ポリシーベースのルーティングを使用したシスコのデュアルWAN接続
オリジナル: pierky.wordpress.com/2009/03/28/dual-wan-connection-on-cisco-with-policy-based-routing-pbr
私が記事を変更したのは、 元の記事に記載されている一連のアクションでは、肯定的な結果は得られませんでした。
この記事は、ポリシーベースのルーティングが何であるかをまだ知らない人にとって役立つと思います。 Cisco.comの公式ドキュメントを読むことで、このトピックの学習を開始できますが、個人的には、実装の具体例とともに新しいテクノロジーの研究を開始する方がはるかに便利です。 これにより、あなたが何を扱っているのか、そして今後これをどのように使用できるのかをすぐに理解できます。
私たちが持っています:
- プロバイダーへの2つのWAN接続を備えたCiscoルーター。
- 「ブロンズ」リンク-狭チャネル、サブネットマスク/ 30。
- 「ゴールデン」リンクは幅の広いチャネルであり、必要に応じて、マスク付きのポイントツーポイントサブネット/ 30とマスク付きのサブネット/ 24があります。
ブロンズリンクを介してトラフィックを1.1.1.0/24サブネットに送信できないことに注意してください。
目的:
- LANユーザーにはインターネットアクセスが必要です。
- 私たちにとって重要なトラフィックは、「ゴールデン」リンクを通じて送信する必要があります。
- サーバープラットフォームは、「白い」IPアドレスを介して外部からアクセスできる必要があります。
簡単にするために、この例では、Telnetが重要なトラフィックになります。 実際には、RTP、データベーストラフィックなどです。
このトポロジでは、次の5つの方向にトラフィックの移動があります。
- LAN->クリティカルサービス[ゴールデンリンク]
- LAN-> WAN [ブロンズリンク]
- LAN->サーバーファーム
- ServerFarm-> WAN [ゴールデンリンク]
- ServerFarm-> LAN
LANからWANまたはクリティカルサービスへのトラフィックはNATを介して変換する必要がありますが、トラフィックは最初にルーティングされ、次にNATのみがルーティングされることに注意してください。 それではまず、パケットルーティングの構成に注目しましょう。 後でNATセットアップに戻ります。
通常のルーティングは、宛先アドレスに基づいてパケットを転送するだけで、第4レベルの情報(OSIモデルトランスポートレイヤー)や送信元IPアドレスを気にしません。 この場合、宛先のTCPポート番号など、他のパラメーターに基づいてルーティングを編成するにはどうすればよいですか? この機能を実装するために、ポリシーベースのルーティングが作成されました。 PBRは、送信元アドレス、宛先ポート、QoSラベルなどの多くのパラメーターに基づいて決定を下すことができます。
設定を始めましょう。
まず、ルーターの初期構成を次に示します。
interface Serial2/0
description Bronze
ip address 2.2.2.2 255.255.255.252
!
interface Serial2/1
description Gold
ip address 3.3.3.2 255.255.255.252
!
interface FastEthernet0/0
description LAN
ip address 192.168.0.1 255.255.255.0
!
interface FastEthernet1/0
description ServerFarm
ip address 1.1.1.1 255.255.255.0
単にIPアドレスをインターフェイスに割り当て、それらを「上げる」だけです(シャットダウンなし)。 シリアルインターフェイスの同期はISPによって発行されます。
「ブロンズ」リンクを介してルーター(GW)のデフォルトルートを設定します。
ip route 0.0.0.0 0.0.0.0 Serial2/0
それでは、ポリシーベースルーティング(PBR)の展開を始めましょう。
どのトラフィックが優先されるかを決定する拡張名前付きアクセス制御リスト(ACL)を作成します。
ip access-list extended GoldServices
deny ip any 1.1.1.0 0.0.0.255 // IP 1.1.1.0/24
permit tcp any any eq telnet // TCP 23(Telnet)
deny ip any any // IP
このアクセスリストは、サーバープラットフォームではないTelnetトラフィックを割り当てるために使用されます。
興味のあるトラフィック(外部ネットワークへのtelnet)をインターセプトし、必要なインターフェース(「ゴールデン」リンク)に誘導するルートマップ(route-map)を定義します。
route-map PBR_LAN permit 10
match ip address GoldServices //
set interface Serial2/1 Serial2/0 //
LANセグメントに接続されたインターフェイスに作成されたカードを適用します。
interface FastEthernet0/0
description LAN
ip policy route-map PBR_LAN //""
パケットがどのルートマップにも適合しない場合、標準ルールに基づいて単純にルーティングされます(この場合、「ブロンズ」リンクに送信されます)。
set interface Serial2 / 1 Serial2 / 0コマンドで2つのインターフェイスを指定したことに注意してください-この場合、Serial2 / 1を介したチャネルに障害が発生すると、ルーターは重要なトラフィックを転送するためにSerial2 / 0インターフェイスの使用を開始します。 これにより、重要なトラフィックに関する冗長性とフォールトトレランスが得られます。
優先順位ではないトラフィックのバックアップを提供することが可能です(「ブロンズ」リンクを通過するトラフィック)。
ip route 0.0.0.0 0.0.0.0 Serial2/1 10 // 10, ""
サーバープラットフォームと外部ネットワーク間のトラフィックについても同じ手順を繰り返します。
ip access-list extended ServerFarm-To-WAN
deny ip 1.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255 // IP 1.1.1.0/24 192.168.0.0/24
permit ip any any // IP
!
route-map PBR_ServerFarm permit 10
match ip address ServerFarm-To-WAN //
set interface Serial2/1 //
!
interface FastEthernet1/0
description ServerFarm
ip policy route-map PBR_ServerFarm //""
これらのコマンドを使用すると、「ゴールデン」リンクのみを介してサーバーから外部ノードにトラフィックを誘導できます。 サーバーからローカルユーザーに向かうトラフィックは、外部チャネルには到達しません。 残念ながら、フォールトトレランスを確保するために2番目のインターフェイスを追加することはできません。 プロバイダーは、その「装甲」リンク上のサブネット1.1.1.0/24からのトラフィックを受け入れません。
これでルーティングのセットアップが完了しました。 NATをセットアップしましょう。
1つの内部インターフェイス(内部)と2つの外部インターフェイス(外部)があります。
interface FastEthernet0/0
description LAN
ip nat inside
!
interface Serial2/0
description Bronze
ip nat outside
!
interface Serial2/1
description Gold
ip nat outside
「ゴールド」リンクに向かうパケットをブロードキャストするためのアドレスのプールを作成しましょう。
ip nat pool LAN-to-Gold 1.1.1.20 1.1.1.20 netmask 255.255.255.0 // 1.1.1.20/24
LANからのトラフィックを外部ネットワークに割り当てるために、アクセスコントロールリストを作成します。
ip access-list extended Trivial
permit ip 192.168.0.0 0.0.0.255 any // 192.168.0.0/24
deny ip any any // IP
アドレス変換で使用される2つのルートマップを定義します。
route-map NAT_Gold permit 10
match ip address GoldServices //
match interface Serial2/1 //
!
route-map NAT_Bronze permit 15
match ip address Trivial //
match interface Serial2/0 //
そして最後の1つ:
ip nat inside source route-map NAT_Gold pool LAN-to-Gold overload // "" NAT_Gold
ip nat inside source route-map NAT_Bronze interface Serial2/0 overload // "" Serial2/0