自从上了网络监控设备后,一直上网上的很小心,所有记录在设备上都有保留。刚得知有PRB这种神器,计划绕开监控设备从另一条线路出去上网。

因为本来网络架构中,所有网段的默认路由从cnc出去,cnc的出口处放着监控设备,想上网就一定会被记录。计划在本vlan中使用PBR,用acl控制,只允许自己的ip从cuc线路出去。


首先写acl

access-list 121 deny   ip 192.16.38.0 0.0.0.255 172.0.0.0 0.255.255.255--内网服务器不在匹配行列,依旧走原来路由

access-list 121 permit ip host 192.16.38.1 any--只允许自己的ip地址被匹配。


写PBR

route-map PBR permit 10

match ip address 121

set ip next-hop 172.16.1.3-----指向下一个节点(如果使用HSRP,下一跳一定要写备的vlan网关


最后应用到vlan

interface Vlan11

ip policy route-map PBR


如果使用了 HSRP的,要在备的交换机上也运行以上命令。不同的只是在写PBR时,next-hop地址要写到另一条线路上的接口地址。