisco 3750x

Cisco 3750x может выступать в роли Ядра сети, и участвовать в маршрутизации.
Обычно шлюзом по умолчанию на ядре выставляют прокси-сервер или устройство NGFW, где происходит применение политик, и трансляция адреса клиента.

Бывают случаи, когда нам необходимо перенаправить трафик не только на основе destination address, но и на основе source address. В этом случае мы будем применять Policy Based Routing, или PBR.

В общем случае на коммутаторах 3750 нам сперва необходимо активировать routing SDM (по умолчанию стоит sdm prefer default)

sdm prefer routing

Применение настройки потребует перезагрузки.

Проверка:

show sdm prefer

Без этого команда ip policy route-map не может быть применена на интерфейс.

Пример простого PBR

Предположим, мы хотим чтобы внутренний хост 192.168.10.45 ходил в интернет через узел 192.168.252.2, который подключен к провайдеру.

ip access-list extended defaultgwdev_acl deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 deny ip 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255 deny ip 192.168.0.0 0.0.255.255 172.16.0.0 0.15.255.255 permit ip host 192.168.10.45 any ! route-map defaultgw permit 10 match ip address defaultgwdev_acl set ip next-hop 192.168.252.2 ! interface Vlan1 ip policy route-map defaultgw

Пример PBR + IP SLA

Предположим, мы хотим чтобы внутренний хост 192.168.10.45 ходил в интернет через узел 192.168.252.2, который подключен к ISP1.
Но в случае недоступности ISP1 внутренний хост 192.168.10.45 пойдёт в интернет через узел 192.168.252.6, который подключен к ISP2.

ip access-list extended isp1_address_acl permit ip host 192.168.252.1 any ! ip access-list extended isp2_address_acl permit ip host 192.168.252.5 any ! route-map Local-PBR permit 10 match ip address isp1_address_acl set ip next-hop 192.168.252.2 ! route-map Local-PBR permit 20 match ip address isp2_address_acl set ip next-hop 192.168.254.6 ! ip local policy route-map Local-PBR ! ip sla 11 icmp-echo 77.88.8.1 source-ip 192.168.252.1 frequency 30 ip sla schedule 11 life forever start-time now ip sla 12 icmp-echo 77.88.8.2 source-ip 192.168.252.1 frequency 30 ip sla schedule 12 life forever start-time now ip sla 13 icmp-echo 77.88.8.3 source-ip 192.168.252.1 frequency 30 ip sla schedule 13 life forever start-time now ! ip sla 21 icmp-echo 77.88.8.7 source-ip 192.168.252.5 frequency 30 ip sla schedule 21 life forever start-time now ip sla 22 icmp-echo 77.88.8.8 source-ip 192.168.252.5 frequency 30 ip sla schedule 22 life forever start-time now ip sla 23 icmp-echo 77.88.8.88 source-ip 192.168.252.5 frequency 30 ip sla schedule 23 life forever start-time now ! track 10 list boolean or object 11 object 12 object 13 ! track 11 ip sla 11 reachability delay down 120 up 120 ! track 12 ip sla 12 reachability delay down 120 up 120 ! track 13 ip sla 13 reachability delay down 120 up 120 ! track 20 list boolean or object 21 object 22 object 23 ! track 21 ip sla 21 reachability delay down 120 up 120 ! track 22 ip sla 22 reachability delay down 120 up 120 ! track 23 ip sla 23 reachability delay down 120 up 120 ! route-map defaultgw permit 10 match ip address defaultgwdev_acl set ip next-hop verify-availability 192.168.252.2 20 track 10 set ip next-hop verify-availability 192.168.252.6 30 track 20 ! ip access-list extended defaultgwdev_acl deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 deny ip 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255 deny ip 192.168.0.0 0.0.255.255 172.16.0.0 0.15.255.255 permit ip host 192.168.10.45 any ! interface Vlan1 ip policy route-map defaultgw

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image