防火墻基于策略路由的配置技巧

http://www.yibo1263.com　2010/3/23 8:37:27 　來源:東北IT網　編輯:葉子

　　問題描述：您可以定義自己的規(guī)則來進行數據包的路由而不僅僅由目的地地址所決定。在這里您可以學到怎么使用基于策略路由的辦法來解決這一問題。在具體的應用中，基于策略的路由有：

　　☆ 基于源IP地址的策略路由

　　☆ 基于數據包大小的策略路由

　　☆ 基于應用的策略路由

　　☆ 通過缺省路由平衡負載

　　這里，講述了第一種情況的路由策略

　　舉例:在這個例子中，防火墻的作用是：把10.0.0.0/8內部網地址翻譯成可路由的172.16.255.0/24子網地址。

　　下面的防火墻配置是為了完整性而加進去的，它不是策略路由配置所必需的。在這里的防火墻可以被其它類似的產品代替，如PIX或其它類似防火墻設備。這里的防火墻的配置如下：

　　access-list 1 permit 10.0.0.0 0.255.255.255

　　ip nat pool net-10 172.16.255.1 172.16.255.254 prefix-length 24

　　ip nat inside source list 1 pool net-10

　　interface Ethernet0

　　ip address 172.16.20.2 255.255.255.0

　　ip nat outside

　　interface Ethernet1

　　ip address 172.16.39.2 255.255.255.0

　　ip nat inside

　　router eigrp 1

　　network 172.16.0.0

　　default-metric 10000 100 255 1 1500

　　ip route 172.16.255.0 255.255.255.0 Null0

　　end

　　在我們的例子中，Cisco WAN路由器上運行策略路由來保證從10.0.0.0/8網絡來的IP數據包被發(fā)送到防火墻去。配置中定義了兩條net-10策略規(guī)則。第一條策略就定義了從10.0.0.0/8網絡來的IP數據包被發(fā)送到防火墻去(我們很快會看到這里的配置有問題)。而第二條規(guī)則允許所有的其它數據包能按正常路由。這里的Cisco WAN路由器的配置如下：

　　interface Ethernet0/0

　　ip address 172.16.187.3 255.255.255.0

　　interface Ethernet0/1

　　ip address 172.16.39.3 255.255.255.0

　　interface Ethernet3/0

　　ip address 172.16.79.3 255.255.255.0

　　ip policy route-map net-10

　　router eigrp 1

　　network 172.16.0.0

　　access-list 110 permit ip 10.0.0.0 0.255.255.255 172.16.36.0 0.0.0.255

　　access-list 111 permit ip 10.0.0.0 0.255.255.255 any

　　route-map net-10 permit 10

　　match ip address 111

　　set interface Ethernet0/1

　　route-map net-10 permit 20

　　end

本新聞共2頁,當前在第1頁 1 2

【收藏】【打印】【進入論壇】

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费