《思科Cisco路由怎么基于策略配置.docx》由会员分享,可在线阅读,更多相关《思科Cisco路由怎么基于策略配置.docx(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、思科Cisco路由怎么基于策略配置cisco公司已成为公认的全球网络互联解决方案的领先厂商,其公司出产的一系列路由器更是引领全球,那么你知道思科Cisco路由怎么基于策略配置吗?下面是学习啦我整理的一些关于思科Cisco路由怎么基于策略配置的相关资料,供你参考。思科Cisco路由基于策略配置的方法:下面的防火墙配置是为了完好性而加进去的,它不是策略路由配置所必需的。在这里的防火墙能够被其它类似的产品代替,如PIX或其它类似防火墙设备。这里的防火墙的配置如下:access-list1permit10.0.0.00.255.255.255ipnatpoolnet-10172.16.255.1172
2、.16.255.254prefix-length24ipnatinsidesourcelist1poolnet-10interfaceEthernet0ipaddress172.16.20.2255.255.255.0ipnatoutsideinterfaceEthernet1ipaddress172.16.39.2255.255.255.0ipnatinsideroutereigrp1network172.16.0.0default-metric1000010025511500iproute172.16.255.0255.255.255.0Null0end在我们的例子中,CiscoWAN路由
3、器上运行策略路来历保证从10.0.0.0/8网络来的IP数据包被发送到防火墙去。配置中定义了两条net-10策略规则。第一条策略就定义了从10.0.0.0/8网络来的IP数据包被发送到防火墙去(我们很快会看到这里的配置有问题)。而第二条规则允许所有的其它数据包能按正常路由。这里的CiscoWAN路由器的配置如下:interfaceEthernet0/0ipaddress172.16.187.3255.255.255.0interfaceEthernet0/1ipaddress172.16.39.3255.255.255.0interfaceEthernet3/0ipaddress172.16.
4、79.3255.255.255.0ippolicyroute-mapnet-10routereigrp1network172.16.0.0access-list110permitip10.0.0.00.255.255.255172.16.36.00.0.0.255access-list111permitip10.0.0.00.255.255.255anyroute-mapnet-10permit10matchipaddress111setinterfaceEthernet0/1route-mapnet-10permit20end我们能够这样测试我们所做的配置。在名为Cisco-1的路由器10.
5、1.1.1上发送ping命令到Internet上的一个主机(这里就是192.1.1.1主机)。要查看名为InternetRouter的路由器上的情况,我们在特权命令形式下执行debugippacket101detail命令。(其中,在此路由器上有access-list101permiticmpanyany配置命令)。下面是输出结果:ResultsofpingfromCisco-1to192.1.1.1/internettakenfromInternet_Router:PakcetnevermakesittoInternet_Router正如您所看到的:数据包没有到达Internet_Route
6、r路由器。下面的在CiscoWAN路由器上的debug命令给出了原因:DebugcommandsrunfromCisco_WAN_Router:debugippolicy2d15h:IP:s=10.1.1.1(Ethernet3/0),d=192.1.1.1,len100,policymatch2d15h:IP:routemapnet-10,item10,permit2d15h:IP:s=10.1.1.1(Ethernet3/0),d=192.1.1.1(Ethernet0/1),len100,policyrouted2d15h:IP:Ethernet3/0toEthernet0/1192.1
7、.1.1这里,数据包确实匹配了net-10策略图中的第一条规则。但为什么还是没有到达预期的目的呢?用debugarp来看一下。debugarp2d15h:IPARP:sentreqsrc172.16.39.30010.7bcf.5b02,dst192.1.1.10000.0000.0000Ethernet0/12d15h:IPARPrepfilteredsrc192.1.1.100e0.b064.243d,dst172.16.39.30010.7bcf.5b02wrongcable,interfaceEthernet0/1debugarp的输出给出了原因。路由器努力完成它被指示要做的动作,而且
8、试图把数据包发向Ethernet0/1接口,但失败了。这要求路由器为目的地址192.1.1.1执行地址解析协议操作,当执行该任务时,路由器知道了目的地址不处于该接口。接下来,路由器发生封装错误。所以,最后数据包不能到达192.1.1.1。我们如何避免这个问题呢?修改路由图使防火墙地址为下一跳。ConfigchangedonCisco_WAN_Router:!route-mapnet-10permit10matchipaddress111setipnext-hop172.16.39.2!修改后,在InternetRouter上运行同样的命令:debugippacket101detail。这时,数
9、据包能够按配置前进。我们也能看到数据包被防火墙翻译成了172.16.255.1。192.1.1.1主机的回应:ResultsofpingfromCisco_1to192.1.1.1/internettakenfromInternet_Router:2d15h:IP:s=172.16.255.1(Ethernet1),d=192.1.1.1(Serial0),g=192.1.1.1,len100,forward2d15h:ICMPtype=8,code=02d15h:2d15h:IP:s=192.1.1.1(Serial0),d=172.16.255.1(Ethernet1),g=172.16.
10、20.2,len100,forward2d15h:ICMPtype=0,code=02d15h:在CiscoWAN路由器上执行debugippolicy命令后,我们能够看到数据包被传递到了防火墙,172.16.39.2:DebugcommandsrunfromCisco_WAN_Router:debugippolicy2d15h:IP:s=10.1.1.1(Ethernet3/0),d=192.1.1.1,len100,policymatch2d15h:IP:routemapnet-10,item20,permit2d15h:IP:s=10.1.1.1(Ethernet3/0),d=192.1.1.1(Ethernet0/1),len100,policyrouted2d15h:IP:Ethernet3/0toEthernet0/1172.16.39.2看过文章思科Cisco路由怎么基于策略配置的人还看了:1.cisco思科路由器设置2.思科路由器基本配置教程3.Cisco(思科)新手之路由器连接4.思科路由器怎么进入思科路由器怎么设置5.怎样查看Cisco路由器的配置信息6.思科路由器控制端口连接图解7.怎样cisco路由器愈加安全8.cisco怎么进端口9.ciscoip设置10.cisco怎样看未接来电