你所在的位置: 首页 > 思科认证 > CCNP >
最新开班 班级 报名状态
8月14日 HCIP-R&S脱产班 热招中
8月5日 HCIA-R&S脱产班 热招中
8月4日 HCIP-Storage脱产班 热招中
7月29日 HCIP-Cloud脱产班 热招中
7月29日 HCIA-Storage脱产班 热招中
7月25日 HCIP-R&S脱产班 热招中
7月24日 RHCE脱产班 热招中
7月22日 HCIA-CLoud脱产班 热招中
7月18日 RHCSA脱产班 热招中
7月18日 HCIP-R&S脱产班 热招中
  • 博赛网络ICT就业班热招中
  • 博赛推出Oracle OCM实战课程

浅析PBR(基于策略的路由)(2)

时间:2013-11-13 16:41 作者:Superthink 点击:

路由器的初始配置如下:


  1. Router(config)#interface Ethernet0/0
  2. Router(config-if)#ip address 200.1.1.1 255.255.255.0
  3. Router(config-if)#exit
  4. Router(config)#interface Ethernet0/1
  5. Router(config-if)#ip address 199.1.1.1 255.255.255.0
  6. Router(config-if)#exit

 

测试连通性:


  1. Router#ping 200.1.1.100
  2. Type escape sequence to abort.
  3. Sending 5, 100-byte ICMP Echos to 200.1.1.100, timeout is 2 seconds:
  4. !!!!!
  5. Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms
  6. Router #ping 200.1.1.10
  7. Type escape sequence to abort.
  8. Sending 5, 100-byte ICMP Echos to 200.1.1.10, timeout is 2 seconds:
  9. !!!!!
  10. Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
  11. Router #ping 199.1.1.100
  12. Type escape sequence to abort.
  13. Sending 5, 100-byte ICMP Echos to 199.1.1.100, timeout is 2 seconds:
  14. !!!!!
  15. Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms

配置匹配敏感流量的ACL:


  1. Router(config)#access-list 100 permit ip host 199.1.1.1 host 200.1.1.10

配置null0接口:


  1. Router(config)#interface null 0
  2. Router(config-if)#no ip unreachables

建立路由映射:


  1. Router(config)#route-map pbr
  2. Router(config- route-map)#match ip address 100
  3. Router(config- route-map)#set interface null 0

 

在出口路由器的E0/1接口上打开NETFLOW交换功能,方便我们对结果进行查看,并在该接口上调用PBR:


  1. Router(config)#interface Ethernet0/1
  2. Router(config-if)#ip route-cache flow
  3. Router(config-if)# ip policy route-map pbr
  4. Router(config-if)#exit
  5.  
  6. 在远程主机上对内网的设备再次进行连通性测试:
  7.  
  8. C:\>ping 200.1.1.100
  9. Pinging 200.1.1.100 with 32 bytes of data:
  10. Reply from 200.1.1.100: bytes=32 time<1ms TTL=128
  11. Reply from 200.1.1.100: bytes=32 time<1ms TTL=128
  12. Reply from 200.1.1.100: bytes=32 time<1ms TTL=128
  13. Reply from 200.1.1.100: bytes=32 time<1ms TTL=128
  14. Ping statistics for 200.1.1.100:
  15. Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
  16. Approximate round trip times in milli-seconds:
  17. Minimum = 0ms, Maximum = 0ms, Average = 0ms
  18. C:\>ping 200.1.1.10
  19. Pinging 200.1.1.10 with 32 bytes of data:
  20. Request timed out.
  21. Request timed out.
  22. Request timed out.
  23. Request timed out.
  24. Ping statistics for 200.1.1.10:
  25. Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

这时,会发现外部网络的远程用户已经无法ping通内部的用户了,但是还是可以ping通WWW服务器。查看边界路由器的状态:


  1. Router#show access-lists
  2. Extended IP access list 100
  3. 10 permit ip host 199.1.1.100 host 200.1.1.10 (18 matches)
  4. Router#show ip cache flow
  5. IP packet size distribution (18 total packets):
  6. 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
  7. .000 .000 .000 1.00 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
  8. 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
  9. .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
  10. IP Flow Switching Cache, 278544 bytes
  11. 1 active, 4095 inactive, 3 added
  12. 66 ager polls, 0 flow alloc failures
  13. Active flows timeout in 30 minutes
  14. Inactive flows timeout in 15 seconds
  15. last clearing of statistics never
  16. Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
  17. -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
  18. ICMP 2 0.0 5 100 0.0 4.0 15.3
  19. Total: 2 0.0 5 100 0.0 4.0 15.3
  20. SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
  21. Et0/1 199.1.1.100 Null 200.1.1.10 01 0000 0800 18

通过效果图我们发现,有18个数据包匹配了ACL,并被PBR牵引到null0接口后丢弃了。

PBR的相关知识就为大家介绍完了,希望大家已经掌握。

(责任编辑:Superthink)

评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)