在Catalyst 2948G-L3交換機上配置IP上行鏈路重定向
簡介
本檔案將提供Catalyst 2948G-L3交換器上IP上行鏈路重新導向功能的組態範例。啟用IP上行鏈路重定向會限制連線到快速乙太網介面的裝置將第3層流量直接相互傳送,並將其直接路由到千兆乙太網介面。
開始之前
慣例
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
必要條件
Cisco IOS ®軟體版本12.0(10)W5(18e)和更新版本僅在Catalyst 2948G-L3交換器上支援IP上行鏈路重新導向功能。
採用元件
本檔案中的資訊是根據以下軟體和硬體版本。
-
執行Cisco IOS 12.0(10)W5(18e)的Catalyst 2948G-L3
-
執行Cisco IOS 12.0(10)W5(18e)的Catalyst 4908G-L3
-
將兩台路由器(無特定硬體或Cisco IOS)配置為模擬客戶伺服器的終端站
註:配置為終端站的兩台路由器具有no ip routing、一個介面上的IP地址和ip default-gateway ip_addr 語句。
本文中的配置是根據實驗環境中的裝置建立的。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。已使用write erase命令清除所有裝置上的配置並重新載入,以確保它們具有預設配置。如果您在即時網路中工作,請確保在使用任何命令之前瞭解其潛在影響。
背景理論
IP上行鏈路重定向功能旨在允許服務提供商將Catalyst 2948G-L3交換機上的快速乙太網介面調配給不同的客戶。此功能還限制客戶直接訪問分配給其他客戶的介面。例如,如果多個客戶的Web伺服器連線到快速乙太網介面,並且這些伺服器不需要彼此通訊,則可以使用此功能。在此網路設計中,大部分流量將在通過千兆乙太網介面連線的Internet和連線到快速乙太網介面的單獨並置的Web伺服器之間傳送。
在Catalyst 2948G-L3交換器上設定IP上行鏈路重新導向時,源自快速乙太網路介面上的主機的流量將重新導向至其中一個千兆位乙太網路介面,而不是直接路由兩個快速乙太網路介面之間的流量。此功能通過不使用遠端快速乙太網介面的IP鄰接關係填充快速乙太網內容可定址儲存器(CAM)表來實現此目的。因此,在快速乙太網介面上配置或學習的網路路由和鄰接關係不會填充到CAM表中,但出於路由目的,這些路由和鄰接關係會填充到千兆乙太網介面中。
注意:IP上行鏈路重定向功能僅影響IP第3層交換流量。它對IP組播或IPX等第2層交換或非IP第3層交換流量沒有影響。此流量將照常在快速乙太網路介面之間橋接或直接路由。
如果要求阻止連線到快速乙太網介面的主機之間的部分或全部通訊,則可以在千兆乙太網介面上應用訪問控制清單(ACL),以執行所需的流量過濾。這是因為Catalyst 2948G-L3的快速乙太網路介面不支援ACL。防止主機之間通訊的唯一方法是使用IP上行鏈路重新導向功能將流量重新導向到千兆位乙太網路介面,並套用ACL來過濾流量。
網路圖表
網路圖顯示了典型的服務提供商拓撲,客戶將其Web伺服器連線到不同的快速乙太網介面
在此拓撲中,服務提供商已使用30位子網掩碼對192.168.1.0/24劃分子網。對於每個子網,一個主機地址分配給2948G-L3上的一個快速乙太網介面,另一個IP分配給客戶的伺服器。客戶1的伺服器位於子網192.168.1.0/30中。快速乙太網1分配了IP地址192.168.1.1/30,而客戶1的伺服器分配了IP地址192.168.1.2/30。
注意:這只是一個示例。另一種可能的拓撲可能有多台客戶裝置連線到每個快速乙太網介面(使用更大的IP子網,例如26位或24位子網掩碼)。
配置IP上行鏈路重定向示例
工作
本節提供用於設定本文件中所述功能的資訊。以下部分顯示典型拓撲和用於在Catalyst 2948G-L3交換機上配置IP上行鏈路重定向的步驟。
逐步說明
在此拓撲中配置IP上行鏈路重定向的過程如下:
-
在Catalyst 2948G-L3交換機上啟用IP上行鏈路重定向並重新載入交換機。啟用或禁用IP上行鏈路重定向後,必須重新載入交換機。
2948G-L3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. 2948G-L3(config)#ip uplink-redirect Please save configuration and reload for this command to take effect 2948G-L3(config)#^Z 2948G-L3#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] 2948G-L3#reload Proceed with reload? [confirm] ROMMON: Cold Reset frame @0x00000000 ROMMON: Reading reset reason register ROMMON: Valid NVRAM config !--- Output suppressed. Press RETURN to get started!
-
發出show ip uplink-redirect命令,確認是否已啟用IP上行鏈路重定向:
2948G-L3#show ip uplink-redirect IP Uplink Redirect Configuration: Running Configuration : ip uplink-redirect Configuration on next reload : ip uplink-redirect 2948G-L3#
-
配置快速乙太網介面。每個快速乙太網介面都使用30位子網掩碼分配到不同的IP子網(如果使用的是子網0,請確保輸入ip subnet-zero全域性配置命令,如本例所示)。
2948G-L3(config)#ip subnet-zero 2948G-L3(config)#interface FastEthernet 1 2948G-L3(config-if)#ip address 192.168.1.1 255.255.255.252 2948G-L3(config-if)#no shutdown 2948G-L3(config-if)#exit 2948G-L3(config)#interface FastEthernet 2 2948G-L3(config-if)#ip address 192.168.1.5 255.255.255.252 2948G-L3(config-if)#no shutdown 2948G-L3(config-if)#exit !--- Output suppressed. 2948G-L3(config)#interface FastEthernet 48 2948G-L3(config-if)#ip address 192.168.1.189 255.255.255.252 2948G-L3(config-if)#no shutdown 2948G-L3(config-if)#
-
使用相應子網中的其餘主機IP地址配置每台伺服器,並使用相應的快速乙太網IP地址作為伺服器的預設網關。
例如,客戶1的伺服器連線到介面Fast Ethernet 1,伺服器IP地址為192.168.1.2/30,預設網關為192.168.1.1(介面Fast Ethernet 1的IP地址)。
-
配置連線Catalyst 2948G-L3交換機和上游Catalyst 4908G-L3交換機的千兆乙太網介面的IP地址。在以下範例中,Catalyst 2948G-L3交換器上的介面Gigabit乙太網路49連線到Catalyst 4908G-L3交換器上的介面Gigabit乙太網路1。
Catalyst 2948G-L3:
2948G-L3(config)#interface GigabitEthernet 49 2948G-L3(config-if)#ip address 192.168.1.253 255.255.255.252 2948G-L3(config-if)#no shutdown 2948G-L3(config-if)#
Catalyst 4908G-L3:
4908G-L3(config)#interface GigabitEthernet 1 4908G-L3(config-if)#ip address 192.168.1.254 255.255.255.252 4908G-L3(config-if)#no shutdown 4908G-L3(config-if)#
-
在本示例中,通過Catalyst 4908G-L3上的介面Gigabit乙太網8到達Internet。使用適當的IP地址配置介面Gigabit乙太網8。
4908G-L3(config)#interface GigabitEthernet 8 4908G-L3(config-if)#ip address 192.168.255.1 255.255.255.0 4908G-L3(config-if)#no shutdown 4908G-L3(config-if)#
-
在Catalyst 2948G-L3交換機和Catalyst 4908G-L3交換機上配置路由。在本示例中,配置了IP EIGRP。在Catalyst 2948G-L3上指定被動介面,以防止在快速乙太網介面上傳送EIGRP hello。
此外,在192.168.1.0/24網路的單個通告中彙總了在快速乙太網介面上配置的30位子網,以減少上游路由器管理的路由表條目數。
Catalyst 2948G-L3:
2948G-L3(config)#router eigrp 10 2948G-L3(config-router)#network 192.168.1.0 2948G-L3(config-router)#passive-interface FastEthernet 1 2948G-L3(config-router)#passive-interface FastEthernet 2 2948G-L3(config-router)#passive-interface FastEthernet 3 !--- Output suppressed. 2948G-L3(config-router)#passive-interface FastEthernet 46 2948G-L3(config-router)#passive-interface FastEthernet 47 2948G-L3(config-router)#passive-interface FastEthernet 48 2948G-L3(config-router)#exit 2948G-L3(config)#interface GigabitEthernet 49 2948G-L3(config-if)#ip summary-address eigrp 10 192.168.1.0 255.255.255.0 2948G-L3(config-if)#
Catalyst 4908G-L3:
4908G-L3(config)#router eigrp 10 4908G-L3(config-router)#network 192.168.1.0 4908G-L3(config-router)#network 192.168.255.0 4908G-L3(config-router)#no auto-summary 4908G-L3(config-router)#
注意:如果上游路由器具有更好的備用路徑,可以返回通過Catalyst 2948G-L3快速乙太網介面訪問的IP網路,則將使用該路徑,這可能導致路由環路。 -
要在Catalyst 2948G-L3交換機上完成IP上行鏈路重定向配置,您必須配置指向上游路由器的介面IP地址的靜態路由。
在本例中,Catalyst 4908G-L3上的上游路由器介面是介面Gigabit Ethernet 1。介面Gigabit Ethernet 1的IP地址為192.168.1.254。(請注意,不能在ip route命令中指定傳出介面 — 必須指定下一跳IP地址。)
2948G-L3(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254 2948G-L3(config)#
此範例顯示設定IP上行鏈路重新導向之前和之後,從客戶1的伺服器(在介面快速乙太網路1上)追蹤到客戶48的伺服器(在介面快速乙太網路48上)的路徑。
IP上行鏈路重定向之前的traceroute:
Customer1[192.168.1.2]#traceroute 192.168.1.190 Type escape sequence to abort. Tracing the route to 192.168.1.190 1 192.168.1.1 4 msec 0 msec 4 msec 2 192.168.1.190 4 msec * 0 msec Customer1[192.168.1.2]#
如上所示,跟蹤通過Catalyst 2948G-L3上的快速乙太網1(192.168.1.1)介面傳輸到客戶48的伺服器(192.168.1.190)。
IP上行鏈路重定向後的traceroute:
Customer1[192.168.1.2]#traceroute 192.168.1.190 Type escape sequence to abort. Tracing the route to 192.168.1.190 1 192.168.1.1 4 msec 0 msec 0 msec 2 192.168.1.254 0 msec 0 msec 4 msec 3 192.168.1.253 0 msec 4 msec 0 msec 4 192.168.1.190 4 msec * 0 msec Customer1[192.168.1.2]#
如上所示,在Catalyst 2948G-L3上透過介面快速乙太網路1(192.168.1.1)的追蹤軌跡被重新導向到上游Catalyst 4908G-L3上的介面千兆位乙太網路1(192.168.1.254),被路由回到Catalyst 2948G-L3上的介面千兆位乙太網路49(192.1.253),然後路由到客戶伺服器8 (192.168.1.190)。
應用存取控制清單
如果需要,您可以在介面gig 49上應用ACL來控制客戶伺服器之間的訪問。在本例中,輸出訪問清單應用於千兆乙太網49介面,允許ICMP ping(回應和應答),但拒絕客戶伺服器之間的所有其他IP通訊。
2948G-L3(config)#access-list 101 permit icmp 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 echo 2948G-L3(config)#access-list 101 permit icmp 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 echo-reply 2948G-L3(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 2948G-L3(config)#access-list 101 permit ip any any 2948G-L3(config)#interface GigabitEthernet 49 2948G-L3(config-if)#ip access-group 101 out 2948G-L3(config-if)#
注意:某些型別的IP資料包(例如具有IP選項的資料包)是進程交換的。CPU根據Cisco IOS路由表交換資料包。進程交換資料包不會遵循IP上行鏈路重定向路徑,並且不會應用千兆乙太網介面上配置的任何ACL。
此範例顯示客戶1的伺服器如何對客戶48的伺服器執行Ping,但無法執行traceroute或開啟Telnet作業階段:
Customer1[192.168.1.2]#ping 192.168.1.190 Type escape sequence to abort. Sending 5, 100-byte ICMP Echoes to 192.168.1.190, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms Customer1[192.168.1.2]# Customer1[192.168.1.2]#traceroute 192.168.1.190 Type escape sequence to abort. Tracing the route to 192.168.1.190 1 192.168.1.1 4 msec 0 msec 4 msec 2 * Customer1[192.168.1.2]# Customer1[192.168.1.2]#telnet 192.168.1.190 Trying 192.168.1.190 ... % Connection timed out; remote host not responding Customer1[192.168.1.2]#
驗證
本節提供的資訊可用於確認您的組態是否正常運作。
-
show ip uplink-redirect — 此命令驗證IP上行鏈路重定向功能的當前配置和運行時狀態。
此範例顯示輸入ip uplink-redirect 全域組態指令之前show ip uplink-redirect 指令的輸出:
2948G-L3#show ip uplink-redirect IP Uplink Redirect Configuration: Running Configuration : no ip uplink-redirect Configuration on next reload : no ip uplink-redirect 2948G-L3#
此範例顯示輸入ip uplink-redirect指令後、重新載入Catalyst 2948G-L3交換器之前show ip uplink-redirect指令的輸出:
2948G-L3#show ip uplink-redirect IP Uplink Redirect Configuration: Running Configuration : no ip uplink-redirect Configuration on next reload : ip uplink-redirect 2948G-L3#
此範例顯示輸入ip uplink-redirect指令並重新載入Catalyst 2948G-L3交換器後show ip uplink-redirect指令的輸出:
2948G-L3#show ip uplink-redirect IP Uplink Redirect Configuration: Running Configuration : ip uplink-redirect Configuration on next reload : ip uplink-redirect 2948G-L3#
疑難排解
本節提供的資訊可用於對組態進行疑難排解。
疑難排解程序
以下是與此組態相關的疑難排解資訊。
-
如果已啟用IP上行鏈路重定向,但是沒有將第3層IP流量重定向到千兆乙太網上行鏈路介面,請確保使用ip route 0.0.0.0 0.0.0.0 next_hop_ip命令配置了靜態預設路由。
請記住,您必須配置靜態路由。通過動態路由協定通告的預設路由不足以啟用IP上行鏈路重定向功能。此外,請確保指定上游路由器的下一跳IP地址,而不是傳出介面(如GigabitEthernet 49)。
-
如果已啟用IP上行鏈路重定向功能,且您已配置靜態路由,但流量似乎沒有重定向到千兆乙太網埠,請確保您希望重定向的特定流量是第3層IP流量。IP上行鏈路重定向功能不會重定向包含非IP第3層流量(例如IPX)和第2層橋接流量的IP資料包。
-
如果在千兆乙太網埠上配置了ACL,並且未傳遞所需的流量,請驗證ACL是否配置正確。如果您不確定配置的ACL是否正在過濾所需的流量,請刪除ACL以識別其是否屬於ACL問題。
-
確保上游路由器沒有通往Catalyst 2948G-L3快速乙太網介面所到達IP子網的備用路由。否則,流量將不會從千兆乙太網上行鏈路上的上游路由器返回。這可能會導致路由環路和其他不期望的行為。
-
如果Catalyst 2948G-L3交換機配置正確但流量似乎沒有重定向,請檢查CAM表條目以檢視是否填充了遠端快速乙太網介面的IP鄰接關係。
例如,如果IP上行鏈路重定向正常工作,介面Fast Ethernet 1上的IP鄰接CAM條目不應包含介面Fast Ethernet 48(或任何其他快速乙太網介面)上的裝置的完整條目。
此範例顯示啟用IP上行鏈路重新導向功能之前,在快速乙太網路1介面的CAM硬體中安裝的IP鄰接關係(請注意,在快速乙太網路48介面上有一個針對192.168.1.190的完整鄰接專案):
2948G-L3#show epc ip-address interface fast 1 all-entries IPaddr: 192.168.1.2 MACaddr: 0000.0c8c.4e28 FastEthernet1(4) IPaddr: 192.168.1.254 MACaddr: 0030.78fe.a007 GigabitEthernet49(52) IPaddr: 192.168.1.190 MACaddr: 0006.9486.7c05 FastEthernet48(51) Total number of IP adjacency entries: 3 Missing IP adjacency entries: 0 2948G-L3#
此範例顯示啟用IP上行鏈路重新導向功能後,介面快速乙太網路1上CAM硬體中安裝的IP鄰接關係(請注意,不再有快速乙太網路鄰接專案,現在列出兩個「缺少IP鄰接專案」):
2948G-L3#show epc ip-address interface fast 1 all-entries IPaddr: 192.168.1.254 MACaddr: 0030.78fe.a007 GigabitEthernet49(52) Total number of IP adjacency entries: 1 Missing IP adjacency entries: 2 2948G-L3#
意見