在Catalyst 2948G-L3交换机上使用BVI配置IP上行链路重定向功能

介绍
Catalyst 2948G-L3交换机IP上行链路重定向功能将在高速以太网接口接收的业务重定向至某个千兆以太网接口。

当业务来源于高速以太网接口上的某个主机而前往另一个高速以太网接口上的主机时,2948G - L3交换机将该业务重定向至千兆以太网接口而非直接在这两个高速以太网接口之间对该业务进行路由。

IP上行链路重定向功能使服务供应商能够向不同客户(例如对于网络主机)提供高速以太网接口,但拒绝对分配给其它客户的接口的访问。换言之,大多数业务位于互联网与单个共置的网络服务器之间,前者使用千兆以太网接口连接,而后者连接至高速以太网接口。

IP上行链路重定向要求在路由表中装入一静态默认路由,该路由表指向连接到千兆以太网接口的一个上流路由器。重定向的业务转发至该上流路由器,该路由器将业务的路由返回至2948G - L3并向外转发至适当的接口。

如果要阻止连接至高速以太网接口的主机间的某些通讯或者全部通讯,您可以在千兆以太网接口上应用访问控制表(ACL)来执行所需的业务过滤。IP上行链路重定向功能此时可发挥作用,因为Catalyst 2948G - L3交换机上的高速以太网接口不支持ACL。

警告: IP上行链路重定向功能仅影响IP单播第3层(L3)交换业务。对于第2层(L2)交换业务或者非IP单播L3交换业务(例如IP组播或者网络数据包交换(IPX)),该功能将没有影响。此类业务将照常在高速以太网接口之间进行桥接或路由。

对于在Catalyst 2948G - L3交换机上使用网桥群组虚拟接口(BVI)实现IP上行链路重定向功能,本文提供了一个样本配置。在Catalyst 2948G - L3交换机上,仅 Cisco IOS ® 版本12.0(10)W5(18e)以及更新的版本支持IP上行链路重定向功能。

该样本配置并不讨论IP上行链路重定向功能对于服务供应商的有用之处。有关服务供应商如何使用该功能来隔离客户服务器之间直接通讯的信息,请参阅下面的文档:

在Catalyst 2948G - L3交换机上配置IP上行链路重定向

本文中的配置实例在实验室环境中产生,使用了以下设备:


运行Cisco IOS版本12.0(10)W5(18e)的Catalyst 2948G - L3

一个路由器(无特殊的硬件或者IOS)

两个配置为终端站的交换机(无特殊的硬件或者IOS)
注意: 两个配置为终端站的两个交换机有一个分配至管理接口的IP地址和一个ip默认网关 ip_addr 声明。

本文基于独立实验室环境中实施的的配置。在使用所有配置或者命令之前确保您了解它们的潜在影响。所有设备上的配置使用write erase 命令清除,并重新加载以确保这些设备采用默认配置。

IP上行链路重定向配置样本1
配置Cat2948G - L3以使station_B属于一网桥群组,且station_A连接至一路由接口。BVI用于实现通讯。


网络图


样本配置
Cat2948G-L3#show run
...
bridge irb
!-- 该命令激活完整的路由和桥接接口 (IRB)。
...
interface Fast Ethernet20
  ip address 10.1.20.2 255.255.255.0
  no ip directed-broadcast
  duplex full
  speed 100
!
interface Fast Ethernet21
  no ip address
  no ip directed-broadcast
  duplex full
  speed 100
  bridge-group 21
  !-- 该命令将路由接口转换成桥接接口。
...
interface GigabitEthernet49
  ip address 10.1.22.2 255.255.255.0
  no ip directed-broadcast
...
interface BVI21
!--  该逻辑接口用于路由桥接接口所接受到的流量
  ip address 10.1.21.2 255.255.255.0
  no ip directed-broadcast
  no ip route-cache cef
!
router rip
  network 10.0.0.0
!
bridge 21 protocol ieee
!-- 该命令在此交换路由上激活桥接。
  bridge 21 route ip
!-- 该命令在接口21上激活路由。



检验
IP上行链路重定向功能尚未启动,如下所示:

Cat2948G-L3#show ip uplink
IP Uplink Redirect Configuration:

Running Configuration : no ip uplink-redirect
!-- 未激活IP上行链路重新定向功能。
Configuration on next reload : no ip uplink-redirect
该结构中对配置IP上行链路重定向的处理如下所示:

Cat2948G-L3#configure t
Enter configuration commands, one per line.  End with CNTL/Z.
Cat2948G-L3(config)#ip uplink-redirect
!-- 此全局配置命令激活IP上行链路重新定向功能,
!-- 但必须在重新加载后才能生效。   
Please save configuration and reload for this command to take effect  

Cat2948G-L3#show ip uplink

IP Uplink Redirect Configuration:

Running Configuration : no ip uplink-redirect
Configuration on next reload : ip uplink-redirect
!-- 该功能被激活,但在重新后加载才能生效。

Cat2948G-L3#reload

System configuration has been modified. Save? [yes/no]: y
Building configuration...
[OK]
Proceed with reload? [confirm]
After reload:

Cat2948G-L3#show ip uplink

IP Uplink Redirect Configuration:

Running Configuration : ip uplink-redirect
!-- T激活IP上行链路重新定向功能.
Configuration on next reload : ip uplink-redirect
为了在Cat2948G - L3上完成IP上行链路重定向配置,您必须配置一静态默认路由并指向上流路由器的接口IP地址。

在本例中,路由器的接口gig 49为上流路由器接口。接口gig 49的IP地址为10.1.22.1。您无法在ip route命令中指定一个出口接口,您必须指定下一个跳IP地址。

Cat2948G-L3(config)#ip route 0.0.0.0 0.0.0.0 10.1.22.1
路由器中的基本路由配置如下:

路由器配置
router#show run
...
interface GigabitEthernet49
  ip address 10.1.22.1 255.255.255.0
  no ip directed-broadcast
...
router rip
  network 10.0.0.0  


路由器中的路由表如下:

router#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
        D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
        E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
        i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default
        U - per-user static route, o - ODR

Gateway of last resort is not set

      10.0.0.0/24 is subnetted, 3 subnets
R       10.1.20.0 [120/1] via 10.1.22.2, 00:00:21, GigabitEthernet49
R       10.1.21.0 [120/1] via 10.1.22.2, 00:00:21, GigabitEthernet49
C       10.1.22.0 is directly connected, GigabitEthernet49
router#
警告:如果上流路由器有一更好的可选路径通过Catalyst 2948G - L3高速以太网接口返回IP网络,将使用该路径,这可能导致路由环路。

通过BVI21/路由器/gig来确保station_A和station_B之间的连通性,如下所示。

station_A#traceroute 10.1.21.1
Type escape sequence to abort.
Tracing the route to 10.1.21.1

   1 10.1.20.2 0 msec 0 msec 3 msec
   2 10.1.22.1 0 msec 0 msec 3 msec
   3 10.1.22.2 2 msec 0 msec 2 msec
   4 10.1.21.1 3 msec 3 msec *
station_A#
在本例中,通过Catalyst 2948G - L3接口fast 20(10.1.20.2 0)的轨迹重定向至上流路由器的接口gig 49(10.1.22.1),路由返回至Catalyst 2948G - L3的接口gig 49(10.1.22.2),然后再到station_B(10.1.21.1)。

如果有需要,您可以在Cat2948G - L3的接口gig 49上应用ACL来控制站之间的接入。在下例中,对接口gig 49上应用一个输入接入表来阻止两个站的通讯:

Cat2948G-L3#show run
...
interface GigabitEthernet49
  ip address 10.1.22.2 255.255.255.0
  ip access-group 1 in
  no ip directed-broadcast
...
access-list 1 deny   10.1.20.1
access-list 1 permit any
   
station_A#traceroute 10.1.21.1

Type escape sequence to abort.
Tracing the route to 10.1.21.1

   1 10.1.20.2 3 msec 0 msec 2 msec
   2 10.1.22.1 0 msec 0 msec 3 msec
   3  *  *  *
   4  *  *  *
   5  *  *
虽然此类输入ACL的方法可能并不是实现这个目标的最有效方法,但仍选择它来说明业务流量。来自station_A的业务实际上在从路由器返回至Cat2948G - L3的gig接口时被过滤。

警告: 特定IP数据包类型(例如具有IP选项的数据包)经过交换处理。CPU根据IOS路由表对数据包进行交换。经过交换处理的数据包将不遵循IP上行链路重定向路径,且不应用所有千兆以太网接口上配置的ACL。




IP上行链路重定向配置样本2
修改配置以使两个站属于两个不同的网桥群组。两个BVI使它们实现通讯。业务过滤的情况会怎样?

网络图



样本配置
Cat2948G-L3#show run
...
ip uplink-redirect
!-- 该命令激活IP上行链路重新定向功能,
!-- 并在重新加载后生效。
bridge irb
!-- 该命令激活IRB。
...
interface Fast Ethernet20
  no ip address
  no ip directed-broadcast
  duplex full
  speed 100
  bridge-group 20
!-- 该命令将路由的接口转换
!-- 成桥接组20中的桥接接口。      
!
interface Fast Ethernet21
  no ip address
  no ip directed-broadcast
  duplex full
  speed 100
  bridge-group 21
!-- 该命令将路由的接口转换
!-- 成桥接组21中的桥接接口。
  ...
interface GigabitEthernet49
  ip address 10.1.22.2 255.255.255.0
  no ip directed-broadcast
...
interface BVI20
!-- 该逻辑接口用于路由桥接组20中的桥接接口所
!-- 接受到的流量
  ip address 10.1.20.2 255.255.255.0
  no ip directed-broadcast
  no ip route-cache cef
  !
interface BVI21
!-- 该逻辑接口用于路由桥接组21中的桥接接口所
!-- 接受到的流量
  ip address 10.1.21.2 255.255.255.0
  no ip directed-broadcast
  no ip route-cache cef
!
router rip
  network 10.0.0.0
!
ip route 0.0.0.0 0.0.0.0 10.1.22.1
!
access-list 1 deny   10.1.20.1
access-list 1 permit any
...
bridge 20 protocol ieee
  bridge 20 route ip
!-- 该命令激活接口BVI 20上的IP路由。
bridge 21 protocol ieee
  bridge 21 route ip
!-- 该命令激活接口BVI 21上的IP路由。


检验
如下例所示,通过Catalyst 2948G - L3上接口fast 20(10.1.20.2 0)的业务重定向至上流路由器的接口gig 49(10.1.22.1),路由返回至Catalyst 2948G - L3上的接口gig 49(10.1.22.2),然后再到(10.1.21.1):

station_A#traceroute 10.1.21.1
Type escape sequence to abort.
Tracing the route to 10.1.21.1

   1 10.1.20.2 3 msec 0 msec 2 msec
   2 10.1.22.1 3 msec 0 msec 2 msec
   3 10.1.22.2 3 msec 0 msec 2 msec
   4 10.1.21.1 3 msec 0 msec *如下应用ACL:

Cat2948G-L3(config)#int gig 49
Cat2948G-L3(config-if)#ip access-group 1 in
如前所述,来自station_A的业务已经在从路由器返回至Cat2948G - L3的gig接口时被过滤,以防止两个站进行通讯。

station_A#traceroute 10.1.21.1
Type escape sequence to abort.
Tracing the route to 10.1.21.1

   1 10.1.20.2 0 msec 0 msec 3 msec
   2 10.1.22.1 3 msec 0 msec 3 msec
   3  *  *  *
   4  *

你可能感兴趣的:(职场,休闲,BVI)