基于思科3750策略的路由限制？

Question

我有两个3750，它们通过SVI路由服务器子网(分别是Core1和Core2 )。在Core1上，我有VLAN1100，它的SVI为x.x.100.1，在100.3上有一个透明的squid代理。

当我在core1上做以下操作时：

ip access-list extended lab-filter
 remark ### Force HTTP and HTTPS to Barracuda ###
 deny tcp any any neq www 443
 deny ip any x.x.x.x 0.0.255.255
 permit ip x.x.x.x. 0.0.0.255 any

route-map Barracuda permit 20
 match ip address lab-filter
 set ip next-hop x.x.100.3

interface Vlan1100
description Barracuda VLAN Interface
ip address x.x.100.1 255.255.255.0
no ip redirects
no ip proxy-arp

On Core1
interface Vlan1010
ip address x.x.10.1 255.255.255.0
ip access-group 115 in
ip access-group 116 out
no ip redirects
no ip proxy-arp
ip policy route-map Barracuda

On Core2
interface Vlan1120
ip address x.x.120.1 255.255.255.0
ip access-group 102 in
no ip proxy-arp
ip policy route-map Barracuda

一切正常，所有的网络流量都会被踢到过滤器上。

当我有其他的3750直接连接到Core1，并且尝试同样的事情时，问题就出现了，它没有将流量重定向到100.3。

core1#sho route-map
route-map Barracuda, permit, sequence 20
  Match clauses:
    ip address (access-lists): lab-filter
  Set clauses:
    ip next-hop x.x.100.3
  Policy routing matches: 138260 packets, 12930735 bytes


core2#sho route-map
route-map Barracuda, permit, sequence 10
  Match clauses:
   ip address (access-lists): lab-filter
  Set clauses:
   ip next-hop x.x.100.3
  Nexthop tracking current: 0.0.0.0
  x.x.100.3, fib_nh:0,oce:0,status:0 
  Policy routing matches: 0 packets, 0 bytes

基本上，我试图从Core1上的VLAN1010和Core2上的VLAN1120中获取所有内容，并将端口80和443重定向到直接连接到Core1的100.3。

下一个跳IP必须是一个连接的路由吗?如果不是，我如何才能通过这个路由？

Answer 1

下一跳应该是下一层第3层的地址，通信将被传送到，所以是的，它应该在一个直接连接到3750并且有一个连接的路由的网络段上。

请记住，您不是在重写数据包的目的地地址，而是以另一种方式对其进行路由。因此，下一层第3跳应该是Barracuda (当您的路由器直接触及Barracuda所在的vlan时)，或者是一个下一跳第3层路由器，它也知道(可能通过基于策略的路由)流量需要在哪里结束。

Answer 2

Shane关于下一跳的回答是正确的，但我想指出另一个问题。您目前在您的对手ACL中拒绝ACEs。在3750上使用PBR时，不应该在匹配ACL中拒绝ACE。3750在TCAM中做PBR，但对denys不能这样做。Denys将被CPU路由，并能迅速扼杀您的交换机的性能。参考文献

由于您正在进行PBR，您必须具有IP服务功能集，因此您可能需要考虑在3750上使用WCCP。它有几个优点。

• 如果您的代理失败，路由器将不尝试发送流量到它，并将路由流量正常，允许互联网访问继续不间断。(这可能是您想要的行为，也可能不是您想要的行为，这取决于您为什么要代理。)
• 您可以添加额外的冗余代理。

请记住，WCCP在3750上进行L2重定向和返回。许多配置Squid和WCCP的指南都是基于GRE重定向的。