介紹
Catalyst 2948G-L3交換機(jī)ip上行鏈路重定向功能將在高速以太網(wǎng)接口接收的業(yè)務(wù)重定向至某個(gè)千兆以太網(wǎng)接口。
當(dāng)業(yè)務(wù)來源于高速以太網(wǎng)接口上的某個(gè)主機(jī)而前往另一個(gè)高速以太網(wǎng)接口上的主機(jī)時(shí),2948G - L3交換機(jī)將該業(yè)務(wù)重定向至千兆以太網(wǎng)接口而非直接在這兩個(gè)高速以太網(wǎng)接口之間對(duì)該業(yè)務(wù)進(jìn)行路由。
IP上行鏈路重定向功能使服務(wù)供給商能夠向不同客戶(例如對(duì)于網(wǎng)絡(luò)主機(jī))提供高速以太網(wǎng)接口,但拒絕對(duì)分配給其它客戶的接口的訪問。換言之,大多數(shù)業(yè)務(wù)位于互聯(lián)網(wǎng)與單個(gè)共置的網(wǎng)絡(luò)服務(wù)器之間,前者使用千兆以太網(wǎng)接口連接,而后者連接至高速以太網(wǎng)接口。
IP上行鏈路重定向要求在路由表中裝入一靜態(tài)默認(rèn)路由,該路由表指向連接到千兆以太網(wǎng)接口的一個(gè)上流路由器。重定向的業(yè)務(wù)轉(zhuǎn)發(fā)至該上流路由器,該路由器將業(yè)務(wù)的路由返回至2948G - L3并向外轉(zhuǎn)發(fā)至適當(dāng)?shù)慕涌凇?
假如要阻止連接至高速以太網(wǎng)接口的主機(jī)間的某些通訊或者全部通訊,您可以在千兆以太網(wǎng)接口上應(yīng)用訪問控制表(ACL)來執(zhí)行所需的業(yè)務(wù)過濾。IP上行鏈路重定向功能此時(shí)可發(fā)揮作用,因?yàn)镃atalyst 2948G - L3交換機(jī)上的高速以太網(wǎng)接口不支持ACL。
警告: IP上行鏈路重定向功能僅影響IP單播第3層(L3)交換業(yè)務(wù)。對(duì)于第2層(L2)交換業(yè)務(wù)或者非IP單播L3交換業(yè)務(wù)(例如IP組播或者網(wǎng)絡(luò)數(shù)據(jù)包交換(IPX)),該功能將沒有影響。此類業(yè)務(wù)將照常在高速以太網(wǎng)接口之間進(jìn)行橋接或路由。
對(duì)于在Catalyst 2948G - L3交換機(jī)上使用網(wǎng)橋群組虛擬接口(BVI)實(shí)現(xiàn)IP上行鏈路重定向功能,本文提供了一個(gè)樣本配置。在Catalyst 2948G - L3交換機(jī)上,僅 Cisco IOS ® 版本12.0(10)W5(18e)以及更新的版本支持IP上行鏈路重定向功能。
該樣本配置并不討論IP上行鏈路重定向功能對(duì)于服務(wù)供給商的有用之處。有關(guān)服務(wù)供給商如何使用該功能來隔離客戶服務(wù)器之間直接通訊的信息,請(qǐng)參閱下面的文檔:
在Catalyst 2948G - L3交換機(jī)上配置IP上行鏈路重定向
本文中的配置實(shí)例在實(shí)驗(yàn)室環(huán)境中產(chǎn)生,使用了以下設(shè)備:
運(yùn)行Cisco IOS版本12.0(10)W5(18e)的Catalyst 2948G - L3
一個(gè)路由器(無非凡的硬件或者IOS)
兩個(gè)配置為終端站的交換機(jī)(無非凡的硬件或者IOS)
注重: 兩個(gè)配置為終端站的兩個(gè)交換機(jī)有一個(gè)分配至治理接口的IP地址和一個(gè)ip默認(rèn)網(wǎng)關(guān) ip_addr 聲明。
本文基于獨(dú)立實(shí)驗(yàn)室環(huán)境中實(shí)施的的配置。在使用所有配置或者命令之前確保您了解它們的潛在影響。所有設(shè)備上的配置使用write erase 命令清除,并重新加載以確保這些設(shè)備采用默認(rèn)配置。
配置Cat2948G - L3以使station_B屬于一網(wǎng)橋群組,且station_A連接至一路由接口。BVI用于實(shí)現(xiàn)通訊。
Cat2948G-L3#show run ... bridge irb !-- 該命令激活完整的路由和橋接接口 (IRB)。 ... interface Fast Ethernet20 ip address 10.1.20.2 255.255.255.0 no ip directed-broadcast duplex full speed 100 ! interface Fast Ethernet21 no ip address no ip directed-broadcast duplex full speed 100 bridge-group 21 !-- 該命令將路由接口轉(zhuǎn)換成橋接接口。 ... interface GigabitEthernet49 ip address 10.1.22.2 255.255.255.0 no ip directed-broadcast ... interface BVI21 !-- 該邏輯接口用于路由橋接接口所接受到的流量 ip address 10.1.21.2 255.255.255.0 no ip directed-broadcast no ip route-cache cef ! router rip network 10.0.0.0 ! bridge 21 PRotocol ieee !-- 該命令在此交換路由上激活橋接。 bridge 21 route ip !-- 該命令在接口21上激活路由。
IP上行鏈路重定向功能尚未啟動(dòng),如下所示:
Cat2948G-L3#show ip uplink IP Uplink Redirect Configuration: Running Configuration : no ip uplink-redirect !-- 未激活I(lǐng)P上行鏈路重新定向功能。 Configuration on next reload : no ip uplink-redirect
該結(jié)構(gòu)中對(duì)配置IP上行鏈路重定向的處理如下所示:
Cat2948G-L3#configure t Enter configuration commands, one per line. End with CNTL/Z. Cat2948G-L3(config)#ip uplink-redirect !-- 此全局配置命令激活I(lǐng)P上行鏈路重新定向功能, !-- 但必須在重新加載后才能生效。 Please save configuration and reload for this command to take effect Cat2948G-L3#show ip uplink IP Uplink Redirect Configuration: Running Configuration : no ip uplink-redirect Configuration on next reload : ip uplink-redirect !-- 該功能被激活,但在重新后加載才能生效。 Cat2948G-L3#reload System configuration has been modified. Save? [yes/no]: y Building configuration... [OK] Proceed with reload? [confirm]
After reload:
Cat2948G-L3#show ip uplink IP Uplink Redirect Configuration: Running Configuration : ip uplink-redirect !-- T激活I(lǐng)P上行鏈路重新定向功能. Configuration on next reload : ip uplink-redirect
為了在Cat2948G - L3上完成IP上行鏈路重定向配置,您必須配置一靜態(tài)默認(rèn)路由并指向上流路由器的接口IP地址。
在本例中,路由器的接口gig 49為上流路由器接口。接口gig 49的IP地址為10.1.22.1。您無法在ip route命令中指定一個(gè)出口接口,您必須指定下一個(gè)跳IP地址。
Cat2948G-L3(config)#ip route 0.0.0.0 0.0.0.0 10.1.22.1
路由器中的基本路由配置如下:
router#show run ... interface GigabitEthernet49 ip address 10.1.22.1 255.255.255.0 no ip directed-broadcast ... router rip network 10.0.0.0
路由器中的路由表如下:
router#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR Gateway of last resort is not set 10.0.0.0/24 is subnetted, 3 subnets R 10.1.20.0 [120/1] via 10.1.22.2, 00:00:21, GigabitEthernet49 R 10.1.21.0 [120/1] via 10.1.22.2, 00:00:21, GigabitEthernet49 C 10.1.22.0 is directly connected, GigabitEthernet49 router#
警告:假如上流路由器有一更好的可選路徑通過Catalyst 2948G - L3高速以太網(wǎng)接口返回IP網(wǎng)絡(luò),將使用該路徑,這可能導(dǎo)致路由環(huán)路。
通過BVI21/路由器/gig來確保station_A和station_B之間的連通性,如下所示。
station_A#traceroute 10.1.21.1 Type escape sequence to abort. Tracing the route to 10.1.21.1 1 10.1.20.2 0 msec 0 msec 3 msec 2 10.1.22.1 0 msec 0 msec 3 msec 3 10.1.22.2 2 msec 0 msec 2 msec 4 10.1.21.1 3 msec 3 msec * station_A#
在本例中,通過Catalyst 2948G - L3接口fast 20(10.1.20.2 0)的軌跡重定向至上流路由器的接口gig 49(10.1.22.1),路由返回至Catalyst 2948G - L3的接口gig 49(10.1.22.2),然后再到station_B(10.1.21.1)。
假如有需要,您可以在Cat2948G - L3的接口gig 49上應(yīng)用ACL來控制站之間的接入。在下例中,對(duì)接口gig 49上應(yīng)用一個(gè)輸入接入表來阻止兩個(gè)站的通訊:
Cat2948G-L3#show run ... interface GigabitEthernet49 ip address 10.1.22.2 255.255.255.0 ip access-group 1 in no ip directed-broadcast ... access-list 1 deny 10.1.20.1 access-list 1 permit any station_A#traceroute 10.1.21.1 Type escape sequence to abort. Tracing the route to 10.1.21.1 1 10.1.20.2 3 msec 0 msec 2 msec 2 10.1.22.1 0 msec 0 msec 3 msec 3 * * * 4 * * * 5 * *
雖然此類輸入ACL的方法可能并不是實(shí)現(xiàn)這個(gè)目標(biāo)的最有效方法,但仍選擇它來說明業(yè)務(wù)流量。來自station_A的業(yè)務(wù)實(shí)際上在從路由器返回至Cat2948G - L3的gig接口時(shí)被過濾。
警告: 特定IP數(shù)據(jù)包類型(例如具有IP選項(xiàng)的數(shù)據(jù)包)經(jīng)過交換處理。CPU根據(jù)IOS路由表對(duì)數(shù)據(jù)包進(jìn)行交換。經(jīng)過交換處理的數(shù)據(jù)包將不遵循IP上行鏈路重定向路徑,且不應(yīng)用所有千兆以太網(wǎng)接口上配置的ACL。
更多的請(qǐng)看:http://www.QQread.com/windows/2003/index.Html
修改配置以使兩個(gè)站屬于兩個(gè)不同的網(wǎng)橋群組。兩個(gè)BVI使它們實(shí)現(xiàn)通訊。業(yè)務(wù)過濾的情況會(huì)怎樣?
Cat2948G-L3#show run ... ip uplink-redirect !-- 該命令激活I(lǐng)P上行鏈路重新定向功能, !-- 并在重新加載后生效。 bridge irb !-- 該命令激活I(lǐng)RB。 ... interface Fast Ethernet20 no ip address no ip directed-broadcast duplex full speed 100 bridge-group 20 !-- 該命令將路由的接口轉(zhuǎn)換 !-- 成橋接組20中的橋接接口。 ! interface Fast Ethernet21 no ip address no ip directed-broadcast duplex full speed 100 bridge-group 21 !-- 該命令將路由的接口轉(zhuǎn)換 !-- 成橋接組21中的橋接接口。 ... interface GigabitEthernet49 ip address 10.1.22.2 255.255.255.0 no ip directed-broadcast ... interface BVI20 !-- 該邏輯接口用于路由橋接組20中的橋接接口所 !-- 接受到的流量 ip address 10.1.20.2 255.255.255.0 no ip directed-broadcast no ip route-cache cef ! interface BVI21 !-- 該邏輯接口用于路由橋接組21中的橋接接口所 !-- 接受到的流量 ip address 10.1.21.2 255.255.255.0 no ip directed-broadcast no ip route-cache cef ! router rip network 10.0.0.0 ! ip route 0.0.0.0 0.0.0.0 10.1.22.1 ! access-list 1 deny 10.1.20.1 access-list 1 permit any ... bridge 20 protocol ieee bridge 20 route ip !-- 該命令激活接口BVI 20上的IP路由。 bridge 21 protocol ieee bridge 21 route ip !-- 該命令激活接口BVI 21上的IP路由。
如下例所示,通過Catalyst 2948G - L3上接口fast 20(10.1.20.2 0)的業(yè)務(wù)重定向至上流路由器的接口gig 49(10.1.22.1),路由返回至Catalyst 2948G - L3上的接口gig 49(10.1.22.2),然后再到(10.1.21.1):
station_A#traceroute 10.1.21.1 Type escape sequence to abort. Tracing the route to 10.1.21.1 1 10.1.20.2 3 msec 0 msec 2 msec 2 10.1.22.1 3 msec 0 msec 2 msec 3 10.1.22.2 3 msec 0 msec 2 msec 4 10.1.21.1 3 msec 0 msec *
如下應(yīng)用ACL:
Cat2948G-L3(config)#int gig 49 Cat2948G-L3(config-if)#ip access-group 1 in
如前所述,來自station_A的業(yè)務(wù)已經(jīng)在從路由器返回至Cat2948G - L3的gig接口時(shí)被過濾,以防止兩個(gè)站進(jìn)行通訊。
station_A#traceroute 10.1.21.1 Type escape sequence to abort. Tracing the route to 10.1.21.1 1 10.1.20.2 0 msec 0 msec 3 msec 2 10.1.22.1 3 msec 0 msec 3 msec 3 * * * 4 *
新聞熱點(diǎn)
疑難解答
圖片精選
網(wǎng)友關(guān)注
