这是设置:
两家公司(A&B)共享办公空间和局域网。 第二ISP被带入,并且公司A想要它自己的互联网连接(ISP A)并且公司B想要它自己的互联网连接(ISP B)。
在内部部署VLAN以分隔两个公司的networking(公司A:VLAN 1,公司B:VLAN 2,共享VOIP:VLAN 3)。
使用单独的VLAN可以很简单地使用单独的DHCP服务器(或在同一服务器上单独的作用域)将默认网关分配给每个公司的网关以进行Internet连接。 可以在每个网关上创build静态路由,以指定发往其他公司的VLAN或Voice VLAN的stream量,以便所有节点都可按预期方式到达。
不过,我认为这是一种不对称的路由forms,对吧? (从节点A1到节点B1的path不同于从节点B1到节点A1的path)。
我可以设置基于策略的路由来纠正这个问题吗? 在这种情况下,我可以为所有VLAN上的每个设备分配相同的默认网关,并在L3交换机上创build路由策略以查看源地址并将stream量转发到相应的下一跳? 在这种情况下,我需要路由逻辑如下所示:
我以正确的方式思考这个问题吗? 还有另一种方法可以解决我忽略的这个问题吗?
UPDATE
我试过下面的凯尔的解决scheme,并有一些问题。 这里是我的configuration相关的位(我用2821 BTWtesting):
interface GigabitEthernet0/0 ip address 10.0.1.1 255.255.255.0 no ip proxy-arp duplex auto speed auto no mop enabled ! interface GigabitEthernet0/0.100 description VoIP VLAN stub encapsulation dot1Q 100 ip address 10.0.100.1 255.255.255.0 no ip proxy-arp ! interface GigabitEthernet0/0.110 description RT VLAN stub encapsulation dot1Q 110 ip address 10.0.110.1 255.255.255.0 no ip proxy-arp ip policy route-map RT-out ! interface GigabitEthernet0/0.120 description TCI VLAN stub encapsulation dot1Q 120 ip address 10.0.120.1 255.255.255.0 no ip proxy-arp ip policy route-map TCI-out ! interface GigabitEthernet0/1 ip address 192.168.1.20 255.255.255.0 no ip proxy-arp duplex auto speed auto ! ip route 192.168.0.0 255.255.0.0 192.168.1.2 ! ip access-list extended match-RT-out permit ip 10.0.110.0 0.0.0.255 any ip access-list extended match-TCI-out permit ip 10.0.120.0 0.0.0.255 any ! route-map TCI-out permit 11 match ip address match-TCI-out set ip next-hop 192.168.12.2 ! route-map RT-out permit 10 match ip address match-RT-out set ip next-hop 192.168.11.2 ! show ip route的输出show ip route如下:
10.0.0.0/24 is subnetted, 4 subnets C 10.0.1.0 is directly connected, GigabitEthernet0/0 C 10.0.110.0 is directly connected, GigabitEthernet0/0.110 C 10.0.100.0 is directly connected, GigabitEthernet0/0.100 C 10.0.120.0 is directly connected, GigabitEthernet0/0.120 C 192.168.1.0/24 is directly connected, GigabitEthernet0/1 S 192.168.0.0/16 [1/0] via 192.168.1.2
这里的问题是:我的路由映射似乎没有工作(当然,我认为他们是匹配的,但是他们似乎没有修改下一跳的结果)。 将一个ping的debug ip policy输出到一个外部IP地址:
*May 5 21:26:11.631: IP: s=10.0.120.100 (GigabitEthernet0/0.120), d=209.85.225.100, len 52, FIB policy match *May 5 21:26:11.631: CEF-IP-POLICY: fib for address 192.168.12.2 is with flag 0 *May 5 21:26:11.631: IP: s=10.0.120.100 (GigabitEthernet0/0.120), d=209.85.225.100, len 52, FIB policy rejected - normal forwarding *May 5 21:26:11.631: IP: s=10.0.120.100 (GigabitEthernet0/0.120), d=209.85.225.100, len 52, policy match *May 5 21:26:11.631: IP: route map TCI-out, item 11, permit *May 5 21:26:11.631: IP: s=10.0.120.100 (GigabitEthernet0/0.120), d=209.85.225.100, len 52, policy rejected -- normal forwarding
所以你可以在输出中看到它看起来像匹配…紧接着被FIB policy rejected - normal forwarding的即时FIB policy rejected - normal forwarding 。 在这种情况下(当我试图ping 209.85.225.100时),我从路由器(10.0.120.1)中找回了一个ICMP目标主机无法访问。
这是越来越长,但希望能解释我遇到麻烦。
由于它们是不同的networking,因此可以使用基于策略的路由来设置基于源的路由,以根据传出数据包的源IP地址路由出不同的接口。
对于Cisco IOS基本上是以下(我想,未经testing)(F0 / 0是内部接口,12.12.12.12和13.13.13.13是你的两个IP网关,你有两个局域网192.168.0.0/16和10.0.0.0 / 8):
interface FastEthernet0/0 ip policy route-map foo-out route-map foo-out permit 10 match ip address match-foo-out set ip next-hop 12.12.12.12 route-map foo-out permit 11 match ip address match-foo2-out set ip next-hop 13.13.13.13 ip access-list extended match-foo-out deny ip 10.0.0.0 0.255.255.255 any permit ip 192.168.0.0 0.0.255.255 any ip access-list extended match-foo2-out deny ip 192.168.0.0 0.0.255.255 any permit ip 10.0.0.0 0.255.255.255 any
如果这些只是帧中继,然后设置接口,而不是下一个希望将是好的。
对于你的公司间的沟通,你不需要做任何事情,只需要改变这些行为,这样他们就可以拒绝来源和deny ip 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255 ,例如: deny ip 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255 。 另外如果这些是两个局域网接口,也许每个接口的不同路由映射更有意义或者是必需的,这只是一个例子来推动你正确的方向,希望:-)