实验拓扑如图,需求如下:
需求:
1.分部可以访问市场部,不允许访问其他部门
总部不可以访问研发部,允许访问其他部门
分别尝试用Filter policy和router policy 去实现。
2.通过策略路由,使得总部PC6通过AR2-AR3-AR4访问财务部,总部PC5通过AR2-AR1-AR4访问财务部。
涉及到的内容:路由策略、策略路由、OSPF、地址前缀列表、访问控制列表等
首先我们先配置好各个端口及主机的IP地址、OSPF邻居的建立以及直连路由的引入。
配置完成后查看R1&R2的路由表:
再从总部和分部去ping其他的部门,是均能ping通的:
需求1:
分部可以访问市场部,不允许访问其他部门
总部不可以访问研发部,允许访问其他部门
分别尝试用Filter policy和router policy 去实现。
第一种方法可以通过Filter policy,从R2端过滤掉从OSPF进程学习到的10.1.2.0/24网段路由
首先先创建ip prefix匹配感兴趣流:
[r2]ip ip-prefix ip2 index 10 deny 10.1.2.0 24
[r2]ip ip-prefix ip2 index 20 permit 0.0.0.0 0 less-equal 32
禁止10.1.2.0/24路由,允许其他路由的通过
随后在OSPF进程里进行调用:
[r2-ospf-1]filter-policy ip-prefix ip2 import
方向为import,在路由进入时进行过滤动作。这时候再去查看路由表:
可以看出10.1.2.0/24网段的路由已经被过滤掉了,此时总部和研发部间已经无法进行通信了:
另外也可以使用router policy,由于总部和分部都是不可以访问研发部的,所以可以在R4的OSPF进程引入直连路由时进行过滤。
先把R2配置的filter policy undo掉,再进行相应的配置:
[r2-ospf-1]undo filter-policy ip-prefix ip2 import
[r4]ip ip-prefix rp2 index 10 permit 10.1.2.0 24 用ip prefix 匹配路由10.1.2.0/24
[r4]route-policy rp2 deny node 10
[r4-route-policy] if-match ip-prefix ip2 创建route-policy并引用ip prefix rp2的匹配
[r4]route-policy rp2 permit node 20 开放其他流量
[r4]ospf 1
[r4-ospf-1]import-route direct route-policy rp2
在ospf 1视图中引用route-policy
此时再在R2上进行观察:
10.1.2.0/24网段的路由依然被过滤掉了,总部和分部均不能访问研发部的需求完成。
如果要让分部不能访问财务部的话,如果使用流量过滤的方法,在R1上过滤掉路由,那么也会影响到路由传递到R2,所以需要采用策略路由,从转发平面影响分部与财务部的通信:
[r1-acl-adv-3000]rule deny ip source 10.1.4.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
先配置acl ,禁止源地址为10.1.4.0网段,目的地址为10.1.1.0网段的数据流发送
并从R1的0号端口的进方向引用
此时再去用PC4 ping财务部的PC1,此时已经无法ping通了,需求1完成:
需求2:通过策略路由,使得总部PC6通过AR2-AR1-AR4访问财务部,总部PC5通过AR2-AR3-AR4访问财务部。
分别先查看PC5、PC6访问财务部的路径:
PC5:
PC6:
可以看到PC6去往财务部的路径为R2-R3-R4
PC5去往财务部的路径为R2-R1-R4
通过策略路由来影响选路的话,需要用到工具traffic-policy,在PC5和PC6的网关R2处配置
首先创建acl 3000 3001分别匹配源地址10.1.5.15、10.1.5.16,目的地位为10.1.1.11的数据流
[r2]acl 3000
[r2-acl-adv-3000]rule permit ip source 10.1.5.15 0.0.0.0 destination 10.1.1.11 0.0.0.0
[r2-acl-adv-3000]q
[r2]acl 3001
[r2-acl-adv-3001]rule permit ip source 10.1.5.16 0.0.0.0 destination 10.1.1.11 0.0.0.0
[r2-acl-adv-3001]q
然后使用traffic classfier分别引用acl 3000 3001,traffic behavior指定匹配数据流的动作,重指定两者转发的下一跳
[r2]traffic classifier 234
[r2-classifier-234]if-match acl 3000
[r2-classifier-234]q
[r2]traffic behavior 234
[r2-behavior-234]redirect ip-nexthop 10.1.23.3
[r2-behavior-234]q
[r2]traffic classifier 214
[r2-classifier-214]if-match acl 3001
[r2-classifier-214]q
[r2]traffic behavior 214
[r2-behavior-214]redirect ip-nexthop 10.1.12.1
[r2-behavior-214]q
最后创建traffic policy结合traffic classiffier、traffic behavior,这样就完成了策略工具的配置,最后在R2的g0/0/0接口进行调用,方向为进方向:
[r2]traffic policy cwb
[r2-trafficpolicy-cwb] classifier 234 behavior 234
[r2-trafficpolicy-cwb] classifier 214 behavior 214
[r2]int g 0/0/0
[r2-GigabitEthernet0/0/0]traffic-policy cwb inbound
此时再查看两台PC访问财务部的路径:
此时PC5访问财务部的路径为AR2-AR3-AR4,PC6访问财务部的路径为AR2-AR1-AR4,本次小实验结束~
扫一扫
2522
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
