ตัวอย่างการกำหนดค่าของ Cisco สำหรับการกำหนดเส้นทางตามนโยบาย

ฉันพบว่าตัวเองอยู่ในสถานการณ์ที่ไม่นานมานี้ แต่ฉันจำไม่ได้ว่าฉันแก้ไขมันได้อย่างไร :)

สถานการณ์

ฉันมีเราเตอร์ Cisco IOS ที่มีส่วนต่อประสาน LAN (fa0 / 0) และส่วนต่อประสาน WAN (fa0 / 1) และส่วนต่อประสาน WAN รุ่นที่ 2 (fa0 / 2)

• มีอินเตอร์เฟสย่อย LAN สองอินเตอร์เฟส fa0 / 0.10 และ fa0 / 0.20
• มีเส้นทางเริ่มต้นผ่านทาง fa0 / 1 อย่างไรก็ตามมีเส้นทางแบบคงที่ไปยังเครือข่ายย่อยที่เฉพาะเจาะจงให้บอกว่า 1.2.3.4/24 ผ่านทาง fa0 / 2 (fa0 / 2 อยู่ใกล้กับเครือข่ายย่อยนี้ แต่ลิงก์ $$$ WAN ที่แพงกว่า)

ผู้ใช้ fa0 / 0.10 ของฉันทั้งหมดกำลังเข้าถึง 1.2.3.4/24 และดังนั้นเส้นทางแบบคงที่จะส่งพวกเขาออกจาก fa0 / 2 (WAN2) สำหรับปลายทางอื่น ๆ ทั้งหมด fa0 / 0.10 ผู้ใช้ไปตามเส้นทางเริ่มต้น DHCP ที่ฉันได้รับในส่วนต่อประสาน WAN1 fa0 / 1

คำจำกัดความของปัญหา

ผู้ใช้ในซับเน็ต fa0 / 0.20 เพียงเข้าถึงอินเทอร์เน็ต ไม่มีผู้ใช้ในซับเน็ต fa0 / 0.20 ของฉันทุกคนจำเป็นต้องเข้าถึงซับเน็ตระยะไกล 1.2.3.4/24 พวกเขาทำเช่นนั้นไม่ค่อยบ่อยนักในกรณีนี้เส้นทางคงที่จะส่งพวกเขาผ่านทาง fa0 / 2 ฉันไม่ต้องการสิ่งนี้ แต่ฉันต้องการให้พวกเขาเข้าถึง 1.2.3.4/24 ผ่านทาง FA0 / 1 ซึ่งเป็นอินเตอร์เฟสเริ่มต้นของ WAN ฉันเชื่อว่าฉันสามารถทำสิ่งนี้ผ่าน PBR แต่ฉันไม่สามารถใช้งานได้

นี่คือการกำหนดค่าที่ฉันพยายามในปัจจุบัน

interface FastEthernet0/0.10
 description LAN1
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

interface FastEthernet0/0.20
 description LAN2
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip policy route-map FORCE-LAN2-VIA-WAN1

interface FastEthernet0/1
 description WAN1
 ip address dhcp
 ip nat outside
 ip virtual-reassembly

interface FastEthernet0/2
 description WAN2 - Used for 1.2.3.4/24
 ip address 5.5.5.5 255.255.255.0

! Static route to route to a remote subnet via 2nd WAN link
ip route 1.2.3.4 0.0.0.255 5.5.5.6
! A default route is received on fa0/1 (WAN1) via DHCP from ISP
! for all other traffic
!
! NAT fa0/0.10 users when accessing the Internet via WAN1
ip nat inside source route-map ROUTE-WAN1 interface FastEthernet0/1 overload
!
! NAT fa0/0.20 users out via WAN1
ip nat inside source route-map FORCE-LAN2-VIA-WAN1 interface FastEthernet0/1 overload

route-map ROUTE-WAN1 permit 10
 match interface FastEthernet0/1

route-map FORCE-LAN2-VIA-WAN1 permit 10
 match interface FastEthernet0/0.20
 set default interface FastEthernet0/1

ฉันกำลังพยายามใช้การกำหนดเส้นทางตามนโยบายโดยตรงไปยังส่วนต่อประสานย่อย fa0 / 0.20 เพื่อบังคับให้การรับส่งข้อมูลทั้งหมดผ่าน WAN1, fa0 / 1 ความเข้าใจของฉันคือว่าเนื่องจากมีเส้นทางเฉพาะเจาะจงมากกว่าเส้นทางเริ่มต้นที่ได้รับจาก DHCP ใน fa0 / 1 ใน FIB จึงแทนที่ PBR และปริมาณการใช้งานจาก fa0 / 0.20 ถึง 1.2.3.4/24 ยังคงใช้ WAN2, fa0 / 2 หรืออย่างน้อยฉันเชื่อว่านี่เป็นกรณีเมื่อใช้ "ตั้งค่าเริ่มต้นอินเทอร์เฟซ ... " ถ้าฉันจะใช้ "set ip next-hop" เช่นนี้จะบังคับให้ PBR มาก่อน แต่ WAN1, fa0 / 1, รับ IP จาก DHCP และเปลี่ยนไปอย่างนั้น :)

ในฐานะที่เป็นบันทึกด้านข้าง; จริงๆแล้วมีหลายเส้นทางคงที่ผ่าน WAN2 ดังนั้นฉันไม่ต้องการย้อนกลับสถานการณ์และเส้นทางนโยบาย fa0 / 0.10 ผ่าน WAN2 สำหรับเครือข่ายย่อยที่เฉพาะเจาะจง การกำหนดค่ามีความซับซ้อนมากกว่าที่ฉันปล่อยไว้นานและระยะสั้นของมันคือแม้ว่าจะไม่สามารถเปลี่ยนได้ นอกจากนี้หากมีวิธีที่ดีกว่าในการจัดการปัญหานี้นอกเหนือจาก PBR ฉันหูของทุกคน ฉันต่อสู้ด้วยวิธีนี้เพราะมันเป็นทางออกที่ดีที่สุดที่ฉันรู้

อัปเดตเพิ่มไดอะแกรมโทโพโลยีที่น่าดึงดูด

ฉันอยากจะแนะนำให้ใช้เส้นทางแผนที่เพื่อวัตถุประสงค์เดียวเท่านั้น (หนึ่งสำหรับ nat ไปยัง pbr); ใช้ผสมสามารถทำให้เป็นระเบียบ สำหรับ NAT match interfaceจะใช้การโพสต์การจัดเส้นทาง - สะดวกในการทำรายการตามเงื่อนไข

เส้นทางแผนที่สำหรับ PBR ควรใช้ ACL เพื่อให้ตรงกับปริมาณการใช้งานที่มาจาก LAN2 จากนั้นตั้งค่า hop-next เป็นอินเตอร์เฟสที่ต้องการโดยset interfaceไม่ต้องใช้set default- หรือset ip next-hop dynamic dhcpเนื่องจากคุณไม่ทราบที่อยู่ gw จริง วิธีนี้จะข้าม / ลบล้างตรรกะการกำหนดเส้นทางใด ๆ ที่จะส่งทราฟฟิกไปยัง WAN แพง ๆ