取消
显示结果 
搜索替代 
您的意思是: 
cancel
4453
查看次数
14
有帮助
9
回复

现有的简单网络 添加一条国际专线

wnabo1987
Beginner
Beginner
路由器是3925
路由器内有一条地址转换到内网机器
现有使用的是3750交换机
只用一个VLAN1 192.168.1.0
只有一个网段可正常上互联网使用
现在添加一条国际VPN专线 红色框内
(特殊软件应用,内部网基本都使用)
163950n8vymvmmso5ombzw.jpg
此专线添加到三层交换机上
请教一下怎么添加策略路由
可正常使用互联网 又可以使用VPN专线
都需要什么样的数据和资料?
9 条回复9

YilinChen
Advocate
Advocate
看你这个拓扑,不需要策略路由呀,3750上添加明细路由就可以了

suzhouxiaoniu
Advocate
Advocate
3750上做静态路由

csco2
Beginner
Beginner
楼主正解。。

ilay
Collaborator
Collaborator
需要确认一下网络的连接情况,vpn链路的情况(是内网直连访问,还是也经过路由nat地址转换(如果也经过nat的话,真的可以把3750当个大hub用了。。))
观察你的现网拓扑,仅有一个vlan1 ,而且网关地址是在路由器上面,你的所有交换机相当于在当纯hub在使用
如果你将vpn链路连接到3750,应该是有两种实现方式的(确切的说不止两种,在允许网络进行调整的情况下,方法有好几种)
方案一:
使用no switchport 启用三层接口,或使用vlan (除vlan1和其他特殊使用vlan外)+ SVI的方式 实现三层互联vpn链路。
3750上使用 ip routing
然后 将相应vpn 链路的网段进行汇总(建议汇总,如网段条目不多也可以不汇总,视个人习惯吧),然后在3750上添加静态路由,将vpn网段指向相应的设备,
例:vpn目的网段为172.10.10.0 /24 ,本地互联地址为172.10.230.254,静态路由添加如下
ip route 172.10.10.0 255.255.255.0 172.10.230.254
具体实现方式基本上也就是这个样子,确保vpn对端有到你方网络的路由
方案二:
3750上新建一个vlan ,然后讲3750与公网出口路由器之间链路设为trunk,使用单臂路由的方式连接,链路连接在3750上,但三层地址配置在路由器的子接口上面。然后添加相应网段路由即可。路由添加和上述差别不大,不做赘述。
附:
这两种都可以作为解决办法,但从原理上分析来看,你访问vpn专线的数据是跨网段的 ,也就是所有的数据都需要经过交换机到路由器然后路由再将数据扔回交换机走vpn链路。
如果可以调整、并且网段不是很多,建议将网关放在3750上面,由3750做三层的转发,去往vpn网段的直接走vpn路由,出互联网的直接扔到网络出口。更改完之后不会出现数据在互联网出口路由与3750之间多次转发的问题。网络的性能会有些许提高。
鉴于本人能力水平有限,如有不准确的地方,还望指出,谢谢!

suzhouxiaoniu
Advocate
Advocate
gengchunlin 发表于 2016-4-4 23:26 back.gif
需要确认一下网络的连接情况,vpn链路的情况(是内网直连访问,还是也经过路由nat地址转换(如果也经过nat的 ...

支持如此认真的回复:handshake

reay
Beginner
Beginner
本帖最后由 reay 于 2016-4-13 11:01 编辑
总觉得楼主描述的不是太详细 按照之前的网络拓扑 内网只有一个vlan 并且网关应该是在出口路由器上 nat和默认路由都是在原有路由器上做的 内部3750交换机不用做任何配置 当一个普通交换机就可以
现在新添加vlan专线 并且专线不能访问互联网 根据当前网络情况 个人认为主要解决 将访问vpn的感兴趣流能正确引入新添加的路由器中
我认为 可以将vpn专线添加到原有路由器中 在原有路由器中定义好vpn的感兴趣流 通过策略路由指定下一跳走vpn专线链路

reay
Beginner
Beginner
本帖最后由 reay 于 2016-4-12 17:30 编辑
suzhouxiaoniu 发表于 2016-4-5 12:04 back.gif
支持如此认真的回复

楼主说的不详细 这确实是个问题

pebao
Cisco Employee
Cisco Employee
新添加的是VPN专线,只需要在3750上添加对端私网的静态路由即可。

Yanli Sun
Community Manager
Community Manager
gengchunlin 发表于 2016-4-4 23:26 back.gif
需要确认一下网络的连接情况,vpn链路的情况(是内网直连访问,还是也经过路由nat地址转换(如果也经过nat的 ...

手动点赞, 支持 +1
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:





认可您的同行
快捷链接