Me encuentro en una situación en la que estuve hace poco, pero no recuerdo cómo lo resolví :)
El escenario
Tengo un enrutador Cisco IOS con una interfaz LAN (fa0 / 0) y una interfaz WAN (fa0 / 1), y una segunda interfaz WAN (fa0 / 2).
- Hay dos subinterfaces LAN fa0 / 0.10 y fa0 / 0.20 digamos.
- Hay una ruta predeterminada a través de fa0 / 1. Sin embargo, hay una ruta estática a una subred específica, digamos 1.2.3.4/24 a través de fa0 / 2 (fa0 / 2 está más cerca de esta subred, pero un enlace $$$ WAN más costoso)
Todos mis usuarios de fa0 / 0.10 están accediendo a 1.2.3.4/24 y, por lo tanto, la ruta estática los envía fuera de fa0 / 2 (WAN2). Para todos los demás destinos, los usuarios de fa0 / 0.10 utilizan la ruta predeterminada DHCP que recibo en la interfaz WAN1 fa0 / 1.
La definición del problema;
Los usuarios en la subred fa0 / 0.20 solo acceden a Internet. Ningún usuario en mi subred fa0 / 0.20 realmente tiene la necesidad de acceder a la subred remota 1.2.3.4/24. Sin embargo, rara vez lo hacen, en cuyo caso la ruta estática los envía a través de fa0 / 2. Sin embargo, no quiero esto, quiero que accedan a 1.2.3.4/24 a través de fa0 / 1, la interfaz WAN predeterminada. Creo que puedo lograr esto a través de PBR, pero parece que no puedo hacer que funcione.
Esta es la configuración que estoy intentando en este momento;
interface FastEthernet0/0.10
description LAN1
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
interface FastEthernet0/0.20
description LAN2
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map FORCE-LAN2-VIA-WAN1
interface FastEthernet0/1
description WAN1
ip address dhcp
ip nat outside
ip virtual-reassembly
interface FastEthernet0/2
description WAN2 - Used for 1.2.3.4/24
ip address 5.5.5.5 255.255.255.0
! Static route to route to a remote subnet via 2nd WAN link
ip route 1.2.3.4 0.0.0.255 5.5.5.6
! A default route is received on fa0/1 (WAN1) via DHCP from ISP
! for all other traffic
!
! NAT fa0/0.10 users when accessing the Internet via WAN1
ip nat inside source route-map ROUTE-WAN1 interface FastEthernet0/1 overload
!
! NAT fa0/0.20 users out via WAN1
ip nat inside source route-map FORCE-LAN2-VIA-WAN1 interface FastEthernet0/1 overload
route-map ROUTE-WAN1 permit 10
match interface FastEthernet0/1
route-map FORCE-LAN2-VIA-WAN1 permit 10
match interface FastEthernet0/0.20
set default interface FastEthernet0/1
Estoy tratando de aplicar el enrutamiento basado en políticas directamente a la interfaz secundaria fa0 / 0.20 para forzar todo el tráfico a través de WAN1, fa0 / 1. Según tengo entendido, debido a que hay una ruta más específica que la ruta predeterminada recibida por DHCP en fa0 / 1 en la FIB, anula el PBR y el tráfico de fa0 / 0.20 a 1.2.3.4/24 todavía usa WAN2, fa0 / 2) O al menos, creo que este es el caso cuando se usa "establecer interfaz predeterminada ...". Si tuviera que usar "set ip next-hop", por ejemplo, esto forzaría al PBR a tener prioridad, pero WAN1, fa0 / 1, recibe una IP por DHCP y, por lo tanto, está cambiando :)
Como nota al margen; En realidad, hay muchas rutas estáticas a través de WAN2, por lo que no quiero revertir la situación y la ruta de política fa0 / 0.10 a través de WAN2 para subredes específicas. La configuración allí es más compleja de lo que he dejado, aunque sea breve, no es viable cambiar eso. Además, si hay una mejor manera de abordar este problema que no sea PBR, soy todo oídos. Estoy luchando con este método porque es la mejor solución que conozco.
Actualización Se agregó un diagrama de topología espectacularmente dibujado
fuente
Respuestas:
Yo recomendaría usar un mapa de ruta para un solo propósito (uno para nat, otro para pbr); El uso mixto puede hacer un desastre. Para NAT,
match interface
se aplicará el enrutamiento posterior, útil para realizar entradas nat condicional.El mapa de ruta para PBR debe usar una ACL para que coincida con el tráfico proveniente de LAN2 y luego establecer el siguiente salto a la interfaz deseada con
set interface
notset default
- oset ip next-hop dynamic dhcp
como no sabrá la dirección gw real. Esto omite / anula cualquier lógica de enrutamiento que de otro modo enviaría tráfico a su costosa WAN.fuente
set ip next-hop dynamic dhcp
era lo que necesitaba, ¿cómo me perdí eso? :) Aún así, ¡gracias por ser tan rápido y por los buenos consejos!