cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
1422
Visitas
20
ÚTIL
8
Respuestas

Habilitar salida a internet por tres enlaces diferentes

Fernando Ruiz
Level 1
Level 1

Saludos comunidad tengo un tema con el siguiente escenario esperando me puedan apoyar con algún ejemplo o literatura.

 

Se tienen 5 Vlans las cuales tienen que salir por tres enlaces diferentes como se observa a continuación:

 

Vlan 1.- 1.1.1.1 /24 —— Carrier 1

Vlan 2.- 2.2.2.2 /24 —— Carrier 2
Vlan 3.- 3.3.3.3 /24 —— Carrier 2

Vlan 4.- 4.4.4.4 /24 —— Carrier 3

Vlan 5.- 5.5.5.5 /24 —— Carrier 3

 

Realice nat de acuerdo a la Vlan y sobre qué interfaz deberán salir sin embargo no todas las interfaces tienen salida a internet no se si usando algún Route Map se pueda solucionar y si tienen literatura o un ejemplo que me puedan compartir se los agradecer.

 

gracias

8 RESPUESTAS 8

Hola, @Fernando Ruiz 

Me parece que la mejor opción como comentas es por medio de PBR y con un route map lo puedes lograr. la configuración debería de quedar similar a esto:

 

interface Vlan1
ip address 1.1.1.1 255.255.255.0
ip policy route-map VLAN1
!
ip access-list extended VLAN1
permit ip 1.1.1.0  0.0.0.255 any
!
route-map VLAN1 permit 10
match ip address VLAN1
set ip next-hop <carrier 1>
!
interface Vlan2
ip address 2.2.2.2 255.255.255.0
ip policy route-map VLAN2
!
ip access-list extended VLAN2
permit ip 2.2.2.0  0.0.0.255 any
!
route-map VLAN2 permit 10
match ip address VLAN2
set ip next-hop <carrier 2>
!

Y así para cada uno de tus segmentos de red.

Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"

**Please rate the answer if this information was useful***

**Por favor si la información fue util marca esta respuesta como correcta**

*Tu reconocimiento nos alienta a seguir participando en los foros *

 

Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"
**Please rate the answer if this information was useful***
**Por favor si la información fue util marca esta respuesta como correcta**

Hola

Como dice Daniel, debes utilizar PBR (para cada una de las VLANs) en el equipo de borde donde estan los enlaces, el Route-map lo aplicas en la conexion del switch o en la interface vlan (si estas se encuentran en el equipo de borde).

Adicional colocas rutas por defecto flotantes 0.0.0.0/0 a puntando a sus siguienes saltos, para redundancia. 

Con las ACLs que aplicas en route-map ten cuidado, no conozco tu red, pero si aplicas un permit any any todo el trafico de la vlan la enviaras al siguiente salto especifico y no podras llegarle a algo interno, por eso recomiendo lo siguiente en la ACL que es parte del PBR:

 

ip access-list extended VLAN-X

deny ip any 192.168.0.0 0.0.255.255

deny ip any 172.16.0.0 0.15.255.255

deny ip any 10.0.0.0 0.255.255.255

permit ip any any

 

* El any representa el segmento de red de la VLAN, con esto unicamente estas enviando trafico internet y permitiendo la comunicacion a las redes internas como otras VLANS.

 

 

Saludos 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

@Julio E. Moisa 

Gracias amigo

Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"
**Please rate the answer if this information was useful***
**Por favor si la información fue util marca esta respuesta como correcta**

hola, actualmente esta es mi configuración.

 

ip dhcp excluded-address 172.17.20.1 172.17.20.50
ip dhcp excluded-address 172.17.20.254
ip dhcp excluded-address 172.17.30.1 172.17.30.50
ip dhcp excluded-address 172.17.30.254
ip dhcp excluded-address 172.17.40.1 172.17.40.50
ip dhcp excluded-address 172.17.40.254
ip dhcp excluded-address 172.17.50.1 172.17.50.50
ip dhcp excluded-address 172.17.50.254
ip dhcp excluded-address 172.17.60.1 172.17.60.50
ip dhcp excluded-address 172.17.60.254
!
ip dhcp pool VLAN200
network 172.17.20.0 255.255.255.0
default-router 172.17.20.254
dns-server 8.8.8.8
!
ip dhcp pool VLAN300
network 172.17.30.0 255.255.255.0
default-router 172.17.30.254
dns-server 8.8.8.8
!
ip dhcp pool VLAN400
network 172.17.40.0 255.255.255.0
default-router 172.17.40.254
dns-server 8.8.8.8
!
ip dhcp pool VLAN500
network 172.17.50.0 255.255.255.0
default-router 172.17.50.254
dns-server 8.8.8.8
!
ip dhcp pool VLAN600
network 172.17.60.0 255.255.255.0
default-router 172.17.60.254
dns-server 8.8.8.8
!
!
!
ip cef
no ipv6 cef
multilink bundle-name authenticated
!
cts logging verbose
!
!
license udi pid CISCO1921/K9 sn FJC2107L16L
!
!
vtp domain ITCR
vtp mode transparent
!
redundancy
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description Enlace 2
ip address dhcp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description Enlace 3
ip address dhcp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface FastEthernet0/0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0/0.100
encapsulation dot1Q 100
ip address 192.168.100.254 255.255.255.0
!
interface FastEthernet0/0/0.200
encapsulation dot1Q 200
ip address 172.17.20.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface FastEthernet0/0/0.300
encapsulation dot1Q 300
ip address 172.17.30.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface FastEthernet0/0/0.400
encapsulation dot1Q 400
ip address 172.17.40.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface FastEthernet0/0/0.500
encapsulation dot1Q 500
ip address 172.17.50.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface FastEthernet0/0/0.600
encapsulation dot1Q 600
ip address 172.17.60.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface FastEthernet0/0/1
description Enlace 1
ip address dhcp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list 20 interface FastEthernet0/0/1 overload
ip nat inside source list 30 interface GigabitEthernet0/0 overload
ip nat inside source list 40 interface GigabitEthernet0/0 overload
ip nat inside source list 50 interface GigabitEthernet0/1 overload
ip nat inside source list 60 interface GigabitEthernet0/1 overload
!
!
!
access-list 20 permit 172.17.20.0 0.0.0.255
access-list 30 permit 172.17.30.0 0.0.0.255
access-list 40 permit 172.17.40.0 0.0.0.255
access-list 50 permit 172.17.50.0 0.0.0.255
access-list 60 permit 172.17.60.0 0.0.0.255
!

Hola

Creo que ahi faltan enlaces e informacion sobre los enlaces, pero puedes tomar como ejemplo lo siguiente (vlan 300)

 

ip route 0.0.0.0 0.0.0.0 130.130.130.1 name INTERNET-PRIMARIO
ip route 0.0.0.0 0.0.0.0 140.140.140.1 20 name INTERNET-SECUNDARIO
ip route 0.0.0.0 0.0.0.0 150.150.150.1 30 name INTERNET-TERCERO


ip access-list extended VLAN-300-ACL
deny ip any 192.168.0.0 0.0.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 10.0.0.0 0.255.255.255
permit ip any any

 

route-map VLAN300-RM permit 10
match ip address VLAN-300-ACL
set ip next-hopt 150.150.150.1


interface FastEthernet0/0/0.300
encapsulation dot1Q 300
ip address 172.17.30.254 255.255.255.0
ip nat inside
ip policy route-map VLAN300-RM

 

En el ejemplo de arriba, el trafico de la red 172.17.30.0/24 buscara todo lo que no conoce (todo lo que no esta explicitamente incluido en la tabla de enrutamiento) a través del enlace 3.

 

Básicamente seria lo mismo para el resto de redes que queres manipular solo cambiando la IP del next-hop en cada Route-map. Me invente los segmentos de red de cada enlace para que lo tengas de referencia, ya que creo que tu lo tienes con DHCP bajo cada interface. 

 

Espero esto te ayude.

 

Saludos




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Saludos a todos y gracias por el apoyo.

 

Realice las configuraciones de acuerdo a lo sugerido pero las VLAN 500 y 600 no tienen salida a continuación les muestro la configuraron que esta corriendo.

 

Les agradezco sus comentarios.

 

Salu2

 

-----------------------------------------------------------------------------------------------------------


!

ip dhcp excluded-address 172.17.20.1 172.17.20.50
ip dhcp excluded-address 172.17.20.254
ip dhcp excluded-address 172.17.30.1 172.17.30.50
ip dhcp excluded-address 172.17.30.254
ip dhcp excluded-address 172.17.40.1 172.17.40.50
ip dhcp excluded-address 172.17.40.254
ip dhcp excluded-address 172.17.50.1 172.17.50.50
ip dhcp excluded-address 172.17.50.254
ip dhcp excluded-address 172.17.60.1 172.17.60.50
ip dhcp excluded-address 172.17.60.254
!
ip dhcp pool VLAN200
network 172.17.20.0 255.255.255.0
default-router 172.17.20.254
dns-server 8.8.8.8
!
ip dhcp pool VLAN300
network 172.17.30.0 255.255.255.0
default-router 172.17.30.254
dns-server 8.8.8.8
!
ip dhcp pool VLAN400
network 172.17.40.0 255.255.255.0
default-router 172.17.40.254
dns-server 8.8.8.8
!
ip dhcp pool VLAN500
network 172.17.50.0 255.255.255.0
default-router 172.17.50.254
dns-server 8.8.8.8
!
ip dhcp pool VLAN600
network 172.17.60.0 255.255.255.0
default-router 172.17.60.254
dns-server 8.8.8.8
!
ip cef
no ipv6 cef
multilink bundle-name authenticated
!
cts logging verbose
!
license udi pid CISCO1921/K9 sn FJC2107L16L
!
vtp domain ITCR
vtp mode transparent
!
redundancy
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description Enlace 2
ip address 192.168.1.253 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description Enlace 3
ip address 192.168.2.253 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface FastEthernet0/0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0/0.100
encapsulation dot1Q 100
ip address 192.168.100.254 255.255.255.0
!
interface FastEthernet0/0/0.200
encapsulation dot1Q 200
ip address 172.17.20.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface FastEthernet0/0/0.300
encapsulation dot1Q 300
ip address 172.17.30.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip policy route-map VLAN300
!
interface FastEthernet0/0/0.400
encapsulation dot1Q 400
ip address 172.17.40.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip policy route-map VLAN400
!
interface FastEthernet0/0/0.500
encapsulation dot1Q 500
ip address 172.17.50.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip policy route-map VLAN500
!
interface FastEthernet0/0/0.600
encapsulation dot1Q 600
ip address 172.17.60.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip policy route-map VLAN600
!
interface FastEthernet0/0/1
description Enlace 1
ip address 192.168.3.253 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list 2 interface FastEthernet0/0/1 overload
ip nat inside source list VLAN300 interface GigabitEthernet0/0 overload
ip nat inside source list VLAN400 interface GigabitEthernet0/0 overload
ip nat inside source list VLAN500 interface GigabitEthernet0/1 overload
ip nat inside source list VLAN600 interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 192.168.3.254
!
ip access-list standard VLAN300
permit any
ip access-list standard VLAN400
permit any
ip access-list standard VLAN500
permit any
ip access-list standard VLAN600
permit any
!
route-map VLAN500 permit 20
match ip address VLAN500
set ip next-hop 192.168.2.254
!
route-map VLAN400 permit 10
match ip address VLAN400
set ip next-hop 192.168.1.254
!
route-map VLAN600 permit 20
match ip address VLAN600
set ip next-hop 192.168.2.254
!
route-map VLAN300 permit 10
match ip address VLAN300
set ip next-hop 192.168.1.254
!
access-list 2 permit 172.17.20.0 0.0.0.255

Hola,

Deben usarse ACL extendidas (origenes, destinos), y en la configuracion has aplicado ACL Estandar, adicional recomiendo configurar las ACLs como el ejemplo anterior.

 

Saludos 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Hilda Arteaga
Cisco Employee
Cisco Employee

Hola @Julio E. Moisa y @Daniel Ordóñez Flores , gracias por sus aportaciones para buscar resolver la duda de Fernando 

Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco: