设为首页收藏本站
开启辅助访问 切换到窄版

a我考网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

我考网»我考网社区 计算机考试 思科认证 思科认证:Cisco基于策略路由的配置方法
返回列表 发新帖
查看: 151|回复: 2

[CCIE] 思科认证:Cisco基于策略路由的配置方法

[复制链接]
会计考友
发表于 2012-8-3 20:12:39 | 显示全部楼层 |阅读模式
问题描述:您可以界说自己的轨则来进行数据包的路由而不仅仅由目的地地址所抉择。在这里您可以学到怎么使用基于策略路由的法子来解决这一问题。在具体的应用中,基于策略的路由有:   ☆ 基于源IP地址的策略路由' W" U9 \( t. p6 C7 {& X+ V
  ☆ 基于数据包巨细的策略路由" {  B4 l. @/ Z# Q
  ☆ 基于应用的策略路由( Q0 K  @$ _* {+ \
  ☆ 经由过程缺省路由平衡负载! w1 B- e6 L6 ]. b6 f' ^3 ?0 M
  这里,讲述了第一种情形的路由策略% M" f. ]. v2 t& [( ?
  举例:在这个例子中,防火墙的浸染是:把10.0.0.0/8内部网地址翻译成可路由的172.16.255.0/24子网地址。3 B8 `( H" C. U+ y! o3 ^9 g, B% \
  下面的防火墙设置装备摆设是为了完整性而加进去的,它不是策略路由设置装备摆设所必需的。在这里的防火墙可以被其它近似的产物庖代,如PIX或其它近似防火墙设备。这里的防火墙的设置装备摆设如下:( A2 ^/ L% y5 D3 A5 a8 ~
  access-list 1 permit 10.0.0.0 0.255.255.255# b& v& ~6 ^0 S8 g- u& y
  ip nat pool net-10 172.16.255.1 172.16.255.254 prefix-length 24) z1 {+ Q/ o! D8 p9 o
  ip nat inside source list 1 pool net-106 j7 z: I% G1 R1 ~
  interface Ethernet0
1 [# V3 G/ C  R2 r1 [0 I  ip address 172.16.20.2 255.255.255.09 q( j8 O) v& L5 o9 s5 ^
  ip nat outside1 M9 T+ W) f; Z' b, b& j3 o
  interface Ethernet16 h9 k) ?* Y9 _8 l, ]8 r
  ip address 172.16.39.2 255.255.255.02 w7 b' q# ?) V' `3 X
  ip nat inside; O8 M, k  J) U
  router eigrp 1
. j5 ^& d2 r* ?/ y  network 172.16.0.0
% ~& o7 l0 |, u  default-metric 10000 100 255 1 1500' O" m2 W5 W+ [9 P1 P
  ip route 172.16.255.0  255.255.255.0  Null0. v9 w) ?9 V! C. v
& _7 B: d8 q' [# S) D. ?, z
  end
回复

使用道具 举报

会计考友
 楼主| 发表于 2012-8-3 20:12:40 | 显示全部楼层

思科认证:Cisco基于策略路由的配置方法

</p>  在我们的例子中,Cisco WAN路由器上运行策略路由来保证年夜10.0.0.0/8收集来的IP数据包被发送到防火墙去。设置装备摆设中界说了两条net-10策略轨则。第一条策略就界说了年夜10.0.0.0/8收集来的IP数据包被发送到防火墙去(我们很快会看到这里的设置装备摆设有问题)。而第二条轨则许可所有的其它数据包能按正常路由。这里的Cisco WAN路由器的设置装备摆设如下:! Y3 s' e1 U* o/ h+ i8 s6 R# D
  interface Ethernet0/0  f5 z9 {: [8 }& l
  ip  address 172.16.187.3 255.255.255.0
7 E7 \5 W- W+ x5 K6 _  interface Ethernet0/1, K: q* p+ @4 L4 j4 `7 E9 m) z
  ip  address 172.16.39.3 255.255.255.0) M0 N8 g' o2 @2 o  z; i
  interface Ethernet3/0
' Z2 N! k% ?% \. r, V# J' G  ip  address 172.16.79.3 255.255.255.08 N( q; d  l) h7 M4 q2 k
  ip  policy route-map net-10
, H# b5 Y( Q  L- U/ g  router eigrp 1
) G' @: M  U( C" L/ q: P6 u  network 172.16.0.01 U7 E$ W1 z: f' v+ q/ A
  access-list 110 permit ip 10.0.0.0 0.255.255.255 172.16.36.0 0.0.0.2559 U' d2 ^9 f! I, B: w! b% Q
  access-list 111 permit ip 10.0.0.0 0.255.255.255 any
: `) {: q/ R& Z9 ~( @, T  route-map net-10 permit 102 B0 D4 T4 f# D3 H' H; ^  u' Q
  match ip address 1119 d# v0 f' ]; p
  set interface Ethernet0/1
1 I- Q. v. Y0 M, [  route-map net-10 permit 20
; H  X$ a0 n+ g  ~5 s  end
( w; k. N, o8 `3 {: V! w9 P  我们可以这样测试我们所做的设置装备摆设。在名为Cisco-1的路由器10.1.1.1上发送ping呼吁到Internet上的一个主机(这里就是192.1.1.1主机)。要查看名为Internet Router的路由器上的情形,我们在特权呼吁模式下执行debug ip packet 101 detail呼吁。(此鱿脯在此路由器上有access-list 101 permit icmp any any设置装备摆设呼吁)。 下面是输出结不美观:0 V5 P/ Q/ J  p" p* J, F& g
  Results of ping from Cisco-1 to 192.1.1.1/internet taken from Internet_Router:
- @" D# A% G6 J6 x7 _, Q4 Z% {  Pakcet never makes it to Internet_Router# A' v' h$ I6 ^) H/ c
  正如您所看到的:数据包没有达到Internet_Router路由器。下面的在Cisco WAN路由器上的debug呼吁给出了原因:) V6 i/ M& z' Z. B* ]
  Debug commands run from Cisco_WAN_Router:
7 L0 T/ x3 D  k0 K  "debug ip policy"* h( x. e! J- P0 A+ i, g2 Y
  2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match0 @. ~9 h& \+ J' ~3 t9 Y
  2d15h: IP: route map net-10, item 10, permit( i$ t; k* t' i9 d- p
  2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100, policy routed4 i/ D( N" f5 N/ u: I
  2d15h: IP: Ethernet3/0 to Ethernet0/1 192.1.1.17 U% h/ X" ~& ^1 ]) }5 \" u9 i; a
  这里,数据包确实匹配了net-10策略图中的第一条轨则。但为什么仍是没有达到预期的目的呢?用"debug arp"来看一下。
$ i$ H9 A0 u: Z8 [8 s  e3 W  "debug arp"5 v5 n  L* Z, \3 \+ s
  2d15h: IP ARP: sent req src 172.16.39.3 0010.7bcf.5b02,9 D& l: A' J9 Y9 x$ {
  dst 192.1.1.1 0000.0000.0000 Ethernet0/19 h- j# V. `0 Z8 l
  2d15h: IP ARP rep filtered src 192.1.1.1 00e0.b064.243d, dst 172.16.39.3 0010.7bcf.5b02
. M4 K' U/ I0 t* |' b7 N8 R, y7 g0 J* c. R/ F3 z/ g2 o# P
  wrong cable, interface Ethernet0/1
回复 支持 反对

使用道具 举报

会计考友
 楼主| 发表于 2012-8-3 20:12:41 | 显示全部楼层

思科认证:Cisco基于策略路由的配置方法

</p>  debug arp的输出给出了原因。路由器全力完成它被指示要做的动作,而且试图把数据包发向Ethernet0/1接口,但失踪败了。这要求路由器为目的地址192.1.1.1执行地址解析和谈操作,当执行该使命时,路由器知道了目的地址不处于该接口。接下来,路由器发生封装错误。所以,最后数据包不能达到192.1.1.1。; E  t/ Z: P" e
  我们若何避免这个问题呢?改削路由图使防火墙地址为下一跳。
( A' x2 Q. P4 \. f  Config changed on Cisco_WAN_Router:
/ Y2 g& ]4 B* e7 g& I' d  route-map net-10 permit 10* i  }2 y% d6 [4 L6 R( t5 B: ]
  match ip address 111
$ y% H: f5 [+ I6 O% z+ n, V: u  set ip next-hop 172.16.39.2" ?* l1 K$ `- X$ q5 y
  !
0 D# F% }4 p+ y6 j  D  改削后,在Internet Router上运行同样的呼吁:debug ip packet 101 detail。这时,数据包可以按设置装备摆设前进。我们也能看到数据包被防火墙翻译成了172.16.255.1。192.1.1.1主机的回应:
/ o$ t/ Q4 _2 U1 t& p  Results of ping from Cisco_1 to 192.1.1.1/internet taken from Internet_Router:
! u# y4 r0 A, V' h, H  W& S  2d15h: IP: s=172.16.255.1 (Ethernet1), d=192.1.1.1 (Serial0), g=192.1.1.1, len 100, forward! z: t/ Q5 w0 J: d4 V" m$ T
  2d15h: ICMP type=8, code=0
6 T3 b0 O# t+ a0 q, i8 q  2d15h:
2 G3 n0 X, i& @* j  2d15h: IP: s=192.1.1.1 (Serial0), d=172.16.255.1 (Ethernet1), g=172.16.20.2, len 100, forward; Y/ _+ X# N! P; q$ G
  2d15h: ICMP type=0, code=0
4 ]3 A1 A9 G' n3 _; o" H  2d15h:, J8 T! B- Q" E' a
  在Cisco WAN路由器上执行debug ip policy呼吁后,我们可以看到数据包被传递到了防火墙,172.16.39.2:  h' R7 x( }; Y0 b
  Debug commands run from Cisco_WAN_Router:7 m- w1 `% L6 x5 \! d$ n0 a0 w5 l
  "debug ip policy"
: r$ a# d  W  q  2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match2 F2 k0 c2 j  ]  ~
  2d15h: IP: route map net-10, item 20, permit2 l, ^5 K0 @" `
  2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100, policy routed
/ g. j1 a9 d# A% T) `  L  2d15h: IP: Ethernet3/0 to Ethernet0/1 172.16.39.2
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|Woexam.Com ( 湘ICP备18023104号 )

GMT+8, 2024-5-3 07:36 , Processed in 0.640508 second(s), 25 queries .

Powered by Discuz! X3.4 Licensed

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表