请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 302|回复: 11

3750交换机双线接入问题

[复制链接]
发表于 2016-11-4 09:58:15 | 显示全部楼层 |阅读模式
0可用金钱
各位好,刚入论坛,有个问题请教,我有一台3750三层交换机,划分多个vlan,gi1/0/1和gi1/0/2分别接两台防火墙(移动和电信),我想让其中的一个vlan20上网走移动的线路,其他vlan都是默认走电信的线路,我的gi1/0/1端口ip为192.168.1.1,gi1/0/2的端口ip为192.168.2.1,gi1/0/1对端防火墙的ip是192.168.1.10,gi1/0/2对端防火墙的ip是192.168.2.10,请教我该如何设置才能达到上述要求。谢谢!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2016-11-4 10:19:43 | 显示全部楼层
感谢您的提问,会有小伙伴为您解答的!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2016-11-4 11:07:07 | 显示全部楼层
我的三层上的部分配置如下:

interface GigabitEthernet1/0/1
no switchport
ip address 192.168.1.1 255.255.255.192
!
interface GigabitEthernet1/0/2
no switchport
ip address 192.168.2.1 255.255.255.192
!
省略

interface Vlan20
ip address 192.168.6.65 255.255.255.192
ip policy route-map yidong


省略

ip route 0.0.0.0 0.0.0.0 192.168.1.10
ip route 0.0.0.0 0.0.0.0 192.168.2.10
省略
access-list 10 permit 192.168.6.64 0.0.0.63
省略
!
route-map yidong permit 10
match ip address 10
set ip next-hop 192.168.2.10
!
!

end

先我在vlan20上应用ip policy route-map yidong这个语句,vlan20的内外都不能访问了,这是何原因,我该符合修改我的配置。谢谢
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2016-11-4 11:09:01 | 显示全部楼层
我的3750的版本:Cisco IOS Software, C3750 Software (C3750-ADVIPSERVICESK9-M), Version 12.2(35)SE5, RELEASE SOFTWARE (fc1)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2016-11-4 11:15:27 | 显示全部楼层
听需求应该是使用PBR实现,先用ACL匹配vlan20的流量,然后放到route-map里,set next-hop 移动的防火墙互联地址。然后再调用到vlan 20的SVI上,其他的流量就用默认路由就好了。
我记得3750如果要启用PBR的话,如果是3750-X是有license要求的,而且还需要启用sdm prefer routing。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2016-11-4 11:29:38 | 显示全部楼层
这就看你的三层交换能不能支持PBR,不然只能用这个交换机做二层隔离,网关放到防火墙
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2016-11-4 11:49:15 | 显示全部楼层
各位好,sdm prefer routing这我已启用了
show sdm prefer
The current template is "desktop IPv4 and IPv6 routing" template.
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs.

  number of unicast mac addresses:                  1.5K
  number of IPv4 IGMP groups + multicast routes:    1K
  number of IPv4 unicast routes:                    2.75K
    number of directly-connected IPv4 hosts:        1.5K
    number of indirect IPv4 routes:                 1.25K
  number of IPv6 multicast groups:                  1K
  number of directly-connected IPv6 addresses:      1.5K
  number of indirect IPv6 unicast routes:           1.25K
  number of IPv4 policy based routing aces:         0.25K
  number of IPv4/MAC qos aces:                      0.5K
  number of IPv4/MAC security aces:                 0.5K
  number of IPv6 policy based routing aces:         0.25K
  number of IPv6 qos aces:                          0.5K
  number of IPv6 security aces:                     0.5K

On next reload, template will be "desktop routing" template.
还请各位多多帮助,谢谢!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2016-11-4 12:21:38 | 显示全部楼层
yafun 发表于 2016-11-4 11:49
各位好,sdm prefer routing这我已启用了
show sdm prefer
The current template is "desktop IPv4 and ...

ip route 0.0.0.0 0.0.0.0 192.168.2.10//删除这条,不然影响其他vlan选路,PBR优先级是高于路由表的

内网不通问题,你可以思考下,你是不是吧vlan20所有的流量的下一跳都指到移动防火墙了。
所以,需要修改下acl(假设你的内网其他vlan都是192.168.0.0/16)

access-list 100 deny ip  192.168.6.64 0.0.0.63 192.168.0.0 0.0.255.255  //内网流量选路不被route-map影响,走本地路由表
access-list 100 permit ip  192.168.6.64 0.0.0.63 any

外网不通问题,你看看是不是移动的防火墙是不是没写vlan20回来的路由

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2016-11-4 12:33:30 | 显示全部楼层
maguanghua2013 发表于 2016-11-4 12:21
ip route 0.0.0.0 0.0.0.0 192.168.2.10//删除这条,不然影响其他vlan选路,PBR优先级是高于路由表的

...

谢谢,我等会试试。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2016-11-4 12:36:56 | 显示全部楼层
maguanghua2013 发表于 2016-11-4 12:21
ip route 0.0.0.0 0.0.0.0 192.168.2.10//删除这条,不然影响其他vlan选路,PBR优先级是高于路由表的

...

我的两台防火墙的路由是这么写的,电信的防火墙的路由是:192.168.0.0/255.255.192.0 192.168.1.1,移动的线路防火墙的路由是192.168.6.64/255.255.255.192 192.168.2.1,这么写对吗?谢谢
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2017-2-21 04:42 , Processed in 0.096097 second(s), 54 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表