Cat2948G-L3#show run
...
interface GigabitEthernet49
ip address 10.1.22.2 255.255.255.0
ip Access-group 1 in
no ip directed-broadcast
...
access-list 1 deny10.1.20.1
access-list 1 permit any
station_A#traceroute 10.1.21.1
Type escape sequence to abort.
Tracing the route to 10.1.21.1
1 10.1.20.2 3 msec 0 msec 2 msec
2 10.1.22.1 0 msec 0 msec 3 msec
3 * * *
4 * * *
5 * *
虽然此类输入ACL的方法可能并不是实现这个目标的最有效方法,但仍选择它来说明业务流量 。来自station_A的业务实际上在从路由器返回至Cat2948G - L3的gig接口时被过滤 。
警告: 特定IP数据包类型(例如具有IP选项的数据包)经过交换处理 。CPU根据IOS路由表对数据包进行交换 。经过交换处理的数据包将不遵循IP上行链路重定向路径,且不应用所有千兆以太网接口上配置的ACL 。
IP上行链路重定向配置样本2
修改配置以使两个站属于两个不同的网桥群组 。两个BVI使它们实现通讯 。业务过滤的情况会怎样?
网络图
样本配置
Cat2948G-L3#show run
...
ip uplink-redirect
!-- 该命令激活IP上行链路重新定向功能,
!-- 并在重新加载后生效 。
bridge irb
!-- 该命令激活IRB 。
...
interface Fast Ethernet20
no ip address
no ip directed-broadcast
duplex full
speed 100
bridge-group 20
!-- 该命令将路由的接口转换
!-- 成桥接组20中的桥接接口 。
!
interface Fast Ethernet21
no ip address
no ip directed-broadcast
duplex full
speed 100
bridge-group 21
!-- 该命令将路由的接口转换
!-- 成桥接组21中的桥接接口 。
...
interface GigabitEthernet49
ip address 10.1.22.2 255.255.255.0
no ip directed-broadcast
...
interface BVI20
!-- 该逻辑接口用于路由桥接组20中的桥接接口所
!-- 接受到的流量
ip address 10.1.20.2 255.255.255.0
no ip directed-broadcast
no ip route-cache cef
!
interface BVI21
!-- 该逻辑接口用于路由桥接组21中的桥接接口所
!-- 接受到的流量
ip address 10.1.21.2 255.255.255.0
no ip directed-broadcast
no ip route-cache cef
!
router rip
network 10.0.0.0
!
ip route 0.0.0.0 0.0.0.0 10.1.22.1
!
access-list 1 deny10.1.20.1
access-list 1 permit any
...
bridge 20 protocol ieee
bridge 20 route ip
!-- 该命令激活接口BVI 20上的IP路由 。
bridge 21 protocol ieee
bridge 21 route ip
!-- 该命令激活接口BVI 21上的IP路由 。
检验
如下例所示,通过Catalyst 2948G - L3上接口fast 20(10.1.20.2 0)的业务重定向至上流路由器的接口gig 49(10.1.22.1),路由返回至Catalyst 2948G - L3上的接口gig 49(10.1.22.2),然后再到(10.1.21.1):
station_A#traceroute 10.1.21.1
Type escape sequence to abort.
Tracing the route to 10.1.21.1
1 10.1.20.2 3 msec 0 msec 2 msec
2 10.1.22.1 3 msec 0 msec 2 msec
3 10.1.22.2 3 msec 0 msec 2 msec
4 10.1.21.1 3 msec 0 msec *
如下应用ACL:
Cat2948G-L3(config)#int gig 49
Cat2948G-L3(config-if)#ip access-group 1 in
如前所述,来自station_A的业务已经在从路由器返回至Cat2948G - L3的gig接口时被过滤,以防止两个站进行通讯 。
station_A#traceroute 10.1.21.1
Type escape sequence to abort.
Tracing the route to 10.1.21.1
1 10.1.20.2 0 msec 0 msec 3 msec
2 10.1.22.1 3 msec 0 msec 3 msec
3 * * *
推荐阅读
- 技巧解析:根据ip地址查交换机端口
- 华为三层以太网交换机基本原理及转发流程
- Cisco 4506交换机 Trunk配置实例
- CISCO等交换机广播抑制功能的测试报告
- 四种交换机体系结构的比较详细分析
- 下 以太网交换机的堆叠与级联基础
- 通过串口管理交换机
- 三层交换机---跳出一个新世界
- 四--七层交换机的盛装舞步
- Native IOS 65xx系列交换机配置(3)