Cisco3560选择路由路径

dakaiyan

1、3560下有4个VLAN：172.31.15.0/24，172.31.19.0/24，192.168.1.0/24，172.16.0.0/16（interface vlan16 ip 172.16.0.1）；
2、2911是联通，内网172.16.0.7；
3、ASA5515是电信，内网172.16.0.2，有NAT（映射192.168.1.2/24服务器），有Anyconnec ***（172.31.15.0/24）；

3560上的默认静态路由ip route 0.0.0.0 0.0.0.0 172.16.0.7，现在外网可以通过ASA   VPN访问到内网，但是通过ASA无法访问NAT映射的服务器192.168.15.250/24。但如何将默认路由指向ASA，马上就可以访问映射服务器。

YilinChen

dakaiyan 发表于 2018-10-22 20:23
感谢大神回复，这段时间麻烦了。
今天测试PBR成功，两个网段192.168.15.0/24和192.168.19.0/24，两个VLA ...

问题1，默认路由本来就只能有一条生效呀；
问题2，PBR对应的ACL策略没写好，估计你把所有流量都匹配了（包含了内网之间的流量）

YilinChen

楼主的描述有点问题呀，
1、ASA上的路由表是什么状态，需要说清楚；
2、如果只修改核心交换机的默认路由，并不能实现楼主所说的 让ASA访问 192.168.15.250，这里同样存在描述不清的问题，到底是拨了Anyconnect后可以访问192.168.15.250还是不拨anyconnect就能访问（通过公网IP）？
3、楼主所描述的“将默认路由指向ASA”，这本身就是带有“误导”性的说法；为什么一定要修改默认路由呢？

dakaiyan

YilinChen 发表于 2018-10-9 09:26
楼主的描述有点问题呀，
1、ASA上的路由表是什么状态，需要说清楚；
2、如果只修改核心交换机的默认路由 ...

不好意思，描述不清楚。
ASA5505路由：route outside 0.0.0.0 0.0.0.0 公网网关（联通）
                 route inside 192.168.15.0 255.255.255.0 172.16.0.1
                 route inside 172.31.15.0 255.255.255.0 172.16.0.1
ASA Anyconnect：客户端可以通过公网接口VPN访问192.168.15.250
ASA NAT映射：公网可以访问192.168.15.250：8080
ISR2911路由：ip route 0.0.0.0 0.0.0.0 公网网关（电信）
                       ip route 192.168.15.0 255.255.255.0 172.16.0.1
                       ip route 172.31.15.0 255.255.255.0 172.16.0.1
3560路由：ip route 0.0.0.0 0.0.0.0 172.16.0.2（ASA5505)

问题：如果将3560的静态默认路由更改为0.0.0.0 0.0.0.0 172.16.0.7（ISR2911)后，Anyconnect继续使用，但是公网访问NAT内网服务器失败。

YilinChen

dakaiyan 发表于 2018-10-9 10:56
不好意思，描述不清楚。
ASA5505路由：route outside 0.0.0.0 0.0.0.0 公网网关（联通）
              ...

这不是很正常么，原来核心交换机上，默认路由指向是ASA，所以ASA的针对内部服务器的192.168.15.250:8000的端口映射，是能正常通信的（回程流量能正常转发到ASA上）；
如果楼主把默认路由的下一跳改了，从公网访问服务器的请求流量，还能正常从ASA到达192.168.15.250,但回程流量就不行了呀，没有转发回ASA；
并且，因为是互联网访问，你没办法知道具体公网IP，所以添加明细静态路由，是不可行的，

如果一定要改核心交换机的默认路由指向ISR2911，那解决方案有2种：
第一种方法：在asa上配置twice-nat，或者说要实现S-NAT，不仅仅是配置一个由内外向的端口映射，并且还将任何公网访问192.168.15.250的请求包，在经过ASA时，做一次源IP地址的转换，变成ASA Inside接口IP，再发送给服务器192.168.15.250；
这时，服务器收到的源IP，是ASA Inside的接口IP，路由层面就没问题了，回程流量能到达ASA；

第二种方法：在核心交换机上配置策略路由，需要3560具备IP Service级的功能性授权

dakaiyan

YilinChen 发表于 2018-10-10 08:42
这不是很正常么，原来核心交换机上，默认路由指向是ASA，所以ASA的针对内部服务器的192.168.15.250:8000 ...

谢谢大神传授经验，测试环境搭建完成了，还未测试。在搭建过程中，发现3560分别连接的ASA5505和ISR2911的两条默认路由，就可以实现开始的目的，ASA的VPN和内网服务器NAT正常。但我感觉是偶然碰到的。而且发现，默认路由总是使用0.0.0.0 0.0.0.0 172.16.0.5，除非路由后面增加数字调整优先级。现在的问题是，为什么会优先使用172.16.0.5，而不是172.16.0.2呢？谢谢。

YilinChen

当到达目标网段，有2个下一跳，就是等价路由呀，基于流的等价负载均衡，至于show ip route显示顺序，并不重要，具体转发到哪个下一跳，可以查看CEF表；

dakaiyan

YilinChen 发表于 2018-10-19 10:26
当到达目标网段，有2个下一跳，就是等价路由呀，基于流的等价负载均衡，至于show ip route显示顺序，并不重 ...

大神，交换机策略路由PBR会不会影响原先的静态和默认路由？

YilinChen

dakaiyan 发表于 2018-10-19 16:19
大神，交换机策略路由PBR会不会影响原先的静态和默认路由？

策略路由就是优先于路由表呀，先匹配策略路由，不匹配的才是查路由表

dakaiyan

YilinChen 发表于 2018-10-19 16:24
策略路由就是优先于路由表呀，先匹配策略路由，不匹配的才是查路由表

感谢大神回复，这段时间麻烦了。
今天测试PBR成功，两个网段192.168.15.0/24和192.168.19.0/24，两个VLAN，其中192.168.15.0/24策略路由从ISR2911出去，但发现一个问题，默认路由只能保留去到ASA；而且PBR后，以上两个网段无法ping通了，只要取消PBR，两个网段立马就互通了。