Catalyst 2948G-L3交換機上行重定向功能

2019-11-05 01:31:52

字體：大中小

供稿：網(wǎng)友

　　介紹
　　Catalyst 2948G-L3交換機ip上行鏈路重定向功能將在高速以太網(wǎng)接口接收的業(yè)務重定向至某個千兆以太網(wǎng)接口。
　　
　　當業(yè)務來源于高速以太網(wǎng)接口上的某個主機而前往另一個高速以太網(wǎng)接口上的主機時，2948G - L3交換機將該業(yè)務重定向至千兆以太網(wǎng)接口而非直接在這兩個高速以太網(wǎng)接口之間對該業(yè)務進行路由。
　　
　　IP上行鏈路重定向功能使服務供給商能夠向不同客戶（例如對于網(wǎng)絡主機）提供高速以太網(wǎng)接口，但拒絕對分配給其它客戶的接口的訪問。換言之，大多數(shù)業(yè)務位于互聯(lián)網(wǎng)與單個共置的網(wǎng)絡服務器之間，前者使用千兆以太網(wǎng)接口連接，而后者連接至高速以太網(wǎng)接口。
　　
　　IP上行鏈路重定向要求在路由表中裝入一靜態(tài)默認路由，該路由表指向連接到千兆以太網(wǎng)接口的一個上流路由器。重定向的業(yè)務轉(zhuǎn)發(fā)至該上流路由器，該路由器將業(yè)務的路由返回至2948G - L3并向外轉(zhuǎn)發(fā)至適當?shù)慕涌凇?br />　　
　　假如要阻止連接至高速以太網(wǎng)接口的主機間的某些通訊或者全部通訊，您可以在千兆以太網(wǎng)接口上應用訪問控制表（ACL）來執(zhí)行所需的業(yè)務過濾。IP上行鏈路重定向功能此時可發(fā)揮作用，因為Catalyst 2948G - L3交換機上的高速以太網(wǎng)接口不支持ACL。
　　
　　警告： IP上行鏈路重定向功能僅影響IP單播第3層（L3）交換業(yè)務。對于第2層（L2）交換業(yè)務或者非IP單播L3交換業(yè)務（例如IP組播或者網(wǎng)絡數(shù)據(jù)包交換（IPX）），該功能將沒有影響。此類業(yè)務將照常在高速以太網(wǎng)接口之間進行橋接或路由。
　　
　　對于在Catalyst 2948G - L3交換機上使用網(wǎng)橋群組虛擬接口（BVI）實現(xiàn)IP上行鏈路重定向功能，本文提供了一個樣本配置。在Catalyst 2948G - L3交換機上，僅 Cisco IOS ? 版本12.0（10）W5（18e）以及更新的版本支持IP上行鏈路重定向功能。
　　
　　該樣本配置并不討論IP上行鏈路重定向功能對于服務供給商的有用之處。有關服務供給商如何使用該功能來隔離客戶服務器之間直接通訊的信息，請參閱下面的文檔：
　　
　　在Catalyst 2948G - L3交換機上配置IP上行鏈路重定向
　　
　　本文中的配置實例在實驗室環(huán)境中產(chǎn)生，使用了以下設備：
　　
　　
　　運行Cisco IOS版本12.0（10）W5（18e）的Catalyst 2948G - L3
　　
　　一個路由器（無非凡的硬件或者IOS）
　　
　　兩個配置為終端站的交換機（無非凡的硬件或者IOS）
　　
　　注重：兩個配置為終端站的兩個交換機有一個分配至治理接口的IP地址和一個ip默認網(wǎng)關 ip_addr 聲明。
　　
　　本文基于獨立實驗室環(huán)境中實施的的配置。在使用所有配置或者命令之前確保您了解它們的潛在影響。所有設備上的配置使用write erase 命令清除，并重新加載以確保這些設備采用默認配置。
　　
　　IP上行鏈路重定向配置樣本1
　　
　　配置Cat2948G - L3以使station_B屬于一網(wǎng)橋群組，且station_A連接至一路由接口。BVI用于實現(xiàn)通訊。
　　
　　網(wǎng)絡圖
　　
　　　

　　
　　樣本配置
　　Cat2948G-L3#show run
　　 ...
　　 bridge irb
　　 !-- 該命令激活完整的路由和橋接接口 (IRB)。
　　 ...
　　 interface Fast Ethernet20
　　　ip address 10.1.20.2 255.255.255.0
　　　no ip directed-broadcast
　　　duplex full
　　　speed 100
　　 !
　　 interface Fast Ethernet21
　　　no ip address
　　　no ip directed-broadcast
　　　duplex full
　　　speed 100
　　　bridge-group 21
　　　!-- 該命令將路由接口轉(zhuǎn)換成橋接接口。
　　 ...
　　 interface GigabitEthernet49
　　　ip address 10.1.22.2 255.255.255.0
　　　no ip directed-broadcast
　　 ...
　　 interface BVI21
　　 !--　該邏輯接口用于路由橋接接口所接受到的流量
　　　ip address 10.1.21.2 255.255.255.0
　　　no ip directed-broadcast
　　　no ip route-cache cef
　　 !
　　 router rip
　　　network 10.0.0.0
　　 !
　　 bridge 21 PRotocol ieee
　　 !-- 該命令在此交換路由上激活橋接。
　　　bridge 21 route ip
　　 !-- 該命令在接口21上激活路由。
　　
　　
　　
　　
　　檢驗
　　IP上行鏈路重定向功能尚未啟動，如下所示：
　　
　　Cat2948G-L3#show ip uplink
　　 IP Uplink Redirect Configuration:
　　
　　 Running Configuration : no ip uplink-redirect
　　 !-- 未激活IP上行鏈路重新定向功能。
　　 Configuration on next reload : no ip uplink-redirect
　　
　　該結(jié)構(gòu)中對配置IP上行鏈路重定向的處理如下所示：
　　
　　Cat2948G-L3#configure t
　　 Enter configuration commands, one per line.　End with CNTL/Z.
　　 Cat2948G-L3(config)#ip uplink-redirect
　　 !-- 此全局配置命令激活IP上行鏈路重新定向功能，
　　 !-- 但必須在重新加載后才能生效。
　　 Please save configuration and reload for this command to take effect
　　
　　 Cat2948G-L3#show ip uplink
　　
　　 IP Uplink Redirect Configuration:
　　
　　 Running Configuration : no ip uplink-redirect
　　 Configuration on next reload : ip uplink-redirect
　　 !-- 該功能被激活，但在重新后加載才能生效。
　　
　　 Cat2948G-L3#reload
　　
　　 System configuration has been modified. Save? [yes/no]: y
　　 Building configuration...
　　 [OK]
　　 Proceed with reload? [confirm]
　　
　　After reload:
　　
　　Cat2948G-L3#show ip uplink
　　
　　 IP Uplink Redirect Configuration:
　　
　　 Running Configuration : ip uplink-redirect
　　 !-- T激活IP上行鏈路重新定向功能.
　　 Configuration on next reload : ip uplink-redirect
　　
　　為了在Cat2948G - L3上完成IP上行鏈路重定向配置，您必須配置一靜態(tài)默認路由并指向上流路由器的接口IP地址。
　　
　　在本例中，路由器的接口gig 49為上流路由器接口。接口gig 49的IP地址為10.1.22.1。您無法在ip route命令中指定一個出口接口,您必須指定下一個跳IP地址。
　　
　　Cat2948G-L3(config)#ip route 0.0.0.0 0.0.0.0 10.1.22.1
　　
　　路由器中的基本路由配置如下：
　　
　　路由器配置
　　router#show run
　　 ...
　　 interface GigabitEthernet49
　　　ip address 10.1.22.1 255.255.255.0
　　　no ip directed-broadcast
　　 ...
　　 router rip
　　　network 10.0.0.0
　　
　　
　　
　　路由器中的路由表如下：
　　
　　 router#show ip route
　　 Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
　　　　　　D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
　　　　　　N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
　　　　　　E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
　　　　　　i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default
　　　　　　U - per-user static route, o - ODR
　　
　　 Gateway of last resort is not set
　　
　　　　　10.0.0.0/24 is subnetted, 3 subnets
　　 R　　　 10.1.20.0 [120/1] via 10.1.22.2, 00:00:21, GigabitEthernet49
　　 R　　　 10.1.21.0 [120/1] via 10.1.22.2, 00:00:21, GigabitEthernet49
　　 C　　　 10.1.22.0 is directly connected, GigabitEthernet49
　　 router#
　　
　　警告：假如上流路由器有一更好的可選路徑通過Catalyst 2948G - L3高速以太網(wǎng)接口返回IP網(wǎng)絡，將使用該路徑，這可能導致路由環(huán)路。
　　
　　通過BVI21/路由器/gig來確保station_A和station_B之間的連通性，如下所示。
　　
　　station_A#traceroute 10.1.21.1
　　 Type escape sequence to abort.
　　 Tracing the route to 10.1.21.1
　　
　　　 1 10.1.20.2 0 msec 0 msec 3 msec
　　　 2 10.1.22.1 0 msec 0 msec 3 msec
　　　 3 10.1.22.2 2 msec 0 msec 2 msec
　　　 4 10.1.21.1 3 msec 3 msec *
　　 station_A#
　　
　　在本例中，通過Catalyst 2948G - L3接口fast 20（10.1.20.2 0）的軌跡重定向至上流路由器的接口gig 49（10.1.22.1），路由返回至Catalyst 2948G - L3的接口gig 49（10.1.22.2），然后再到station_B（10.1.21.1）。
　　
　　假如有需要，您可以在Cat2948G - L3的接口gig 49上應用ACL來控制站之間的接入。在下例中，對接口gig 49上應用一個輸入接入表來阻止兩個站的通訊：
　　
　　Cat2948G-L3#show run
　　 ...
　　 interface GigabitEthernet49
　　　ip address 10.1.22.2 255.255.255.0
　　　ip access-group 1 in
　　　no ip directed-broadcast
　　 ...
　　 access-list 1 deny　 10.1.20.1
　　 access-list 1 permit any
　　
　　 station_A#traceroute 10.1.21.1
　　
　　 Type escape sequence to abort.
　　 Tracing the route to 10.1.21.1
　　
　　　 1 10.1.20.2 3 msec 0 msec 2 msec
　　　 2 10.1.22.1 0 msec 0 msec 3 msec
　　　 3　*　*　*
　　　 4　*　*　*
　　　 5　*　*
　　
　　雖然此類輸入ACL的方法可能并不是實現(xiàn)這個目標的最有效方法，但仍選擇它來說明業(yè)務流量。來自station_A的業(yè)務實際上在從路由器返回至Cat2948G - L3的gig接口時被過濾。
　　
　　警告：特定IP數(shù)據(jù)包類型（例如具有IP選項的數(shù)據(jù)包）經(jīng)過交換處理。CPU根據(jù)IOS路由表對數(shù)據(jù)包進行交換。經(jīng)過交換處理的數(shù)據(jù)包將不遵循IP上行鏈路重定向路徑，且不應用所有千兆以太網(wǎng)接口上配置的ACL。
　　
　　IP上行鏈路重定向配置樣本2
　　
　　修改配置以使兩個站屬于兩個不同的網(wǎng)橋群組。兩個BVI使它們實現(xiàn)通訊。業(yè)務過濾的情況會怎樣？
　　
　　網(wǎng)絡圖
　　
　　

　　
　　樣本配置
　　Cat2948G-L3#show run
　　 ...
　　 ip uplink-redirect
　　 !-- 該命令激活IP上行鏈路重新定向功能，
　　 !-- 并在重新加載后生效。
　　 bridge irb
　　 !-- 該命令激活IRB。
　　 ...
　　 interface Fast Ethernet20
　　　no ip address
　　　no ip directed-broadcast
　　　duplex full
　　　speed 100
　　　bridge-group 20
　　 !-- 該命令將路由的接口轉(zhuǎn)換
　　 !-- 成橋接組20中的橋接接口。
　　 !
　　 interface Fast Ethernet21
　　　no ip address
　　　no ip directed-broadcast
　　　duplex full
　　　speed 100
　　　bridge-group 21
　　 !-- 該命令將路由的接口轉(zhuǎn)換
　　 !-- 成橋接組21中的橋接接口。
　　　...
　　 interface GigabitEthernet49
　　　ip address 10.1.22.2 255.255.255.0
　　　no ip directed-broadcast
　　 ...
　　 interface BVI20
　　 !-- 該邏輯接口用于路由橋接組20中的橋接接口所
　　 !-- 接受到的流量
　　　ip address 10.1.20.2 255.255.255.0
　　　no ip directed-broadcast
　　　no ip route-cache cef
　　　!
　　 interface BVI21
　　 !-- 該邏輯接口用于路由橋接組21中的橋接接口所
　　 !-- 接受到的流量
　　　ip address 10.1.21.2 255.255.255.0
　　　no ip directed-broadcast
　　　no ip route-cache cef
　　 !
　　 router rip
　　　network 10.0.0.0
　　 !
　　 ip route 0.0.0.0 0.0.0.0 10.1.22.1
　　 !
　　 access-list 1 deny　 10.1.20.1
　　 access-list 1 permit any
　　 ...
　　 bridge 20 protocol ieee
　　　bridge 20 route ip
　　 !-- 該命令激活接口BVI 20上的IP路由。
　　 bridge 21 protocol ieee
　　　bridge 21 route ip
　　 !-- 該命令激活接口BVI 21上的IP路由。
　　
　　
　　
　　檢驗
　　如下例所示，通過Catalyst 2948G - L3上接口fast 20（10.1.20.2 0）的業(yè)務重定向至上流路由器的接口gig 49（10.1.22.1），路由返回至Catalyst 2948G - L3上的接口gig 49（10.1.22.2），然后再到（10.1.21.1）：
　　
　　station_A#traceroute 10.1.21.1
　　 Type escape sequence to abort.
　　 Tracing the route to 10.1.21.1
　　
　　　 1 10.1.20.2 3 msec 0 msec 2 msec
　　　 2 10.1.22.1 3 msec 0 msec 2 msec
　　　 3 10.1.22.2 3 msec 0 msec 2 msec
　　　 4 10.1.21.1 3 msec 0 msec *
　　如下應用ACL：
　　
　　 Cat2948G-L3(config)#int gig 49
　　 Cat2948G-L3(config-if)#ip access-group 1 in
　　
　　如前所述，來自station_A的業(yè)務已經(jīng)在從路由器返回至Cat2948G - L3的gig接口時被過濾，以防止兩個站進行通訊。
　　
　　station_A#traceroute 10.1.21.1
　　 Type escape sequence to abort.
　　 Tracing the route to 10.1.21.1
　　
　　　 1 10.1.20.2 0 msec 0 msec 3 msec
　　　 2 10.1.22.1 3 msec 0 msec 3 msec
　　　 3　*　*　*
　　　 4　*

上一篇：技巧解析:根據(jù)ip地址查交換機端口

下一篇：Cisco Catalyst交換機密碼恢復策略