在思科3560三层交换机上实现策略路由

1、在思科3560三层交换机上实现策略路由李媛【摘要】网络结构中有两个思科路由通过两条光纤实现外网通路，我们通过tftp服务器实现对3560三层交换机IOS的升级，并且在3560上实现vlan的划分、访问控制和策略路由，使得内网的不同网段的计算机可以通过3560自动实现对不同路由路线的网络出口的选择。【关键词】3560三层交换机，tftp，vlan，访问控制，策略路由一、前言思科网络技术作为全球领先的网络技术，在实际应用中得到了广泛的体现。其强大的功能为我们在实际的操作中提供了很大的方便，实现了普通交换设备所不能实现的功能，并为我们在实际的网络维护以及更进一步的功能改造提供了便利性、可扩展性和可靠

2、性等。与路由技术相比，交换技术的好处就是速度快。而三层交换技术的出现，不仅可以提高网络的速度，更使得我们可以实现更加复杂的功能。特别是在实现策略路由的功能上，三层交换机拥有了其超强的实力，因此对三层交换机的研究具有很大的意义。二、三层交换技术以太网的工作原理是利用二进制位形成的一个个字节组合成一帧帧的数据(其实是一些电脉冲)在导线中进行传播。首先，以太网网段上需要进行数据传送的节点对导线进行监听，这个过程称CSMA/CD (Carrier Sense Multiple Access with Collision Detection带有冲突监测的载波侦听多址访问)的载波侦听。也就是说在CSMA/

3、CD 方式下，在一段时间段，只有一个节点能够在导线上传送数据。而转发以太网数据帧的联网设备是集线器，它是一层设备，传输效率比较低。冲突的产生降低了以太网的带宽，而且这种情况又是不可避免的。所以，当导线上的节点越来越多后，冲突的数量将会增加。显儿易见的解决方法是限制以太网导线上的节点，需要对网络进行物理分段。将网络进行物理分段的网络设备用到了网桥与交换机，网桥与交换机的基本作用是只发送去往其它物理网段的信息。所以，如果所有的信息都只发往本地的物理网桥，那么网桥和交换机上就没有信息通过。这样可以有效减少网络上的冲突。网桥和交换机是基于目标MAC(介质访问控制)地址做出转发决定的，他们是二层设备。另

4、外一种导致网络降低运行速度的原因：广播。广播存在于所有的网络上，如果不对它们进行适当的控制，它们便会充斥于整个网络，产生大量的网络通信。广播不仅消耗了带宽，而且也降低了用户工作站的处理效率。由于各种各样的原因，网络操作系统(NOS)使用了广播，TCP/IP使用了广播从IP地址中解析MAC地址，还使用广播通过RIP和IGRP协议进行宣告，所以，广播也是不可避免的。网桥和交换机将对所有的广播信息进行转发，而路由器不会。所以，为了对广播进行控制，就必须使用路由器。路由器是基于第3层报头、目标IP寻址、目标IPX寻址或目标Appletalk寻址做出转发决定。路由器是三层设备。而三层交换技术就是将路由与

5、交换合二为一的技术。路由器在对第一个数据流进行路由后，将会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此映射表直接从二层进行交换而不是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发效率。采用此技术的交换机我们常称为三层交换机。三、vlan的概念和优点（一）vlan的概念vlan是英文Virtual Local Area Network的缩写，即虚拟局域网。一方面，vlan建立在局域网交换机的基础之上；另一方面，vlan是局域交换网的灵魂。这是因为通过vlan，用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网

6、络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。vlan充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有vlan功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。（二）vlan的优点1、控制网络的广播风暴采用vlan技术，可将某个交换端口划到某个vlan中，而一个vlan的广播风暴不会影响到其它vlan的性能。2、确保网络安全共享式局域网之所以很难保证网络的安全性，是因为只要用户插入一个活动端口，就能访问网络。而vlan能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此vlan能确保网络的安全

7、性。3、简化网络管理网络管理员能借助于vlan技术轻松管理整个网络。借助vlan技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地局域网一样方便、灵活、有效。四、访问控制列表ACL访问控制列表(Access Control List)是应用到路由器接口的指令列表，用来控制进出的数据包；它是一组由允许和拒绝语句组成的有序的集合，根据网络中每个数据包所包含的信息和内容，决定是否允许该信息包通过指定的接口。访问列表包括标准访问列表、扩展访问列表、第二层访问列表和自反访问列表四种。其中前三种为静态包过滤，自反访问列表为动态包过滤。(1) 标准访问列表定义的范围为l-

8、99，只允许通过源IP地址进行过滤。标准访问列表在限制虚拟终端访问、限制SNMP访问、过滤路由协议等方面比扩展访问列表更为有用。(2) 扩展访问列表提供了与标准访问列表一样的基于源地址的过滤，同时还可以通过目的地址和协议信息进行过滤。使用扩展访问列表可以建立非常复杂的包过滤机制。扩展访问列表的号码为从100-199，支持的协议包括IP、TCP、UDP、ICMP和OSPF。(3) 第二层访问列表是基于第二层地址过滤数据帧，也称为MAC层地址过滤。通过地址过滤是最简单的第二层过滤形式，它可以过滤一部分，也可以准确过滤某个MAC地址。(4) 自反访问列表提供了一种保留已存在连接状态信息的方式。当一个

9、新IP包从内部网络发往外部网络时，自反访问列表可以被触发。自反访问列表在已存在的扩展访问列表中建立“镜像”或称为“反向的”表项，使得已存在连接的数据包可以通过访问列表的控制。五、在思科3560三层交换机上实现策略路由本文大致的网络拓扑结构如图1所示：下层的交换机SW2、SW3、SW4、SW5接到核心交换机思科3560三层交换机SW1上，并且通过两个思科2800路由器接入不同的光纤。这样，网内的所有计算机将通过思科3560三层交换机和两个2800路由器实现出外网的功能。图1 网络拓扑结构我们的主要工作就是如何通过tftp服务器实现对3560三层交换机IOS的升级，并在思科3560交换机上实现vl

10、an的划分、访问控制列表ACL的控制和策略路由功能，使得内网的不同网段的计算机可以通过3560自动实现对不同路线的网络出口的选择。（一）tftp服务器的实现首先，我们需要一个可以支持策略路由的IOS。根据我们实际的情况，由于原有的IOS文件c3560-ipbase-mz.122-35.SE5.bin无法实现策略路由功能，我们必须升级IOS文件方可实现策略路由的功能。通过网络下载IOS文件c3560-ipservices-mz.122-25.SEE1.bin。接下来的步骤是配置tftp服务器，使得可以实现在3560交换机上对文件的上传与下载的功能。下载tftp文件Cisco TFTP Serve

11、r，并运行文件。然后进入3560的配置，我们通过指令把原有的IOS文件下载下来保存，然后再把交换机上的IOS删掉，再上传新的IOS，具体的操作如下：执行备份前先用dir、cd、pwd等命令看下flash中的目录结构。这台交换机IOS的bin文件以及html文件夹都在flash中的c3560-ipbase-mz.122-35.SE5目录下。(1) 根据自己实际情况 /* 将原IOS备份到IP为00的tftp服务器上并删除原有的IOS文件 */switch#copy flash:/c3560-ipbase-mz.122-35.SE5/c3560-ipbase-mz.122-3

12、5.SE5.bint00/c3560-ipbase-mz.122-35.SE5.binswitch#delete flash:/c3560-ipbase-mz.122-35.SE5/c3560-ipbase-mz.122-35.SE5.bin(2) 上传新的IOS /* 将新IOS复制到flash的根目录下 */switch#copy t00/c3560-ipservices-mz.122-25.SEE1.binflash:/c3560-ipservices-mz.122-25.SEE1.bin(3) 让交换机用新的IOS启动sw

13、itch(config)#boot system flash:/c3560-ipservices-mz.122-25.SEE1.bin期间Cisco TFTP Server切不可关闭，运行期间也要切记不可断电，否则就有可能对设备造成影响甚至是损坏，通过对IOS的更新，我们就实现了在3560上配置策略路由的可能性，因为这之后相应的指令已经出现在3560交换机中，我们可以通过指令实现策略路由功能。（二）vlan的划分和ACL控制在实现策略路由的功能之前，我们先要对vlan进行划分，以实现把内网划分为几个不同的网段，这样我们既可以解决原有只有一个网段可能存在的ip短缺的问题，也可以提高网络安全，避免

14、不同网段中的计算机互相影响而出现问题。接下来我们简单说一下操作，我们用vlan1作为我们网络设备（路由、交换机）的管理地址，我们通过这个地址可以远程进入设备进行相关的操作，而网内我们划分两个vlan，vlan2 和vlan3，并且通过访问列表ACL控制两个网段互不相通。(1) 设置vlan1即是管理地址为作为3560的管理地址。interface vlan1 ip address (2) 设置vlan2的地址为，并且设置编号为151的vlan2的访问列表，实现vlan2不能访问到vlan3，并且应用到

15、vlan2中。access-list 151 deny ip 55 55access-list 151 permit ip any anyinterface vlan2 ip address ip access-group 151 in(3) 设置vlan3的地址为，并且设置编号为152的vlan3的访问列表，实现vlan3不能访问到vlan2。并且应用到vlan3中。access-list 152 deny ip 0.0

16、.0.255 55access-list 152 permit ip any anyinterface vlan3 ip address ip access-group 152 in这样就实现了对vlan的划分，为每一个vlan分配了地址，并且通过ACL的控制使得两个网段vlan2和vlan3不能互访了。（三）策略路由的实现前面已经实现了不同网段vlan2和vlan3不能互访的问题了，接下来是如何设置使得vlan2和vlan3可以通过3560交换机实现对不同路由通路的自动选择问题了，也就是策略路由的实现。

17、具体的步骤如下：(1) 设置编号为100的访问列表，实现把vlan3与vlan2和vlan1等分开，作为策略路由应用的前提条件，目的是要让vlan3与vlan2等走不同的路由通路出外网。access-list 100 deny ip 55 55access-list 100 deny ip 55 55access-list 100 permit ip 55 any(2) 接下来做一个默认路由的指令，使得默认

18、的通路是走这个地址的路由的，即vlan2会走这条路由路线。指令如下： ip route (3) 接下来把3560上连接另一个路由(地址为)的端口设定一个地址，此地址必须跟路由地址为同一个网段的，这样才可以实现通路，并可以实现策略路由了，我们把这个端口的地址设定为，具体如下：interface FastEthernet0/1 no switchport ip address (4) 接下来是策略路由最核心的指令，我们设置一个名为aa的路由表，匹配了编号为100的访问列表，并且把这个列表的下一跳指定到，即是到另一个路由的地址上去，意思就是让vlan3走这个路由出外网，而不是选择这个路由。route-map aa permit 10 match ip address 100 set ip next-hop (5) 期间一个很重要的步骤是要把aa这个策略路由应用到vlan3中，才可以实现我们想要的功能