取消
显示结果 
搜索替代 
您的意思是: 
cancel
14174
查看次数
0
有帮助
13
回复

Cisco3560选择路由路径

dakaiyan
Level 1
Level 1
1、3560下有4个VLAN:172.31.15.0/24,172.31.19.0/24,192.168.1.0/24,172.16.0.0/16(interface vlan16 ip 172.16.0.1);
2、2911是联通,内网172.16.0.7;
3、ASA5515是电信,内网172.16.0.2,有NAT(映射192.168.1.2/24服务器),有Anyconnec ***(172.31.15.0/24);
3560上的默认静态路由ip route 0.0.0.0 0.0.0.0 172.16.0.7,现在外网可以通过ASA VPN访问到内网,但是通过ASA无法访问NAT映射的服务器192.168.15.250/24。但如何将默认路由指向ASA,马上就可以访问映射服务器。
162516knnobbz0tb4u7ied.jpg
1 个已接受解答

已接受的解答

YilinChen
Spotlight
Spotlight
dakaiyan 发表于 2018-10-22 20:23
感谢大神回复,这段时间麻烦了。
今天测试PBR成功,两个网段192.168.15.0/24和192.168.19.0/24,两个VLA ...

问题1,默认路由本来就只能有一条生效呀;
问题2,PBR对应的ACL策略没写好,估计你把所有流量都匹配了(包含了内网之间的流量)

在原帖中查看解决方案

13 条回复13

YilinChen
Spotlight
Spotlight
dakaiyan 发表于 2018-10-22 20:23
感谢大神回复,这段时间麻烦了。
今天测试PBR成功,两个网段192.168.15.0/24和192.168.19.0/24,两个VLA ...

问题1,默认路由本来就只能有一条生效呀;
问题2,PBR对应的ACL策略没写好,估计你把所有流量都匹配了(包含了内网之间的流量)

YilinChen
Spotlight
Spotlight
楼主的描述有点问题呀,
1、ASA上的路由表是什么状态,需要说清楚;
2、如果只修改核心交换机的默认路由,并不能实现楼主所说的 让ASA访问 192.168.15.250,这里同样存在描述不清的问题,到底是拨了Anyconnect后可以访问192.168.15.250还是不拨anyconnect就能访问(通过公网IP)?
3、楼主所描述的“将默认路由指向ASA”,这本身就是带有“误导”性的说法;为什么一定要修改默认路由呢?

dakaiyan
Level 1
Level 1
YilinChen 发表于 2018-10-9 09:26
楼主的描述有点问题呀,
1、ASA上的路由表是什么状态,需要说清楚;
2、如果只修改核心交换机的默认路由 ...

不好意思,描述不清楚。
ASA5505路由:route outside 0.0.0.0 0.0.0.0 公网网关(联通)
route inside 192.168.15.0 255.255.255.0 172.16.0.1
route inside 172.31.15.0 255.255.255.0 172.16.0.1
ASA Anyconnect:客户端可以通过公网接口VPN访问192.168.15.250
ASA NAT映射:公网可以访问192.168.15.250:8080
ISR2911路由:ip route 0.0.0.0 0.0.0.0 公网网关(电信)
ip route 192.168.15.0 255.255.255.0 172.16.0.1
ip route 172.31.15.0 255.255.255.0 172.16.0.1
3560路由:ip route 0.0.0.0 0.0.0.0 172.16.0.2(ASA5505)
问题:如果将3560的静态默认路由更改为0.0.0.0 0.0.0.0 172.16.0.7(ISR2911)后,Anyconnect继续使用,但是公网访问NAT内网服务器失败。

YilinChen
Spotlight
Spotlight
本帖最后由 YilinChen 于 2018-10-10 08:48 编辑
dakaiyan 发表于 2018-10-9 10:56
不好意思,描述不清楚。
ASA5505路由:route outside 0.0.0.0 0.0.0.0 公网网关(联通)
...

这不是很正常么,原来核心交换机上,默认路由指向是ASA,所以ASA的针对内部服务器的192.168.15.250:8000的端口映射,是能正常通信的(回程流量能正常转发到ASA上);
如果楼主把默认路由的下一跳改了,从公网访问服务器的请求流量,还能正常从ASA到达192.168.15.250,但回程流量就不行了呀,没有转发回ASA;
并且,因为是互联网访问,你没办法知道具体公网IP,所以添加明细静态路由,是不可行的,
如果一定要改核心交换机的默认路由指向ISR2911,那解决方案有2种:
第一种方法:在asa上配置twice-nat,或者说要实现S-NAT,不仅仅是配置一个由内外向的端口映射,并且还将任何公网访问192.168.15.250的请求包,在经过ASA时,做一次源IP地址的转换,变成ASA Inside接口IP,再发送给服务器192.168.15.250;
这时,服务器收到的源IP,是ASA Inside的接口IP,路由层面就没问题了,回程流量能到达ASA;
第二种方法:在核心交换机上配置策略路由,需要3560具备IP Service级的功能性授权

dakaiyan
Level 1
Level 1
YilinChen 发表于 2018-10-10 08:42
这不是很正常么,原来核心交换机上,默认路由指向是ASA,所以ASA的针对内部服务器的192.168.15.250:8000 ...

谢谢大神传授经验,测试环境搭建完成了,还未测试。在搭建过程中,发现3560分别连接的ASA5505和ISR2911的两条默认路由,就可以实现开始的目的,ASA的VPN和内网服务器NAT正常。但我感觉是偶然碰到的。而且发现,默认路由总是使用0.0.0.0 0.0.0.0 172.16.0.5,除非路由后面增加数字调整优先级。现在的问题是,为什么会优先使用172.16.0.5,而不是172.16.0.2呢?谢谢。
092734i42fyr86x2frr22x.jpg

YilinChen
Spotlight
Spotlight
当到达目标网段,有2个下一跳,就是等价路由呀,基于流的等价负载均衡,至于show ip route显示顺序,并不重要,具体转发到哪个下一跳,可以查看CEF表;

dakaiyan
Level 1
Level 1
YilinChen 发表于 2018-10-19 10:26
当到达目标网段,有2个下一跳,就是等价路由呀,基于流的等价负载均衡,至于show ip route显示顺序,并不重 ...

大神,交换机策略路由PBR会不会影响原先的静态和默认路由?

YilinChen
Spotlight
Spotlight
dakaiyan 发表于 2018-10-19 16:19
大神,交换机策略路由PBR会不会影响原先的静态和默认路由?

策略路由就是优先于路由表呀,先匹配策略路由,不匹配的才是查路由表

dakaiyan
Level 1
Level 1
YilinChen 发表于 2018-10-19 16:24
策略路由就是优先于路由表呀,先匹配策略路由,不匹配的才是查路由表

感谢大神回复,这段时间麻烦了。
今天测试PBR成功,两个网段192.168.15.0/24和192.168.19.0/24,两个VLAN,其中192.168.15.0/24策略路由从ISR2911出去,但发现一个问题,默认路由只能保留去到ASA;而且PBR后,以上两个网段无法ping通了,只要取消PBR,两个网段立马就互通了。

dakaiyan
Level 1
Level 1
YilinChen 发表于 2018-10-23 09:45
问题1,默认路由本来就只能有一条生效呀;
问题2,PBR对应的ACL策略没写好,估计你把所有流量都匹配了( ...

Coreexchange3560(config)#access-list 10 permit 192.168.15.0 0.0.0.255
Coreexchange3560(config)#route-map pbr permit 10
Coreexchange3560(config-route-map)#match ip address 10
Coreexchange3560(config-route-map)#set ip next-hop 172.16.0.2
Coreexchange3560(config-route-map)#interface vlan15 ***最后的inter vlan15下才加入ip policy
Coreexchange3560(config-if)#ip policy route-map pbr
这样配置好后,192.168.15.0/24策略路由成功,但无法ping通另一个vlan网段192.168.19.0/24。
谢谢大神。

dakaiyan
Level 1
Level 1
YilinChen 发表于 2018-10-23 09:45
问题1,默认路由本来就只能有一条生效呀;
问题2,PBR对应的ACL策略没写好,估计你把所有流量都匹配了( ...

Coreexchange3560(config)#access-list 10 permit 192.168.15.0 0.0.0.255
Coreexchange3560(config)#route-map pbr permit 10
Coreexchange3560(config-route-map)#match ip address 10
Coreexchange3560(config-route-map)#set ip next-hop 172.16.0.2
Coreexchange3560(config-route-map)#interface vlan15 ***最后的inter vlan15下才加入ip policy
Coreexchange3560(config-if)#ip policy route-map pbr
这样配置好后,192.168.15.0/24策略路由成功,但无法ping通另一个vlan网段192.168.19.0/24。

YilinChen
Spotlight
Spotlight
dakaiyan 发表于 2018-10-23 15:44
Coreexchange3560(config)#access-list 10 permit 192.168.15.0 0.0.0.255
Coreexchange3560(config)#ro ...

你这配置有问题呀,只用了标准ACL,匹配了源IP地址,目标没有匹配,变成任意了,内部网段通信当然不通呀

dakaiyan
Level 1
Level 1
YilinChen 发表于 2018-10-23 09:45
问题1,默认路由本来就只能有一条生效呀;
问题2,PBR对应的ACL策略没写好,估计你把所有流量都匹配了( ...

谢谢大神,解决了,正如你的说的第二条。
Coreexchange3560(config)#access-list 100 deny ip 192.168.15.0 0.0.0.255 192.168.15.0 0.0.0.255
Coreexchange3560(config)#access-list 100 deny ip 192.168.15.0 0.0.0.255 192.168.19.0 0.0.0.255
Coreexchange3560(config)#access-list 100 permit ip 192.168.15.0 0.0.0.255 any
Coreexchange3560(config)#route-map pbr permit 100
Coreexchange3560(config-route-map)#match ip address 100
Coreexchange3560(config-route-map)#set ip next-hop 172.16.0.2
Coreexchange3560(config-route-map)#interface vlan15
Coreexchange3560(config-if)#ip policy route-map pbr
Coreexchange3560(config-if)#
不知道为什么?必须deny掉?
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接