策略路由配置举例

最新推荐文章于 2024-01-25 10:00:00 发布
最新推荐文章于 2024-01-25 10:00:00 发布
阅读量8.2k 收藏 2
点赞数
分类专栏: 安全设备和网络安全方案 文章标签: interface 路由器 cisco server 网络

Document #: 2855035D22001

Body:

[标题]
策略路由配置举例

内容提要:
本篇文章着重介绍了策略路由的配置

说明:
本篇文章着重介绍了策略路由的配置,我们以 Catalyst 3550 交换机为例,虽然 3550 是交换机,该交换机有 3 层路由功能,且我们在这里主要是参考策略路由的配置,因此假定 3550 是一台路由设备。


  • 网络拓扑见图:


    我们的策略路由在 Cat3550 上实施,假如 3550 交换机有三个出口,分别隶属于 VLAN 1, VLAN 2, VLAN3 。在我们的例子里,我们在 VLAN 2 所连接的以太口上实施策略路由。由于策略路由是针对进入路由器的数据包,因此,凡是从 VLAN 2 进入路由器的数据包,都会被路由器所配置的策略路由所检查,凡是有匹配的,则根据策略进行相应的转发;如果最终没有匹配,则数据包会进行正常的路由处理。

    下面是 3550 上的配置:
    CAT3550 (Cisco Catalyst 3550)
    CAT3550# show running-config
    Building configuration...
    .
    .
    !
    interface Vlan1
    ip address 10.10.10.1 255.255.255.0
    !
    interface Vlan2
    ip address 20.20.20.1 255.255.255.0
    ip policy route-map pbr
    !
    interface Vlan3
    ip address 30.30.30.1 255.255.255.0
    !
    ip route 0.0.0.0 0.0.0.0 10.10.10.2
    ip classless
    ip http server
    !
    !
    access-list 10 permit 20.20.20.0 0.0.0.255
    route-map pbr permit 10
    match ip address 10
    set ip next-hop 30.30.30.2
    !
    .
    !
    end

    可以看出, 3550 3 个逻辑 3 层接口: interface Vlan1, Vlan2, Vlan3 ,分别连接到 3 个不同的网段: 10.10.10.0/24, 20.20.20.0/24, 30.30.30.0/24
    另外,还有一条默认路由,指向 10.10.10.2 ,即图中 3550 上方的路由器。
    就是说,通常情况下,从 VLAN2 进入 3550 的数据包在没有明确路由指定的情况下都会送到 VLAN1 上。
    再来看看策略路由的配置,我们知道,策略路由是针对进入设备的数据包,在这里,策略路由应用在 interface Vlan2 上:
    interface Vlan2
    ip address 20.20.20.1 255.255.255.0
    ip policy route-map pbr
    !
    所有从 Vlan2 进入设备的数据包都会被策略路由所处理,而策略路由是通过 route-map 实现的。
    这是 route-map pbr 的配置:
    route-map pbr permit 10
    match ip address 10
    set ip next-hop 30.30.30.2
    !
    route-map 可以写很多条,每条需要用不同的序号标识,数据包会按照序号进行逐条匹配,在这里序号为 10
    另外,每条可以使用 permit 参数,如果匹配,则对匹配的数据进行策略路由操作。如果数据被标识为 deny route-map 项匹配了,则该数据包不参与策略路由,该数据包被传统的基于目的地的路由方式路由。如果数据包经过每条 entry 都不匹配,也会被送到正常的路由方式进行处理。
    这里数据进入策略路由过滤器后,先匹配序号为 10 的项,过滤数据包的标准是访问控制列表 10
    access-list 10 permit 20.20.20.0 0.0.0.255
    这是一个标准的访问控制列表,即凡是从 20.20.20.0/24 的源 IP 都满足要求;对于满足要求的数据包都会转发到下一跳为 30.30.30.2 路由器上。而那些源 IP 20.20.20.0/24 的进入 Vlan2 接口的数据包,会按照路由表转发,默认会送到 10.10.10.2 路由器上
iiprogram
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基本的路由策略配置
TXFBAP的博客
07-10 1009
掌握Route-Policy的基本配置方法 掌握使用Route-Policy进行路由过滤 掌握使用Route-Policy 进行OSPF 路由属性的修改
H3C 7500E 三层策略路由配置实例
09-18
H3C S7500E 三层策略路由配置实例,三层技术,IP路由配置
策略路由配置实例
永远是少年
07-26 3220
今天给大家介绍策略路由配置。本文以华为eNSP模拟器,设计了一个实际的场景,并使用策略路由控制数据的转发,完成了相应的配置。 一、实验拓扑及要求 实验拓扑如上所示,现在假设AR2是内网,AR3是公网,要求内网发往公网的数据流量直接转发,公网发往内网的数据流量需要经过防火墙后再转发到内网。 二、相关配置命令 (一)配置思路 分析上述题目需求,可以考虑使用策略路由来完成题目中指定的数据包转发流程。在配置策略路由时,可以使用MQC的方式进行配置。 (二)策略路由相关配置 策略路由配置如下: acl numbe
【案例分享】策略路由典型配置
XMWS-IT
07-19 2168
由于Telnet使用的是TCP协议,ping使用的是ICMP协议,所以由以上结果可证明从RouterA的以太网接口GigabitEthernet1/0/1接收的TCP报文的下一跳为1.1.2.2,接口GigabitEthernet1/0/3不转发TCP报文,但可以转发非TCP报文,策略路由设置成功。(1)配置IP地址和单播路由协议,确保RouterB和HostA/HostB,RouterC和HostA/HostB之间路由可达,具体配置过程略。......
配置路由策略案例
最新发布
知识改变命运,技术就是要分享,有问题随时联系,免费答疑,欢迎联系!
01-25 1150
再次在PC_1上tracert PC_6,查看到报文传输路径是Router_1 Router_2 Router_5 Router_4 Router_6,表明主备链路切换成功。# 在PC_1上tracert PC_6,查看到报文传输路径是Router_1 Router_2 Router_3 Router_4 Router_6。
策略路由配置案例(☆亲测)
小阿军的博客
07-13 2480
如上图1所示,公司用户通过Switch双归属到外部网络设备。其中,一条是低速链路,网关为10.1.20.1/24;另外一条是高速链路,网关为20.1.30.1/24。 公司希望上送外部网络的报文中,IP优先级为4、5、6、7的报文通过高速连路传输,而IP优先级为0、1、2、3的报文则通过低速链路传输。 2、配置思路 1、创建VLAN并配置各接口,实现公司和外部网络设备互连。 2、配置ACL规则,分别匹配IP优先级4、5、6、7,以及IP优先级0、1、2、 3、配置流分类,匹配规则为上述ACL规..
H3C策略路由典型案例
07-07
案例2:H3C_MSR路由器基于报文源地址的转发策略路由配置举例 在这个案例中,我们需要配置Router A,使其能够根据报文的源地址来选择不同的下一跳地址。具体来说,我们需要将报文的源地址为192.168.10.2的报文发送到...
在RIP中使用路由策略配置指导
09-14
*管理员需要配置 RIP 路由协议的高级设置,包括配置路由策略、路由聚合和路由反射等。 #### 在 RIP 路由协议中应用路由策略 *管理员需要在 RIP 路由协议中应用路由策略,包括配置路由策略和路由优先级等。 *管理员...
H3C SR8800策略路由典型配置举例.pdf
10-12
H3C SR8800策略路由配置举例主要介绍了如何在H3C SR8800系列路由器上实现策略路由,这是一种高级的路由技术,允许网络管理员根据特定的策略(如源地址、目的地址、端口等)来决定数据包的转发路径。这种配置方法对于...
路由策略典型配置举例与故障排除.doc
10-02
本文档主要介绍了三种路由策略的典型配置:OSPF 引入其它协议路由、RIP 过滤发布的路由信息以及 OSPF 过滤接收的路由信息。 1. **OSPF 引入其它协议的路由信息** 在这个例子中,目标是让 OSPF 路由协议有选择地...
策略路由配置实例很详细
10-20
要求:网通的用户5.5.5.X 访问1.1.1.1 走网通(R2) 电信的用户55.55.55.X 访问1.1.1.1 走电信(R4) 只能在R3上做配置
策略路由的概念、原理、配置实例(双线配置
12-01
详细的描述了策略路由的概念、原理、配置实例。很实用。电信联通教育网负载均衡等。
路由器配置实例--100例
04-17
一、 路由器网络服务安全配置 1 禁止CDP(Cisco Discovery Protocol)。如: Router(Config)#no cdp run Router(Config-if)# no cdp enable 2 禁止其他的TCP、UDP Small服务。 Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers 3 禁止Finger服务。 Router(Config)# no ip finger Router(Config)# no service finger 4 建议禁止HTTP服务。 Router(Config)# no ip http server 如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。 5 禁止BOOTp服务。 Router(Config)# no ip bootp server 6 禁止IP Source Routing。 Router(Config)# no ip source-route 7 建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。 Router(Config)# no ip proxy-arp Router(Config-if)# no ip proxy-arp 8禁止IP Directed Broadcast。 Router(Config)# no ip directed-broadcast 9 禁止IP Classless。 Router(Config)# no ip classless 10 禁止ICMP协议的IP Unreachables, Redirects, Mask Replies。 Router(Config-if)# no ip unreacheables Router(Config-if)# no ip redirects Router(Config-if)# no ip mask-reply 11 建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。如: Router(Config)# no snmp-server community public Ro Router(Config)# no snmp-server community admin RW 12 如果没必要则禁止WINS和DNS服务。 Router(Config)# no ip domain-lookup 如果需要则需要配置: Router(Config)# hostname Router Router(Config)# ip name-server 219.150.32.xxx 13 明确禁止不使用的端口。如: Router(Config)# interface eth0/3 Router(Config)# shutdown二、路由器访问控制的安全配置(可选) 路由器的访问控制是比较重要的安全措施,但是目前由于需求不明确,可以考虑暂时不实施。作为建议提供。 1 建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。 2 严格控制CON端口的访问。 配合使用访问控制列表控制对CON口的访问。 如:Router(Config)#Access-list 1 permit 192.168.0.1 Router(Config)#line con 0 Router(Config-line)#Transport input none Router(Config-line)#Login local Router(Config-line)#Exec-timeoute 5 0 Router(Config-line)#access-class 1 in Router(Config-line)#end 同时给CON口设置高强度的密码。 3 如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如: Router(Config)#line aux 0 Router(Config-line)#transport input none Router(Config-line)#no exec 4 建议采用权限分级策略。如: Router(Config)#username test privilege 10 xxxx Router(Config)#privilege EXEC level 10 telnet Router(Config)#privilege EXEC level 10 show ip access-list 5 为特权模式的进入设置强壮的密码。不要采用enab
双线路路由策略设置实例
10-25
了解了基本的路由策略设置方法后我们来通过他解决双线双路网络路由实际问题,首先虚拟出这样一个环境,企业申请了双线网络出口,一边是网通线路另一边则是电信线路,我们需要做的就是通过路由策略让发往不同网络的数据可以直接转发到对应网络的接口。 知道了技术应用点后我们就要运用该技术解决实际问题了,策略路由的使用和我们编写程序一样是非常灵活的,他可以设置转发的条件,也可以通过源地址或目的地址信息来指引数据包的发送方向。
路由器配置100个经典实例
11-25
# # 路由器配置实例,压缩包中有28个Word文档,共实例100个,可以满足大家了,都是与路由器有关的。 因为word文档比较多,现只摘录部分文档文件名如下: Cisco 与 Intel路由器的对连配置实例.doc Cisco路由器VOIP 配置解析.doc Cisco路由器安全配置方案.doc Cisco路由器安全配置简易方案.doc Cisco路由器的安全配置.doc CISCO路由器配置基础.doc Cisco路由器配置信息在Unix下的备份、恢复与更新.doc ......
BGP路由策略配置实例
qq_43710889的博客
02-06 3172
BGP路由策略配置实例
策略路由配置示例
扎实基础方能走远
11-30 2716
  设备 192.200.235.91 路由问题和解决办法 场景: a. 3网卡 eth0:192.200.235.91  eth2: 192.200.235.82   eth3:192.200.235.93  共同默认网关192.200.235.81 b. 到目的ip 10.191.88.1走 eth2   到目的ip 10.191.88.33 走eth3 问题: a. 内网其他设备pin...
路由策略简介、配置举例
weixin_45059947的博客
12-05 2036
定义路由策略主要实现了路由过滤和路由属性等设置功能,他通过改变路由属性(包括可达性)来改变网络流量所经过的路径。目的优势路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如:控制路由的接收和发布只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。控制路由的引入在一种路由协议引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。设置特定路由的属性修改通过路由策略过滤的路由的属性,满足自身需要。通过控
华为策略路由与IP-Link联动配置实例
据"华为策略路由与IP-Link联动.docx"文件中的配置举例,我们可以了解到如何通过配置策略路由为不同报文选择下一跳,以便分担链路流量。另外,我们还可以了解到如何通过IP-Link来监视策略路由中报文的下一跳所在链路...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值