用户需求如下:
vlan10和vlan11不能互访,但能访问vlan12服务器
vlan10只能通过RT5上网,vlan11只能通过RT6上网
vlan12不能上网
策略路由案例(三):交换机策略路由_第1张图片
配置思路步骤:
1.基本信息配置(SW1、RT5、RT6)
2.边界网络对界(RT5静态路由)
3.SW1策略路由,RT6静态路由
4.边界设备INTERNET对界(缺省路由)
5.业务访问控制(VLAN10和VLAN11不能互访)
6.全网测试及排错
 
基本配置:
SW1>en
SW1#vlan data
SW1(vlan)#vtp tran
SW1(vlan)#vlan 10
SW1(vlan)#vlan 11
SW1(vlan)#vlan 12    //在VLAN数据库中添加VLAN
SW1(vlan)#exit
SW1#config t
SW1(config)#int vlan 10
SW1(config-if)#ip add 192.168.10.1 255.255.255.0
SW1(config-if)#no shut
SW1(config-if)#int vlan 11
SW1(config-if)#ip add 192.168.11.1 255.255.255.0
SW1(config-if)#no shut
SW1(config-if)#int vlan 12
SW1(config-if)#ip add 192.168.12.1 255.255.255.0
SW1(config-if)#no shut
SW1(config-if)#int f1/10
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 10
SW1(config-if)#int f1/11
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 11
SW1(config-if)#int f1/12
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 12
SW1(config-if)#int f1/12
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 12
SW1(config-if)#int f1/1
SW1(config-if)#no switchport
SW1(config-if)#ip add 192.168.1.1 255.255.255.252
SW1(config-if)#no shut
SW1(config-if)#int f1/2
SW1(config-if)#no switchport
SW1(config-if)#ip add 192.168.1.5 255.255.255.252
SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#ip routing
SW1(config)#ip route 192.168.0.0 255.255.0.0 null 0  //添加黑洞路由
SW1(config)#access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255      //防止VLAN10访问内网的流量被策略路由
SW1(config)#access-list 101 permit ip 192.168.10.0 0.0.0.255 any
//区分VLAN11的流量
SW1(config)#access-list 102 deny ip 192.168.11.0 0.0.0.255 192.168.0.0 0.0.255.255    //防止VLAN11访问内网的流量被策略路由
SW1(config)#access-list 102 permit ip 192.168.11.0 0.0.0.255 any 
//区分VLAN11的流量
SW1(config)#access-list 103 deny ip  192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255  //VLAN10和VLAN11不能互访
SW1(config)#access-list 103 permit ip any any //允许VLAN10访问其它
SW1(config)#int vlan 10
SW1(config-if)#exit      
SW1(config)#route-map RT5 permit 10  //建立通过RT5访问INTERNET的ROUTE-MAP
SW1(config-route-map)#match ip address 101 //匹配IP地址
SW1(config-route-map)#set ip next-hop 192.168.1.2//为匹配流量设置下一跳
SW1(config-route-map)#exit
SW1(config)#route-map RT6 permit 10//建立通过RT6访问INTERNET的ROUTER-MAP
SW1(config-route-map)#match ip address 102//匹配IP地址
SW1(config-route-map)#set ip next-hop 192.168.1.6//为匹配流量设置下一跳
SW1(config-route-map)#exit
SW1(config)#int vlan 10
SW1(config-if)#ip policy route-map RT5 //在VLAN10中绑定ROUTE-MAP
SW1(config-if)#ip access-group 103 in //在IN方向启用访问控制列表
SW1(config-if)#int vlan 11
SW1(config-if)#ip policy route-map RT6//在VLAN11中绑定ROUTE-MAP
RT5(config)#int f2/0
RT5(config-if)#ip add 192.168.1.2 255.255.255.252
RT5(config-if)#no shut
RT5(config-if)#int f1/0
RT5(config-if)#ip add 202.202.1.2 255.255.255.252 
RT5(config-if)#no shut
RT5(config-if)#exit
RT5(config)#ip route 0.0.0.0 0.0.0.0 202.202.1.1//去往公网的路由
RT5(config)#ip route 192.168.0.0 255.255.0.0 192.168.1.1//去往内部的路由
  RT5(config)#access-list 10 permit 192.168.10.0 0.0.0.255//定义需NAT的流量
RT5(config)#int f1/0
RT5(config-if)#ip nat inside//定义NAT的内部接口
RT5(config-if)#int f2/0
RT5(config-if)#ip nat outside//定义NAT的外部接口
RT5(config)#ip nat inside source list 10 int f1/0 overload//启用NAT转换
RT6(config)#int f2/0
RT6(config-if)#ip add 192.168.1.6 255.255.255.252
RT6(config-if)#no shut
RT6(config-if)#int f1/0
RT6(config-if)#ip add 202.202.2.2 255.255.255.252
RT6(config-if)#no shut
RT6(config-if)#exit
RT6(config)#ip route 0.0.0.0 0.0.0.0 202.202.2.1
RT6(config)#ip route 192.168.0.0 255.255.0.0 192.168.1.5
RT6(config)#access-list 10 permit 192.168.11.0 0.0.0.255 //定义需NAT的流量
RT6(config)#int f1/0
RT6(config-if)#ip nat inside
RT6(config-if)#int f2/0
RT6(config-if)#ip nat outsid
RT6(config)#ip nat inside source list 10 int f1/0 overload
 
测试过程:
VPCS 1 >ping 202.202.1.2
202.202.1.2 icmp_seq=1 time=130.000 ms
202.202.1.2 icmp_seq=2 time=46.000 ms
202.202.1.2 icmp_seq=3 time=67.000 ms
202.202.1.2 icmp_seq=4 time=63.000 ms
202.202.1.2 icmp_seq=5 time=105.000 ms
*Mar  1 00:44:57.915: IP: tableid=0, s=192.168.10.100 (Vlan10), d=202.202.1.2 (FastEthernet1/1), routed via FIB
*Mar  1 00:44:57.919: IP: s=192.168.10.100 (Vlan10), d=202.202.1.2, len 84, policy match
*Mar  1 00:44:57.923: IP: route map RT5, item 10, permit
*Mar  1 00:44:57.923: IP: s=192.168.10.100 (Vlan10), d=202.202.1.2 (FastEthernet1/1), len 84, policy routed
*Mar  1 00:44:57.927: IP: Vlan10 to FastEthernet1/1 192.168.1.2
*Mar  1 00:44:57.931: IP: s=192.168.10.100 (Vlan10), d=202.202.1.2 (FastEthernet1/1), g=192.168.1.2, len84, forward
*Mar  1 00:44:58.027: IP: tableid=0, s=202.202.1.2 (FastEthernet1/1), d=192.168.10.100 (Vlan10), routed via FIB
*Mar  1 00:44:58.031: IP: s=202.202.1.2 (FastEthernet1/1), d=192.168.10.100 (Vlan10), g=192.168.10.100, len 84, forward
VPCS 2 >ping 202.202.2.2
202.202.2.2 icmp_seq=1 time=61.000 ms
202.202.2.2 icmp_seq=2 time=77.000 ms
202.202.2.2 icmp_seq=3 time=84.000 ms
202.202.2.2 icmp_seq=4 time=103.000 ms
202.202.2.2 icmp_seq=5 time=37.000 ms
*Mar  1 00:45:56.839: IP: tableid=0, s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/1), routed via FIB
*Mar  1 00:45:56.839: IP: s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/2), g=192.168.1.6, len 84, forward
*Mar  1 00:45:57.819: IP: tableid=0, s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/1), routed via FIB
*Mar  1 00:45:57.823: IP: s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/2), g=192.168.1.6, len 84, forward
*Mar  1 00:45:58.807: IP: tableid=0, s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/1), routed via FIB
*Mar  1 00:45:58.811: IP: s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/2), g=192.168.1.6, len 84,
*Mar  1 00:45:59.847: IP: tableid=0, s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/1), routed via FIB
*Mar  1 00:45:59.851: IP: s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/2), g=192.168.1.6, len 84, forward
*Mar  1 00:46:00.827: IP: tableid=0, s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/1), routed via FIB
*Mar  1 00:46:00.831: IP: s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/2), g=192.168.1.6, len 84, forward
 
实验总结:
 192.168.10.100访问INTERNET分析:
 192.168.10.100将数据交给SW1的SVI接口192.168.10.1,因为在VLAN10的SVI接口上做了策略路由,设置下一跳为192 .168.1.2,从VLAN10过来的数据将匹配策略路由,将数据发往192.168.1.2。在RT1上做NAT将192.168.10.0/24的数据转换成F1/0的IP 202.202.1.2,同时将转换的地址记录到NAT的转换表中,将数据发往INTERNET,回应的数据通过F1/0的NAT入处理,查找NAT转换表,找到对应的内网IP地址,通过查找路由,将数据从F2/0转发,最后数据交付给目的主机。