Exemple de configuration Cisco pour le routage basé sur des règles

Je me retrouve dans une situation dans laquelle je me trouvais il n'y a pas si longtemps, mais je ne me souviens pas comment je l'ai résolu :)

Le scénario

J'ai un routeur Cisco IOS avec une interface LAN (fa0 / 0) et une interface WAN (fa0 / 1), et une deuxième interface WAN (fa0 / 2).

• Il existe deux sous-interfaces LAN fa0 / 0.10 et fa0 / 0.20 disons.
• Il existe une route par défaut via fa0 / 1. Cependant, il existe une route statique vers un sous-réseau spécifique, disons 1.2.3.4/24 via fa0 / 2 (fa0 / 2 est plus proche de ce sous-réseau, mais une liaison $$$ WAN plus chère)

Tous mes utilisateurs fa0 / 0.10 accèdent à 1.2.3.4/24 et donc la route statique les envoie hors de fa0 / 2 (WAN2). Pour toutes les autres destinations, les utilisateurs fa0 / 0.10 passent par la route DHCP par défaut que je reçois sur l'interface WAN1 fa0 / 1.

La définition du problème;

Les utilisateurs du sous-réseau fa0 / 0.20 accèdent simplement à Internet. Aucun utilisateur de mon sous-réseau fa0 / 0.20 n'a vraiment besoin d'accéder au sous-réseau distant 1.2.3.4/24. Ils le font rarement, auquel cas la route statique les envoie via fa0 / 2. Je ne veux pas cela cependant, je veux qu'ils accèdent à 1.2.3.4/24 via fa0 / 1, l'interface WAN par défaut. Je crois que je peux y arriver via PBR, mais je n'arrive pas à le faire fonctionner?

C'est la configuration que j'essaie actuellement;

interface FastEthernet0/0.10
 description LAN1
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

interface FastEthernet0/0.20
 description LAN2
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip policy route-map FORCE-LAN2-VIA-WAN1

interface FastEthernet0/1
 description WAN1
 ip address dhcp
 ip nat outside
 ip virtual-reassembly

interface FastEthernet0/2
 description WAN2 - Used for 1.2.3.4/24
 ip address 5.5.5.5 255.255.255.0

! Static route to route to a remote subnet via 2nd WAN link
ip route 1.2.3.4 0.0.0.255 5.5.5.6
! A default route is received on fa0/1 (WAN1) via DHCP from ISP
! for all other traffic
!
! NAT fa0/0.10 users when accessing the Internet via WAN1
ip nat inside source route-map ROUTE-WAN1 interface FastEthernet0/1 overload
!
! NAT fa0/0.20 users out via WAN1
ip nat inside source route-map FORCE-LAN2-VIA-WAN1 interface FastEthernet0/1 overload

route-map ROUTE-WAN1 permit 10
 match interface FastEthernet0/1

route-map FORCE-LAN2-VIA-WAN1 permit 10
 match interface FastEthernet0/0.20
 set default interface FastEthernet0/1

J'essaie d'appliquer le routage basé sur des politiques directement à la sous-interface fa0 / 0.20 pour forcer tout le trafic via WAN1, fa0 / 1. Ma compréhension est que, comme il existe une route plus spécifique que la route par défaut reçue par DHCP sur fa0 / 1 dans la FIB, elle remplace le PBR et le trafic de fa0 / 0.20 à 1.2.3.4/24 utilise toujours WAN2, fa0 / 2. Ou du moins, je pense que c'est le cas lors de l'utilisation de "définir l'interface par défaut ...". Si je devais utiliser "set ip next-hop" par exemple, cela forcerait le PBR à avoir la priorité, mais WAN1, fa0 / 1, reçoit une IP par DHCP et est donc en train de changer :)

En remarque; Il existe en fait de nombreuses routes statiques via WAN2, donc je ne veux pas inverser la situation et la route politique fa0 / 0.10 via WAN2 pour des sous-réseaux spécifiques. La configuration là-bas est plus complexe que je ne l'ai laissé entendre, longue et courte cependant, il n'est pas viable de changer cela. De plus, s'il existe un meilleur moyen de s'attaquer à ce problème autre que le PBR, je suis à l'écoute. Je me bats avec cette méthode car c'est la meilleure solution que je connaisse.

Mise à jour Ajout d'un diagramme de topologie spectaculairement dessiné

Je recommanderais d'utiliser une route-map dans un seul but (un pour nat, un autre pour pbr); une utilisation mixte peut créer un gâchis. Pour NAT, le match interfacepost-routage sera appliqué - pratique pour effectuer des entrées nat conditionnelles.

La route-map pour PBR doit utiliser une ACL pour faire correspondre le trafic provenant de LAN2, puis définir le prochain saut sur l'interface souhaitée avec set interfacenon set default- ou set ip next-hop dynamic dhcpcomme vous ne connaîtrez pas l'adresse gw réelle. Cela contourne / remplace toute logique de routage qui autrement enverrait ensuite du trafic vers votre coûteux WAN.