二、知识点
1, MOC
1)实验拓扑
2)实验需求
200.1.1.0 访问 VLAN10 时
正常情况下 PC5 -R4--R3
在R4上通过MQC 实现 PC5 -R4-R5---
3)实验思路
(1)配置IP地址信息
(2)配置路由-OSPF area 0
(3)配置MQC 替代 接口PBR策略路由
(4)验证
4)实验步骤
在R4 查看 去往 172.168.10.0 VLAN10 段的 路由
[R4]DIS IP routing-table
Route Flags: R - relay, D - download to fib
Routing Tables: Public
Destinations : 17 Routes : 18
Destination/Mask Proto Pre Cost Flags NextHop Interface
100.1.1.0/24 Direct 0 0 D 100.1.1.4 GigabitEthernet0/0/0
172.168.10.0/24 OSPF 10 2 D 100.1.1.3 GigabitEthernet0/0/0
200.1.1.0/24 Direct 0 0 D 200.1.1.254 GigabitEthernet0/0/1
R4配置MQC:
acl number 3000 //配置ACL 抓取感兴趣的数据报文
rule 5 permit ip source 200.1.1.0 0.0.0.255 destination 172.168.10.0 0.0.0.255
[R4]traffic classifier 10 //配置流分类
[R4-classifier-10]if-match acl 3000
traffic behavior 10 //配置流行为
redirect ip-nexthop 200.3.3.5
[R4]traffic policy 10 //配置流策略
[R4-trafficpolicy-10]classifier 10 behavior 10
interface GigabitEthernet0/0/1 //在接口的入方向调用流策略
ip address 200.1.1.254 255.255.255.0
traffic-policy 10 inbound
然后 ,200.1.1.0段主机 访问 172.168.10.0 段 主机 ,在 下一跳 200.3.3.5 方向 抓包查看,能够看到数据,说明MQC 实现的策略路由已经生效 ,数据包针对策略路由 优先匹配生效,没有策略路由或者没有生效的 再依据路由表转发数据
5)实验总结
试验时 ,接口策略路由使用 router 路由器 ,但是 MQC router 路由器不支持 ,更改为AR 2220 可以
接口策略路由只能应在数据流方向的接口入方向
2,流量过滤
1) 使用Traffic-Filter过滤流量
2)拓扑:
3)配置:
[r1]acl 3000
[r1-acl-adv-3000]rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
[r1-acl-adv-3000]rule permit ip //这里ACL不仅仅匹配,还有放行、拒绝流量的功能
[r1-acl-adv-3000]q
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 //调用ACL在接口的入向 ,也可调用的出向
**使用MQC过滤流量 **
为匹配ACL规则的报文指定报文过滤动作时,如果此ACL中的rule规则配置为permit,则设备对此报文采取的动作由流行为中配置的deny或permit决定;如果此ACL中的rule规则配置为deny,则无论流行为中配置了deny或permit,此报文都被丢弃。
需求同上:
(1)为了提高安全性,不允许工程部访问 财务部的网络
(2)其他部门之间不限制
1)拓扑:
2)配置
[r1]acl 3000
[r1-acl-adv-3000]rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
[r1-acl-adv-3000]rule permit ip //这里不仅仅匹配,还有放行、拒绝流量的功能
[r1-acl-adv-3000]q
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[R1]undo acl 3000
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]undo traffic-filter inbound
以上时将traffic-filter 删除:
[R1]acl 3000 //用ACL 匹配要过滤的流量,仅仅时匹配 ,只能用permit ,没有放行和拒绝的功能
[R1-acl-adv-3000]rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
[R1-acl-adv-3000]q
[R1]traffic classifier 10_30 //配置流分类
[R1-classifier-10_30]if-match acl 3000
[R1-classifier-10_30]q
[R1]traffic behavior 10_30 //配置流行为
[R1-behavior-10_30]deny
[R1-behavior-10_30]q
[R1]traffic policy 10_30 //配置流策略
[R1-trafficpolicy-10_30]classifier 10_30 behavior 10_30
[R1-trafficpolicy-10_30]q
[R1]int g0/0/0 //接口调用流策略
[R1-GigabitEthernet0/0/0]traffic-policy 10_30 inbound
[R1-GigabitEthernet0/0/0]undo traffic-policy inbound
[R1-GigabitEthernet0/0/0]traffic-policy 10_30 inbound