Contoh konfigurasi Cisco untuk Routing Berbasis Kebijakan

10

Saya menemukan diri saya dalam situasi yang saya alami belum lama ini, tetapi saya tidak ingat bagaimana saya mengatasinya :)

Skenario

Saya memiliki router Cisco IOS dengan antarmuka LAN (fa0 / 0) dan antarmuka WAN (fa0 / 1), dan antarmuka WAN ke-2 (fa0 / 2).

  • Ada dua sub-interface LAN fa0 / 0.10 dan fa0 / 0.20 katakanlah.
  • Ada rute default via fa0 / 1. Namun, ada rute statis ke subnet tertentu, katakanlah 1.2.3.4/24 via fa0 / 2 (fa0 / 2 lebih dekat dengan subnet ini, tetapi tautan $$$ WAN lebih mahal)

Semua pengguna fa0 / 0.10 saya mengakses 1.2.3.4/24 dan rute statis mengirim mereka keluar dari fa0 / 2 (WAN2). Untuk semua tujuan lainnya, pengguna fa0 / 0.10 pergi melalui rute default DHCP yang saya terima pada antarmuka WAN1 fa0 / 1.

Definisi masalah;

Pengguna di subnet fa0 / 0.20 baru saja mengakses Internet. Tidak ada pengguna di subnet fa0 / 0.20 saya yang benar-benar harus mengakses subnet 1.2.3.4/24 jarak jauh. Jarang mereka melakukannya, dalam hal ini rute statis mengirimkannya melalui fa0 / 2. Saya tidak ingin ini, saya ingin mereka mengakses 1.2.3.4/24 via fa0 / 1, antarmuka WAN default. Saya percaya saya bisa mencapainya melalui PBR, tapi sepertinya saya tidak bisa membuatnya berfungsi?

Ini adalah konfigurasi yang saya coba saat ini;

interface FastEthernet0/0.10
 description LAN1
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

interface FastEthernet0/0.20
 description LAN2
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip policy route-map FORCE-LAN2-VIA-WAN1

interface FastEthernet0/1
 description WAN1
 ip address dhcp
 ip nat outside
 ip virtual-reassembly

interface FastEthernet0/2
 description WAN2 - Used for 1.2.3.4/24
 ip address 5.5.5.5 255.255.255.0

! Static route to route to a remote subnet via 2nd WAN link
ip route 1.2.3.4 0.0.0.255 5.5.5.6
! A default route is received on fa0/1 (WAN1) via DHCP from ISP
! for all other traffic
!
! NAT fa0/0.10 users when accessing the Internet via WAN1
ip nat inside source route-map ROUTE-WAN1 interface FastEthernet0/1 overload
!
! NAT fa0/0.20 users out via WAN1
ip nat inside source route-map FORCE-LAN2-VIA-WAN1 interface FastEthernet0/1 overload

route-map ROUTE-WAN1 permit 10
 match interface FastEthernet0/1

route-map FORCE-LAN2-VIA-WAN1 permit 10
 match interface FastEthernet0/0.20
 set default interface FastEthernet0/1

Saya mencoba menerapkan routing berbasis kebijakan langsung ke sub antarmuka fa0 / 0,20 untuk memaksa semua lalu lintas melalui WAN1, fa0 / 1. Pemahaman saya adalah, bahwa karena ada rute yang lebih spesifik daripada rute default yang diterima oleh DHCP pada fa0 / 1 di FIB, itu menimpa PBR dan lalu lintas dari fa0 / 0.20 ke 1.2.3.4/24 masih menggunakan WAN2, fa0 / 2. Atau setidaknya, saya percaya ini terjadi ketika menggunakan "mengatur antarmuka default ...". Jika saya menggunakan "set ip next-hop" misalnya, ini akan memaksa PBR untuk diutamakan, tetapi WAN1, fa0 / 1, menerima IP oleh DHCP dan karenanya berubah :)

Sebagai catatan; Sebenarnya ada banyak rute statis melalui WAN2, jadi saya tidak ingin membalikkan situasi dan rute kebijakan fa0 / 0.10 melalui WAN2 untuk subnet tertentu. Konfigurasi di sana lebih kompleks daripada yang saya biarkan, panjang dan pendeknya, tidak layak untuk mengubahnya. Selain itu, jika ada cara yang lebih baik untuk mengatasi masalah ini selain PBR, saya mendengar semuanya. Saya berjuang dengan metode ini karena ini adalah solusi terbaik yang saya ketahui.

Pembaruan Menambahkan diagram topologi yang ditarik secara spektakuler

Topologi

cisco cisco-commands pbr jwbensley
sumber
Apa perilaku routing yang Anda inginkan jika WAN1 atau WAN2 turun? Apakah Anda ingin lalu lintas mengalir di atas antarmuka WAN yang tersisa atau akankah Anda menjatuhkan lalu lintas alih-alih menggunakan WAN2 yang mahal jika WAN1 gagal?
generalnetworkerror
Bisakah Anda tunjukkan diagram jaringan? Sebuah gambar bernilai ribuan kata :)
OzNetNerd

Jawaban:

9

Saya akan merekomendasikan menggunakan peta rute hanya untuk satu tujuan (satu untuk nat, yang lain untuk pbr); penggunaan campuran bisa membuat berantakan. Untuk NAT, match interfaceakan berlaku post-routing - berguna untuk membuat entri nat bersyarat.

Rute-peta untuk PBR harus menggunakan ACL untuk mencocokkan lalu lintas yang datang dari LAN2 dan kemudian mengatur next-hop ke antarmuka yang diinginkan dengan set interfacetidak set default- atau set ip next-hop dynamic dhcpkarena Anda tidak akan tahu alamat gw yang sebenarnya. Ini mem-bypass / menimpa logika routing apa pun yang jika tidak akan mengirim lalu lintas ke WAN Anda yang mahal.

Ricky Beam
sumber
1
Bisakah Anda memberikan contoh konfigurasi pengaturan ini?
Bulki
set ip next-hop dynamic dhcpadalah apa yang saya butuhkan, bagaimana saya melewatkan itu? :) Tetap saja, terima kasih sudah sangat cepat dan untuk saran yang bagus!
jwbensley