add_filter('xmlrpc_enabled', '__return_false'); 思科三层交换机策略路由实现网络接入分流 | 癹冬阁
  • 欢迎访问癹冬阁,本站专注于IT服务,记录工作点滴

思科三层交换机策略路由实现网络接入分流

路由交换 Winter 3年前 (2015-11-12) 806次浏览 已收录 0个评论

一、方案环境描述

1.环境中有两个组 Group1、Group2,分别要从两个不同的网络出口接入互联网。

2.网络核心为思科3560G 三层交换机,划分 4 个 VLAN,基本 VLAN10/VLAN20 属于 Group1,VLAN30/VLAN40 属于 Group2。

3.两台接入路由器 LAN 端 IP 分别为 10.10.10.254(Group1 使用),10.10.20.254(Group2 使用)

二、配置三层交换机

1.划分 VALN 并开启 ip routing,略

VLAN10 ip adderss 172.16.10.1/24

VLAN20 ip address 172.16.20.1/24

VLAN30 ip address 172.16.30.1/24

VLAN40 ip address 172.16.40.1/24

2.配置三层接口

3560#conf t

3560(config)#int g0/1

3560(config-if)#no switchport      /定义为三层端口

3560(config-if)#ip address 10.10.10.1 255.255.255.0    /定义三层端口 IP 及子网

3560(config-if)#int g0/2

3560(config-if)#no switchport

3560(config-if)#ip address 10.10.20.1 255.255.255.0

3.定义 ACL

3560(config)#ip access-list extended vlan10acl2map    /定义ACL名称

3560(config-ext-nacl)#deny ip 172.16.10.0 0.0.0.255 172.16.0.0 0.0.255.255

3560(config-ext-nacl)#deny ip 172.16.10.0 0.0.0.255 10.10.0.0 0.0.255.255

3560(config-ext-nacl)#permit ip 172.16.10.0 0.0.0.255 any

3560(config)#ip access-list extended vlan20acl2map

3560(config-ext-nacl)#deny ip 172.16.20.0 0.0.0.255 172.16.0.0 0.0.255.255

3560(config-ext-nacl)#deny ip 172.16.20.0 0.0.0.255 10.10.0.0 0.0.255.255

3560(config-ext-nacl)#permit ip 172.16.20.0 0.0.0.255 any

3560(config)#ip access-list extended vlan30acl2map

3560(config-ext-nacl)#deny ip 172.16.30.0 0.0.0.255 172.16.0.0 0.0.255.255

3560(config-ext-nacl)#deny ip 172.16.30.0 0.0.0.255 10.10.0.0 0.0.255.255

3560(config-ext-nacl)#permit ip 172.16.30.0 0.0.0.255 any

3560(config)#ip access-list extended vlan40acl2map

3560(config-ext-nacl)#deny ip 172.16.40.0 0.0.0.255 172.16.0.0 0.0.255.255

3560(config-ext-nacl)#deny ip 172.16.40.0 0.0.0.255 10.10.0.0 0.0.255.255

3560(config-ext-nacl)#permit ip 172.16.40.0 0.0.0.255 any

注:deny 部分为需要例外的网段,172.16.0.0/16 就可以包含 172.16.10.0/24-172.16.40.0-24 了,也是我比较懒吧,不想写太多条。10.10.0.0/16 是两个三层口,因为考虑到如果两条线路哪一条断掉的话可以走另一条线路出去,这个互备的方法我们下次再讨论。

4.定义策略路由

3560(config)#route-map vlan10map    /定义 route-map 名称

3560(config-route-map)#match ip address vlan10acl2map    /匹配ACL

3560(config-route-map)#set ip next-hop 10.10.10.254    /定义下一跳路由

3560(config)#route-map vlan20map

3560(config-route-map)#match ip address vlan20acl2map

3560(config-route-map)#set ip next-hop 10.10.10.254   /与 VLAN10 属于同一组,从同一个接口接入互联网

3560(config)#route-map vlan30map

3560(config-route-map)#match ip address vlan30acl2map

3560(config-route-map)#set ip next-hop 10.10.20.254

3560(config)#route-map vlan40map

3560(config-route-map)#match ip address vlan40acl2map

3560(config-route-map)#set ip next-hop 10.10.20.254

5.调用策略路由

3560(config)#int vlan 10

3560(config-if)#ip policy route-map vlan10map

3560(config)#int vlan 20

3560(config)#ip policy route-map vlan20map

3560(config)#int vlan 30

3560(config)#ip policy route-map vlan30map

3560(config)#int vlan 40

3560(config)#ip policy route-map vlan40map


癹冬阁版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明思科三层交换机策略路由实现网络接入分流
喜欢 (0)
[winters@8win.net]
分享 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址