记得如何解决它:)
方案
我具有一个带有LAN接口(fa0 / 0)和WAN
接口(fa0 / 1)和第二个WAN接口(fa0 / 2)的Cisco IOS路由器。
可以说有两个LAN子接口fa0 / 0.10和fa0 / 0.20。
有一条通过fa0 / 1的默认路由。但是,存在到特定子网的静态路由
,例如通过fa0 / 2设置为1.2.3.4/24(fa0/2距该子网更近,但更昂贵的$$ WAN链接)
我所有的fa0 / 0.10用户都正在访问1.2.3.4/24,因此静态路由
将他们发送到fa0 / 2(WAN2)之外。对于所有其他目的地,fa0 / 0.10用户通过我在WAN1接口fa0 / 1上收到的DHCP默认路由进行访问。
问题定义;
用户在fa0 / 0.20子网仅可访问Internet。我的fa0 / 0.20子网中没有用户真正需要访问远程1.2.3.4/24子网。但是,它们很少这样做,在这种情况下,静态路由会通过fa0 / 2发送它们。我不希望这样,我希望他们通过默认的WAN接口fa0 / 1访问1.2.3.4/24。我相信我可以通过PBR实现此功能,但似乎无法正常运行?
这是我目前正在尝试的配置;
interface FastEthernet0/0.10
description LAN1
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
interface FastEthernet0/0.20
description LAN2
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map FORCE-LAN2-VIA-WAN1
interface FastEthernet0/1
description WAN1
ip address dhcp
ip nat outside
ip virtual-reassembly
interface FastEthernet0/2
description WAN2 - Used for 1.2.3.4/24
ip address 5.5.5.5 255.255.255.0
! Static route to route to a remote subnet via 2nd WAN link
ip route 1.2.3.4 0.0.0.255 5.5.5.6
! A default route is received on fa0/1 (WAN1) via DHCP from ISP
! for all other traffic
!
! NAT fa0/0.10 users when accessing the Internet via WAN1
ip nat inside source route-map ROUTE-WAN1 interface FastEthernet0/1 overload
!
! NAT fa0/0.20 users out via WAN1
ip nat inside source route-map FORCE-LAN2-VIA-WAN1 interface FastEthernet0/1 overload
route-map ROUTE-WAN1 permit 10
match interface FastEthernet0/1
route-map FORCE-LAN2-VIA-WAN1 permit 10
match interface FastEthernet0/0.20
set default interface FastEthernet0/1
我试图将基于策略的路由直接应用到fa0 / 0.20子接口,以强制通过WAN1 fa0 / 1进行所有通信。我的理解是,由于存在比FIB中fa0 / 1上DHCP接收的默认路由更特定的路由,因此它会覆盖PBR,并且从fa0 / 0.20到1.2.3.4/24的流量仍在使用WAN2,fa0 / 2。或者至少,我相信使用“设置默认界面...”时会是这种情况。例如,如果我使用“ set ip next-hop”,这将强制使用PBR优先,但是WAN1 fa0 / 1通过DHCP接收IP,因此正在更改:)
附带说明;实际上,有很多通过WAN2的静态路由,所以我不想针对特定子网通过WAN2改变这种情况和策略路由fa0 / 0.10。那里的配置比我所允许的要复杂得多,尽管长短不一,但改变它是不可行的。此外,如果除了PBR之外,还有其他更好的方法可以解决此问题,那么我将不胜枚举。我之所以使用这种方法,是因为它是我所知道的最佳解决方案。
更新添加了引人注目的拓扑图
#1 楼
我建议仅将路由图用于一个目的(一个用于nat,另一个用于pbr);混合使用会使事情变得一团糟。对于NAT,match interface将应用后路由-方便地进行有条件的nat条目。PBR的路由图应使用ACL匹配来自LAN2的流量,然后设置下一个-使用
set interface而不是set default或set ip next-hop dynamic dhcp跳到所需的接口,因为您不知道实际的gw地址。这会绕过/覆盖任何路由逻辑,否则它们会将流量发送到昂贵的WAN。评论
您能否给出此设置的示例配置?
–布尔基
13年5月24日在6:47
设置ip下一跳动态dhcp是我需要的,我怎么错过了呢? :)尽管如此,还是感谢您这么迅速和合理的建议!
– jwbensley
13年5月24日在16:54
评论
如果WAN1或WAN2出现故障,您想要什么路由行为?您是否要让流量流过其余的UP WAN接口,还是要在WAN1出现故障时放弃流量而不是通过昂贵的WAN2?您能给我们看一张网络图吗?一幅图片值得一千个单词:)