介绍
本文为Catalyst 2948G-L3交换机上的IP上行链路重定向提供实例配置。启动IP上行链路重定向限制了与快速以太网接口相连的设备,使之直接互相发送第3层业务,并将其直接路由到千兆以太网接口。
在您开始之前
规则
欲知文件规则方面的更详尽信息,请参阅 《Cisco技术提示规则》。
前提条件
在Cisco IOS (r)软件版本12.0(10)W5(18e)以及更高版本中,只有在Catalyst 2948G-L3交换机上支持IP上行链路重定向特性。
所用组件
本文的信息基于下述软件和硬件版本:
-
运行Cisco IOS 12.0(10)W5(18e) 的Catalyst 2948G-L3
-
运行Cisco IOS 12.0(10)W5(18e)的Catalyst 4908G-L3
-
作为模拟客户服务器终端站配置的两个路由器 (无特定的软件或IOS)。
注:?/B>作为终端站配置的两个路由器在一个接口有IP地址 no ip routing, 和 ip default-gateway ip_addr 语句。
本文提出的配置基于实验室环境中的设备。本文所用的所有设备均采用清除(缺省)配置。所有设备上的配置用 write erase 命令清除并进行了重新装载,以确保它们为缺省配置。假如您在正在运行的网络中进行操作,应确保您在使用任何命令之前已了解它们的潜在影响。.
背景理论
IP上行链路重定向特性的设计旨在答应服务提供商在Catalyst 2948G-L3交换机上向不同客户提供快速以太网接口。这一特性还限制客户直接访问为其它客户分配的接口。关于何时可以采用这个特性的例子是:假如多个客户将web服务器与快速以太网接口相连,而这些服务器相互之间不需要通信。在这种网络设计中,大多数业务将在通过千兆以太网接口相连的互联网和与快速以太网接口相连的单个共置web服务器之间传输。
在Catalyst 2948G-L3交换机上配置IP上行链路重定向时,将来自快速以太网接口上主机的业务重定向到一个千兆以太网接口, 而不是在2个快速以太网接口之间直接路由业务。这一特性完成重定向靠的是并不向快速以太网内容寻址存储器(CAM)表中填写远程快速以太网接口的IP相邻设备。因此,在CAM表中并不添加在快速以太网接口上配置与识别到的网络路由和相邻设备,而在千兆以太网接口中为达到路由目的而添加这些路由和相邻设备。
注:?/B>IP上行链路重定向特性仅仅影响IP第3层交换业务。它对IP组播或IPX等第2层交换业务或非IP第3层交换业务没有影响。这项业务将仍然在快速以太网接口之间直接桥接或路由。
假如需要制止在连接快速以太网接口的主机之间的某些或全部通信,您可以在千兆以太网上应用访问控制列表(ALC)用来实施所需的业务过滤。这是因为Catalyst 2948G-L3的快速以太网接口并不支持ACL。 制止主机之间通信的唯一途径是采用IP上行链路重定向特性将业务重定向到千兆以太网接口并将ACL用于过滤业务。
网络示意图
网络示意图显示一般的服务提供商网络拓扑结构,其中客户将其Web服务器与不同的快速以太网接口相连。
在这种拓扑结构中,服务提供商构建了采用30位子网掩码的子网192.168.1.0/24。在每个子网络中,向2948G-L3上的快速以太网接口分配一个主机地址,并将另一个IP地址分配给客户的服务器。1号客户的服务器在子网络192.168.1.0/30中。给快速以太网分配IP地址192.168.1.1/30 ,并给1号客户的服务器分配IP地址192.168.1.2/30。
注:?/B>这只是一个例子。另一种可能的拓扑结构可能有与每个快速以太网接口相连的多个用户设备(采用较大的IP子网络,如26位或24位子网掩码)。
配置IP上行链路重定向实例
任务
在本节中,向您提供如何配置本文所述特性方面的信息。以下各部分介绍在Catalyst 2948G-L3交换机上配置IP上行链路重定向时所用的一般拓扑结构和步骤。
具体操作步骤
在这种拓扑结构中配置IP上行重定向的步骤如下:
在Catalyst 2948G-L3交换机上启动IP上行链路重定向,并重新装载交换机。在启动或禁用IP上行链路重定向之后,您必须重新装载交换机。
2948G-L3#configure terminal
Enter configuration commands, one per line.; End with CNTL/Z.
2948G-L3(config)#ip uplink-redirect
Please save configuration and reload for this command to take effect
2948G-L3(config)#^Z
2948G-L3#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
2948G-L3#reload
Proceed with reload? [confirm]
ROMMON: Cold Reset frame @0x00000000
ROMMON: Reading reset reason register
ROMMON: Valid NVRAM config
!--- Output suppressed.
Press RETURN to get started!
检验发出 show ip uplink-redirect 命令后IP上行链路重定向已启动:
2948G-L3#show ip uplink-redirect
IP Uplink Redirect Configuration:
Running Configuration : ip uplink-redirect;
Configuration on next reload : ip uplink-redirect
2948G-L3#
配置快速以太网接口。将每个快速以太网接口分配给采用30位子网掩码的不同IP子网络(如在本例中,假如您采用子网络零,要确保输入 ip subnet-zero 全局配置命令)。
2948G-L3(config)#ip subnet-zero
2948G-L3(config)#interface FastEthernet 1
2948G-L3(config-if)#ip address 192.168.1.1 255.255.255.252
2948G-L3(config-if)#no shutdown
2948G-L3(config-if)#exit
2948G-L3(config)#interface FastEthernet 2
2948G-L3(config-if)#ip address 192.168.1.5 255.255.255.252
2948G-L3(config-if)#no shutdown
2948G-L3(config-if)#exit
!--- Output suppressed.
2948G-L3(config)#interface FastEthernet 48
2948G-L3(config-if)#ip address 192.168.1.189 255.255.255.252
2948G-L3(config-if)#no shutdown
2948G-L3(config-if)#
在适当的子网络中为每个服务器配置剩余的主机IP地址,并将相应的快速以太网IP地址用作服务器的缺省网关。
例如,1号客户的服务器与1号快速以太网接口相连,服务器IP地址为192.168.1.2/30 ,缺省网关为192.168.1.1 (1号快速以太网接口的IP地址)。
配置千兆以太网接口的IP地址;这些接口将Catalyst 2948G-L3交换机与上行Catalyst 4908G-L3交换机相连。 在本例中,Catalyst 2948G-L3交换机上的49号千兆以太网接口与Catalyst 4908G-L3交换机上的1号千兆以太网接口相连。
Catalyst 2948G-L3:
2948G-L3(config)#interface GigabitEthernet 49
2948G-L3(config-if)#ip address 192.168.1.253 255.255.255.252
2948G-L3(config-if)#no shutdown
2948G-L3(config-if)#
Catalyst 4908G-L3:
4908G-L3(config)#interface GigabitEthernet 1
4908G-L3(config-if)#ip address 192.168.1.254 255.255.255.252
4908G-L3(config-if)#no shutdown
4908G-L3(config-if)#
在本例中,通过Catalyst 4908G-L3上的8号千兆以太网接口连接互联网。用适当IP地址配置8号千兆以太网接口。
4908G-L3(config)#interface GigabitEthernet 8
4908G-L3(config-if)#ip address 192.168.255.1 255.255.255.0
4908G-L3(config-if)#no shutdown
4908G-L3(config-if)#
在Catalyst 2948G-L3交换机和Catalyst 4908G-L3交换机上配置路由:在本例中, 配置IP EIGRP。在Catalyst 2948G-L3指定无源接口,以防止将EIGRP问候信息发往快速以太网接口。
此外,在192.168.1.0/24网络的一个通告中总结在快速以太网接口上配置的30位子网络,以减少上行路由器治理的路由表输入条目数量。
Catalyst 2948G-L3:
2948G-L3(config)#router eigrp 10
2948G-L3(config-router)#network 192.168.1.0
2948G-L3(config-router)#passive-interface FastEthernet 1
2948G-L3(config-router)#passive-interface FastEthernet 2
2948G-L3(config-router)#passive-interface FastEthernet 3
!--- Output suppressed.
2948G-L3(config-router)#passive-interface FastEthernet 46
2948G-L3(config-router)#passive-interface FastEthernet 47
2948G-L3(config-router)#passive-interface FastEthernet 48
2948G-L3(config-router)#exit
2948G-L3(config)#interface GigabitEthernet 49
2948G-L3(config-if)#ip summary-address eigrp 10 192.168.1.0 255.255.255.0
2948G-L3(config-if)#
Catalyst 4908G-L3:
4908G-L3(config)#router eigrp 10
4908G-L3(config-router)#network 192.168.1.0
4908G-L3(config-router)#network 192.168.255.0
4908G-L3(config-router)#no auto-summary
4908G-L3(config-router)#
注重:?/B>假如上行路由器具有通过Catalyst 2948G-L3快速以太网接口返回IP网络的更好通道,就采用该通道,该通道可产生路由环路。
为了在Catalyst 2948G-L3交换机上完成IP上行链路重定向配置,您必须配置指向上行路由器的接口IP地址的静态路由。
在本例中,Catalyst 4908G-L3上的上行路由器接口是1号千兆以太网接口。1号千兆以太网接口的IP地址为192.168.1.254。(请注重:在 ip route 命令中,您不能指定出局接口-您必须指定下一跳IP地址。)
2948G-L3(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254
2948G-L3(config)#
本例显示在配置IP上行链路重定向之前和之后从1号客户服务器(在1号快速以太网接口上)的跟踪路由(traceroute)采用的是到48号客户服务器(在1号快速以太网接口上)的通道。
IP上行链路重定向之前的跟踪路由:
Customer1[192.168.1.2]#traceroute 192.168.1.190
Type escape sequence to abort.
Tracing the route to 192.168.1.190
1 192.168.1.1 4 msec 0 msec 4 msec
2 192.168.1.190 4 msec *; 0 msec
Customer1[192.168.1.2]#
如上所示,Catalyst 2948G-L3上跟踪程序转给1号快速以太网接口(192.168.1.1)送达48号客户的服务器(192.168.1.190)。
在IP上行链路重定向之后的路由跟踪程序:
Customer1[192.168.1.2]#traceroute 192.168.1.190
Type escape sequence to abort.
Tracing the route to 192.168.1.190
1 192.168.1.1 4 msec 0 msec 0 msec
2 192.168.1.254 0 msec 0 msec 4 msec
3 192.168.1.253 0 msec 4 msec 0 msec
4 192.168.1.190 4 msec *; 0 msec
Customer1[192.168.1.2]#
如上所示, 跟踪程序通过Catalyst 2948G-L3上的1号快速以太网接口(192.168.1.1) 重定向到上行Catalyst 4908G-L3上的1号千兆以太网接口(192.168.1.254), 然后路由回Catalyst 2948G-L3上的49号千兆以太网接口(192.168.1.253),最终到达48号客户的服务器(192.168.1.190)。
应用访问控制列表
需要时,您可以在接口gig 49上应用ALC来控制客户服务器之间的访问。在本例中,在49号千兆以太网接口上采用输出访问列表,以便答应ICMP PING(回波与回波应答),但是拒绝客户服务器之间的所有其它IP通信。
2948G-L3(config)#Access-list 101 permit icmp 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 echo
2948G-L3(config)#access-list 101 permit icmp 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 echo-reply
2948G-L3(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255
2948G-L3(config)#access-list 101 permit ip any any
2948G-L3(config)#interface GigabitEthernet 49
2948G-L3(config-if)#ip access-group 101 out
2948G-L3(config-if)#
注重:?/B>某些类型的IP数据包,例如带有IP选项的数据包是程序交换的。CPU根据Cisco路由表交换数据包。程序交换数据包将不采用IP上行链路重定向通道,而且不应用在千兆以太网接口上配置的任何ACL。
本例表明1号客户的服务器如何PING 48号客户的服务器,但是不能运行跟踪路由程序或打开Telnet会话:
Customer1[192.168.1.2]#ping 192.168.1.190
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echoes to 192.168.1.190, timeout is 2 seconds:
!!!!!
SUCcess rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
Customer1[192.168.1.2]#
Customer1[192.168.1.2]#traceroute 192.168.1.190
Type escape sequence to abort.
Tracing the route to 192.168.1.190
1 192.168.1.1 4 msec 0 msec 4 msec
2; *
Customer1[192.168.1.2]#
Customer1[192.168.1.2]#telnet 192.168.1.190
Trying 192.168.1.190 ...
% Connection timed out; remote host not responding
Customer1[192.168.1.2]#
检验
本节提供您能用来确认您的配置是否正常运行的信息。
show ip uplink-redirect - 这项命令检验当前的配置以及IP上行链路重定向特性的运行时间状态。
本例显示在您输入 show ip uplink-redirect 全局配置命令之前 ip uplink-redirect 命令的输出:
2948G-L3#show ip uplink-redirect
IP Uplink Redirect Configuration:
Running Configuration : no ip uplink-redirect;
Configuration on next reload : no ip uplink-redirect;
2948G-L3#
本例显示在您输入 show ip uplink-redirect 命令,但在重新装载Catalyst 2948G-L3交换机之前 ip uplink-redirect 命令的输出:
2948G-L3#show ip uplink-redirect
IP Uplink Redirect Configuration:
Running Configuration : no ip uplink-redirect
Configuration on next reload : ip uplink-redirect;
2948G-L3#
本例显示在您输入 show ip uplink-redirect 命令并重新装载Catalyst 2948G-L3交换机之后 ip uplink-redirect 命令的输出:
2948G-L3#show ip uplink-redirect
IP Uplink Redirect Configuration:
Running Configuration : ip uplink-redirect;
Configuration on next reload : ip uplink-redirect;
2948G-L3#
故障排除
本节提供可帮助您排除您的配置故障的信息。
故障排除程序
下面提供与本配置有关的故障排除信息。
假如已启动IP上行重定向,但是第3层IP业务并没有重定向到千兆以太网上行链路接口,应确保您已使用 ip route 0.0.0.0 0.0.0.0 next_hop_ip 命令配置了静态缺省路由。
请记住,您必须配置静态路由。 通过动态路由协议通告的缺省路由不足以启动IP上行链路重定向功能。 此外,应确保您已规定了上行路由器的 下一跳 IP地址而不是出局接口(例如49号千兆以太网)。
假如已启动IP上行链路重定向特性而且您已配置了静态路由,但是看来业务并没有被重定向到千兆以太网端口,要确保您预期重定向的特定业务是第3层IP业务。IP上行链路重定向特性不会重定向非IP第3层业务(例如IPX)和第2层桥接业务的IP数据包。
假如在千兆以太网端口上配置了ACL,但您不能发送所需的业务, 应检验ACL的配置是否正确。假如您不能肯定配置的ACL是否在过滤所需的业务,应清除ACL以确定是不是ACL问题。
应确保上行路由器并没有通过Catalyst 2948G-L3快速以太网接口到达IP子网络的替代路由。否则,业务将不会从千兆以太网上行链路上的上行路由器返回。这可能会导致路由环路及其他不利的行为。
假如Catalyst 2948G-L3交换机看来正确,但业务似乎并没有被重定向,应检查CAM表条目,以了解是否添加了远程以太网接口的IP相邻设备。
例如,假如IP上行链路重定向正常运行, 则1号快速以太网接口上的IP邻接CAM条目 不 包括48号快速以太网接口(或任何其它快速以太网接口)上设备的完整条目。
本例显示在启动IP上行链路重定向特性之前在1号快速以太网接口上的CAN硬件中安装的IP相邻设备(请注重,在48号快速以太网接口上有192.168.1.190的完整相邻设备条目):
2948G-L3#show epc ip-address interface fast 1 all-entries
IPaddr: 192.168.1.2;;MACaddr: 0000.0c8c.4e28; FastEthernet1(4)
IPaddr: 192.168.1.254MACaddr: 0030.78fe.a007; GigabitEthernet49(52)
IPaddr: 192.168.1.190MACaddr: 0006.9486.7c05; FastEthernet48(51)
Total number of IP adjacency entries: 3
Missing IP adjacency entries: 0
2948G-L3#
本例显示在启动IP上行链路重定向之后在1号快速以太网接口上的CAM硬件中安装的IP相邻设备(请注重不再存在任何快速以太网相邻设备条目,而且现在列出2个丢失的IP相邻设备条目):
2948G-L3#show epc ip-address interface fast 1 all-entries;
IPaddr: 192.168.1.254MACaddr: 0030.78fe.a007; GigabitEthernet49(52);
Total number of IP adjacency entries: 1
Missing IP adjacency entries: 2
2948G-L3#