思科三层交换机策略路由实现网络接入分流
一、方案环境描述
1.环境中有两个组Group1、Group2,分别要从两个不同的网络出口接入互联网。
2.网络核心为思科3560G三层交换机,划分4个VLAN,基本VLAN10/VLAN20属于Group1,VLAN30/VLAN40属于Group2。
3.两台接入路由器LAN端IP分别为10.10.10.254(Group1使用),10.10.20.254(Group2使用)
二、配置三层交换机
1.划分VALN并开启ip routing,略
VLAN10 ip adderss 172.16.10.1/24
VLAN20 ip address 172.16.20.1/24
VLAN30 ip address 172.16.30.1/24
VLAN40 ip address 172.16.40.1/24
2.配置三层接口
3560#conf t
3560(config)#int g0/1
3560(config-if)#no switchport /定义为三层端口
3560(config-if)#ip address 10.10.10.1 255.255.255.0 /定义三层端口IP及子网
3560(config-if)#int g0/2
3560(config-if)#no switchport
3560(config-if)#ip address 10.10.20.1 255.255.255.0
3.定义ACL
3560(config)#ip access-list extended vlan10acl2map /定义ACL名称
3560(config-ext-nacl)#deny ip 172.16.10.0 0.0.0.255 172.16.0.0 0.0.255.255
3560(config-ext-nacl)#deny ip 172.16.10.0 0.0.0.255 10.10.0.0 0.0.255.255
3560(config-ext-nacl)#permit ip 172.16.10.0 0.0.0.255 any
3560(config)#ip access-list extended vlan20acl2map
3560(config-ext-nacl)#deny ip 172.16.20.0 0.0.0.255 172.16.0.0 0.0.255.255
3560(config-ext-nacl)#deny ip 172.16.20.0 0.0.0.255 10.10.0.0 0.0.255.255
3560(config-ext-nacl)#permit ip 172.16.20.0 0.0.0.255 any
3560(config)#ip access-list extended vlan30acl2map
3560(config-ext-nacl)#deny ip 172.16.30.0 0.0.0.255 172.16.0.0 0.0.255.255
3560(config-ext-nacl)#deny ip 172.16.30.0 0.0.0.255 10.10.0.0 0.0.255.255
3560(config-ext-nacl)#permit ip 172.16.30.0 0.0.0.255 any
3560(config)#ip access-list extended vlan40acl2map
3560(config-ext-nacl)#deny ip 172.16.40.0 0.0.0.255 172.16.0.0 0.0.255.255
3560(config-ext-nacl)#deny ip 172.16.40.0 0.0.0.255 10.10.0.0 0.0.255.255
3560(config-ext-nacl)#permit ip 172.16.40.0 0.0.0.255 any
注:deny部分为需要例外的网段,172.16.0.0/16就可以包含172.16.10.0/24-172.16.40.0-24了,也是我比较懒吧,不想写太多条。10.10.0.0/16是两个三层口,因为考虑到如果两条线路哪一条断掉的话可以走另一条线路出去,这个互备的方法我们下次再讨论。
4.定义策略路由
3560(config)#route-map vlan10map /定义route-map名称
3560(config-route-map)#match ip address vlan10acl2map /匹配ACL
3560(config-route-map)#set ip next-hop 10.10.10.254 /定义下一跳路由
3560(config)#route-map vlan20map
3560(config-route-map)#match ip address vlan20acl2map
3560(config-route-map)#set ip next-hop 10.10.10.254 /与VLAN10属于同一组,从同一个接口接入互联网
3560(config)#route-map vlan30map
3560(config-route-map)#match ip address vlan30acl2map
3560(config-route-map)#set ip next-hop 10.10.20.254
3560(config)#route-map vlan40map
3560(config-route-map)#match ip address vlan40acl2map
3560(config-route-map)#set ip next-hop 10.10.20.254
5.调用策略路由
3560(config)#int vlan 10
3560(config-if)#ip policy route-map vlan10map
3560(config)#int vlan 20
3560(config)#ip policy route-map vlan20map
3560(config)#int vlan 30
3560(config)#ip policy route-map vlan30map
3560(config)#int vlan 40
3560(config)#ip policy route-map vlan40map
- 上一篇:思科三层交换机策略路由实现网络接入分流
- 下一篇:微商解决终端销售问题4步走
相关文章
图文推荐
-
怎么设置WindowsServer2008的时间同步?
-
打车应用Go-Jek收购三家金融科技公司 将大力涉足数字支付市场
-
看我如何入侵朋友的"主流时尚"
-
乌龙的CVE-2017-8570样本及背后的狗血
- 文章
- 推荐
- 热门新闻