在 Catalyst 2948G-L3 交换机上配置 IP 上行链路重定向
简介
本文为Catalyst 2948G-L3交换机上的IP上行链路重定向提供配置示例。启动IP上行链路重定向限制了与快速以太网接口相连的设备,使之直接互相发送第3层业务,并将其直接路由到千兆以太网接口。
开始使用前
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
先决条件
IP上行链路重定向特性在Cisco IOS®软件版本12.0(10)W5(18e)以及更高版本中得到支持,只有在Catalyst 2948G-L3交换机上。
使用的组件
本文档中的信息基于以下软件和硬件版本。
-
运行Cisco IOS 12.0(10)W5(18e) 的Catalyst 2948G-L3
-
运行Cisco IOS 12.0(10)W5(18e)的Catalyst 4908G-L3
-
作为模拟客户服务器终端站配置的两个路由器 (无特定的硬件或IOS)。
注意:配置为终端站的两台路由器没有ip路由、一个接口上的IP地址和ip default-gateway ip_addr语句。
本文提出的配置基于实验室环境中的设备。本文档中使用的所有设备最初均采用原始(默认)配置。所有设备上的配置用 write erase 命令清除并进行了重新装载,以确保它们为默认配置。如果您是在真实网络上操作,请确保您在使用任何命令前已经了解其潜在影响。
背景理论
IP上行链路重定向特性的设计旨在允许服务提供商在Catalyst 2948G-L3交换机上向不同客户提供快速以太网接口。这一特性还限制客户直接访问为其它客户分配的接口。关于何时可以采用这个特性的例子是:如果多个客户将web服务器与快速以太网接口相连,而这些服务器相互之间不需要通信。在这种网络设计中,大多数业务将在通过千兆以太网接口相连的互联网和与快速以太网接口相连的单个共置web服务器之间传输。
在Catalyst 2948G-L3交换机上配置IP上行链路重定向时,将来自快速以太网接口上主机的业务重定向到一个千兆以太网接口, 而不是在2个快速以太网接口之间直接路由业务。这一特性完成重定向靠的是不向快速以太网内容寻址存储器(CAM)表中填写远程快速以太网接口的IP相邻设备。因此,在CAM表中并不添加在快速以太网接口上配置或识别到的网络路由和相邻设备,而为达到路由目的,会在千兆以太网接口中添加这些路由和相邻设备。
注意:IP上行链路重定向功能仅影响IP第3层交换流量。它对IP组播或IPX等第2层交换业务或非IP第3层交换业务没有影响。这项业务将仍然在快速以太网接口之间直接桥接或路由。
如果需要制止在连接快速以太网接口的主机之间的某些或全部通信,您可以在千兆以太网上应用访问控制列表(ALC)用来实施所需的流量过滤。这是因为Catalyst 2948G-L3的快速以太网接口不支持ACL。防止主机之间通信的唯一方法是使用IP上行链路重定向功能将流量重定向到千兆以太网接口,并应用ACL来过滤流量。
网络图
该网络图显示典型的服务提供商网络拓扑结构,其中客户将其Web服务器与不同的快速以太网接口相连。
在这种拓扑结构中,服务提供商构建了采用30位子网掩码的子网192.168.1.0/24。在每个子网络中,向2948G-L3上的快速以太网接口分配一个主机地址,并将另一个IP地址分配给客户的服务器。客户1的服务器位于子网192.168.1.0/30中。快速以太网1的IP地址为192.168.1.1/30,客户1的服务器的IP地址为192.168.1.2/30。
注意:这只是一个示例。另一种可能的拓扑结构可能有与每个快速以太网接口相连的多个用户设备(采用较大的IP子网络,如26位或24位子网掩码)。
配置 IP 上行链路重定向示例
任务
本部分提供有关如何配置本文档所述功能的信息。以下各部分介绍在Catalyst 2948G-L3交换机上配置IP上行链路重定向时所用的一般拓扑结构和步骤。
逐步指导
在该拓扑结构中配置IP 上行重定向的步骤如下:
-
在Catalyst 2948G-L3交换机上启动IP上行链路重定向,并重新装载交换机。在启动或禁用IP上行链路重定向之后,您必须重新装载交换机。
2948G-L3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. 2948G-L3(config)#ip uplink-redirect Please save configuration and reload for this command to take effect 2948G-L3(config)#^Z 2948G-L3#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] 2948G-L3#reload Proceed with reload? [confirm] ROMMON: Cold Reset frame @0x00000000 ROMMON: Reading reset reason register ROMMON: Valid NVRAM config !--- Output suppressed. Press RETURN to get started!
-
检验发出 show ip uplink-redirect 命令后IP上行链路重定向已启动:
2948G-L3#show ip uplink-redirect IP Uplink Redirect Configuration: Running Configuration : ip uplink-redirect Configuration on next reload : ip uplink-redirect 2948G-L3#
-
配置快速以太网接口。将每个快速以太网接口分配给采用30位子网掩码的不同IP子网络(如在本例中,如果您采用全零子网,要确保输入 ip subnet-zero 全局配置命令)。
2948G-L3(config)#ip subnet-zero 2948G-L3(config)#interface FastEthernet 1 2948G-L3(config-if)#ip address 192.168.1.1 255.255.255.252 2948G-L3(config-if)#no shutdown 2948G-L3(config-if)#exit 2948G-L3(config)#interface FastEthernet 2 2948G-L3(config-if)#ip address 192.168.1.5 255.255.255.252 2948G-L3(config-if)#no shutdown 2948G-L3(config-if)#exit !--- Output suppressed. 2948G-L3(config)#interface FastEthernet 48 2948G-L3(config-if)#ip address 192.168.1.189 255.255.255.252 2948G-L3(config-if)#no shutdown 2948G-L3(config-if)#
-
在适当的子网络中为每个服务器配置剩余的主机IP地址,并将相应的快速以太网IP地址用作服务器的默认网关。
例如,1号客户的服务器与1号快速以太网接口相连,服务器IP地址为192.168.1.2/30 ,默认网关为192.168.1.1 (1号快速以太网接口的IP地址)。
-
配置千兆以太网接口的IP地址;这些接口将Catalyst 2948G-L3交换机与上行Catalyst 4908G-L3交换机相连。在本例中,Catalyst 2948G-L3交换机上的49号千兆以太网接口与Catalyst 4908G-L3交换机上的1号千兆以太网接口相连。
Catalyst 2948G-L3:
2948G-L3(config)#interface GigabitEthernet 49 2948G-L3(config-if)#ip address 192.168.1.253 255.255.255.252 2948G-L3(config-if)#no shutdown 2948G-L3(config-if)#
Catalyst 4908G-L3:
4908G-L3(config)#interface GigabitEthernet 1 4908G-L3(config-if)#ip address 192.168.1.254 255.255.255.252 4908G-L3(config-if)#no shutdown 4908G-L3(config-if)#
-
在本例中,通过Catalyst 4908G-L3上的千兆以太网8接口访问Internet。请为千兆以太网8接口配置适当的IP地址。
4908G-L3(config)#interface GigabitEthernet 8 4908G-L3(config-if)#ip address 192.168.255.1 255.255.255.0 4908G-L3(config-if)#no shutdown 4908G-L3(config-if)#
-
在Catalyst 2948G-L3交换机和Catalyst 4908G-L3交换机上配置路由:在本例中, 配置IP EIGRP。在本例中,配置了IP EIGRP。在Catalyst 2948G-L3指定无源接口,以防止将EIGRP问候信息发往快速以太网接口。
此外,在192.168.1.0/24网络的一个通告中总结的快速以太网接口上配置30bit的子网,以减少上游路由器管理的路由表条目数量。
Catalyst 2948G-L3:
2948G-L3(config)#router eigrp 10 2948G-L3(config-router)#network 192.168.1.0 2948G-L3(config-router)#passive-interface FastEthernet 1 2948G-L3(config-router)#passive-interface FastEthernet 2 2948G-L3(config-router)#passive-interface FastEthernet 3 !--- Output suppressed. 2948G-L3(config-router)#passive-interface FastEthernet 46 2948G-L3(config-router)#passive-interface FastEthernet 47 2948G-L3(config-router)#passive-interface FastEthernet 48 2948G-L3(config-router)#exit 2948G-L3(config)#interface GigabitEthernet 49 2948G-L3(config-if)#ip summary-address eigrp 10 192.168.1.0 255.255.255.0 2948G-L3(config-if)#
Catalyst 4908G-L3:
4908G-L3(config)#router eigrp 10 4908G-L3(config-router)#network 192.168.1.0 4908G-L3(config-router)#network 192.168.255.0 4908G-L3(config-router)#no auto-summary 4908G-L3(config-router)#
注意:如果上游路由器有更好的备用路径返回通过Catalyst 2948G-L3快速以太网接口到达的IP网络,则将使用该路径,这可能导致路由环路。 -
为了在Catalyst 2948G-L3交换机上完成IP上行链路重定向配置,您必须配置指向上游路由器的接口IP地址的静态路由。
在本例中,Catalyst 4908G-L3上的上游路由器接口是接口千兆以太网1。接口千兆以太网1的IP地址为192.168.1.254。(请注意,您不能在ip route命令中指定传出接口 — 您必须指定下一跳IP地址。)
2948G-L3(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254 2948G-L3(config)#
本例显示在配置IP上行链路重定向之前和之后从1号客户服务器(在1号快速以太网接口上)的跟踪路由(traceroute)采用的是到48号客户服务器(在1号快速以太网接口上)的通道。
IP上行链路重定向之前的traceroute:
Customer1[192.168.1.2]#traceroute 192.168.1.190 Type escape sequence to abort. Tracing the route to 192.168.1.190 1 192.168.1.1 4 msec 0 msec 4 msec 2 192.168.1.190 4 msec * 0 msec Customer1[192.168.1.2]#
如上所示,Catalyst 2948G-L3上跟踪程序转给1号快速以太网接口(192.168.1.1)送达48号客户的服务器(192.168.1.190)。
IP上行链路重定向之后的traceroute:
Customer1[192.168.1.2]#traceroute 192.168.1.190 Type escape sequence to abort. Tracing the route to 192.168.1.190 1 192.168.1.1 4 msec 0 msec 0 msec 2 192.168.1.254 0 msec 0 msec 4 msec 3 192.168.1.253 0 msec 4 msec 0 msec 4 192.168.1.190 4 msec * 0 msec Customer1[192.168.1.2]#
如上所示, 跟踪程序通过Catalyst 2948G-L3上的1号快速以太网接口(192.168.1.1) 重定向到上行Catalyst 4908G-L3上的1号千兆以太网接口(192.168.1.254), 然后路由回Catalyst 2948G-L3上的49号千兆以太网接口(192.168.1.253),最终到达48号客户的服务器(192.168.1.190)。
应用访问控制列表
需要时,您可以在接口gig 49上应用ALC来控制客户服务器之间的访问。在本例中,在49号千兆以太网接口上采用输出访问列表,以便允许ICMP PING(echo与echo-应答),但是拒绝客户服务器之间的所有其它IP通信。
2948G-L3(config)#access-list 101 permit icmp 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 echo 2948G-L3(config)#access-list 101 permit icmp 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 echo-reply 2948G-L3(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 2948G-L3(config)#access-list 101 permit ip any any 2948G-L3(config)#interface GigabitEthernet 49 2948G-L3(config-if)#ip access-group 101 out 2948G-L3(config-if)#
注意:某些类型的IP数据包(例如带有IP选项的数据包)是进程交换的。CPU根据Cisco IOS路由表交换数据包。程序交换数据包将不采用IP上行链路重定向通道,而且不应用在千兆以太网接口上配置的任何ACL。
本例表明1号客户的服务器如何PING 48号客户的服务器,但是不能Traceroute或打开Telnet会话:
Customer1[192.168.1.2]#ping 192.168.1.190 Type escape sequence to abort. Sending 5, 100-byte ICMP Echoes to 192.168.1.190, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms Customer1[192.168.1.2]# Customer1[192.168.1.2]#traceroute 192.168.1.190 Type escape sequence to abort. Tracing the route to 192.168.1.190 1 192.168.1.1 4 msec 0 msec 4 msec 2 * Customer1[192.168.1.2]# Customer1[192.168.1.2]#telnet 192.168.1.190 Trying 192.168.1.190 ... % Connection timed out; remote host not responding Customer1[192.168.1.2]#
验证
本部分所提供的信息可用于确认您的配置是否正常工作。
-
show ip uplink-redirect - 这项命令检验当前的配置以及IP uplink重定向特性的运行时间状态。
本例显示在您输入 ip uplink-redirect 全局配置命令之前 show ip uplink-redirect 命令的输出:
2948G-L3#show ip uplink-redirect IP Uplink Redirect Configuration: Running Configuration : no ip uplink-redirect Configuration on next reload : no ip uplink-redirect 2948G-L3#
本例显示在您输入ip uplink-redirect 命令,但在重新装载Catalyst 2948G-L3交换机之前 show ip uplink-redirect 命令的输出:
2948G-L3#show ip uplink-redirect IP Uplink Redirect Configuration: Running Configuration : no ip uplink-redirect Configuration on next reload : ip uplink-redirect 2948G-L3#
本例显示在您输入ip uplink-redirect 命令并重新装载Catalyst 2948G-L3交换机之后show ip uplink-redirect 命令的输出:
2948G-L3#show ip uplink-redirect IP Uplink Redirect Configuration: Running Configuration : ip uplink-redirect Configuration on next reload : ip uplink-redirect 2948G-L3#
故障排除
本部分提供的信息可用于对配置进行故障排除。
故障排除步骤
下面提供与本配置有关的故障排除信息。
-
如果已启动IP上行链路重定向,但是第3层IP业务并没有重定向到千兆以太网上行链路接口,应确保您已使用 ip route 0.0.0.0 0.0.0.0 next_hop_ip 命令配置了静态默认路由。
请记住,您必须配置静态路由。通过动态路由协议通告的缺省路由不足以启动IP上行链路重定向功能。此外,应确保您已规定了上游路由器的 下一跳 IP地址而不是流出接口(例如49号千兆以太网)。
-
如果已启动IP上行链路重定向特性而且您已配置了静态路由,但是看来业务并没有被重定向到千兆以太网端口,要确保您预期重定向的特定业务是第3层IP业务。IP上行链路重定向特性不会重定向非IP第3层流量(例如IPX)和第2层桥接流量的IP数据包。
-
如果在千兆以太网端口上配置了ACL,但您不能发送所需的数据流, 应检验ACL的配置是否正确。如果您不能肯定配置的ACL是否在过滤所需的业务,应清除ACL以确定是不是ACL问题。
-
应确保上行路由器并没有通过Catalyst 2948G-L3快速以太网接口到达IP子网络的备用路由。否则,业务将不会从千兆以太网上行链路上的上行路由器返回。这可能会导致路由环路及其他负面的情况。
-
如果Catalyst 2948G-L3交换机看来正确,但流量似乎并没有被重定向,应检查CAM表条目,以了解是否添加了远程快速以太网接口的IP邻接设备。
例如,如果IP上行链路重定向正常运行, 则1号快速以太网接口上的IP邻接CAM条目 不 包括48号快速以太网接口(或任何其它快速以太网接口)上设备的完整条目。
本例显示在启动IP上行链路重定向特性之前在1号快速以太网接口上的CAN硬件中安装的IP相邻设备(请注意,在48号快速以太网接口上有192.168.1.190的完整相邻设备条目):
2948G-L3#show epc ip-address interface fast 1 all-entries IPaddr: 192.168.1.2 MACaddr: 0000.0c8c.4e28 FastEthernet1(4) IPaddr: 192.168.1.254 MACaddr: 0030.78fe.a007 GigabitEthernet49(52) IPaddr: 192.168.1.190 MACaddr: 0006.9486.7c05 FastEthernet48(51) Total number of IP adjacency entries: 3 Missing IP adjacency entries: 0 2948G-L3#
本例显示在启动IP上行链路重定向之后在1号快速以太网接口上的CAM硬件中安装的IP相邻设备(请注意不再存在任何快速以太网相邻设备条目,而且现在列出2个丢失的IP相邻设备条目):
2948G-L3#show epc ip-address interface fast 1 all-entries IPaddr: 192.168.1.254 MACaddr: 0030.78fe.a007 GigabitEthernet49(52) Total number of IP adjacency entries: 1 Missing IP adjacency entries: 2 2948G-L3#
反馈