博文目录:
一、策略路由是什么?
二、配置H3C双出口
1、配置NAPT
2、配置NATserver将内网telnet功能发布到外网
3、配置Easy-IP
4、配置策略路由
一、策略路由是什么?
它与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由选择的机制。策略路由是在路由表已经产生的情况下,不按照路由表进行转发,而是根据需要,依照某种策略改变其转发路径的方法。
路由策略的操作对象是“路由”信息,主要通过对路由的过滤和对路由属性或参数的设置来间接影响数据转发。策略路由的操作对象是“数据包”,主要通过设定的策略直接指导数据的转发。
策略路由通常分为两种:
- IP单播策略路由
- IP组播策略路由
不管是单播策略路由还是组播策略路由,其配置都需要做两方面的工作:一是定义哪些需要使用策略路由的报文;二是为这些报文指定路由,这可以通过对一个Route-policy的定义来实现。
本博文案例中涉及单播策略路由,下面对单播策略路由做分析。
IP单播策略路由可以分为接口策略路由和本地策略路由两种。
- 接口策略路由:在接口视图下配置(应用于报文到达的接口上),作用于到达该接口的报文。
- 本地策略路由:在系统视图下配置,对本机产生的报文进行策略路由。
策略路由可用于安全、负载分担等目的。对于一般转发和安全等方面的使用需求,大多数情况下使用的是接口策略路由。
二、配置H3C双出口
拓扑图如下:
环境分析:
该拓扑图中的校园网内部分为两个网段:一个为学生校舍网段(192.168.2.0),主要访问电信提供的internet服务器;另外一个网段为校园办公和教学用网段(192.168.3.0),主要访问教育网。校园网出口路由器连接了电信提供的internet20m光纤,同时也连接了教育网的20m光纤(由于H3C的模拟器无法模拟出PC和server,所以只好使用路由器来代替了)。
需求如下:
1)路由器配置要求:当其中任意一条外部光纤中断时,另一条光纤可备份其下属的网段访问internet服务或教育网资源。
2)Nat配置要求:出口路由器的两个出口都能同时使用校园内网的私有网段做nat后访问外部资源。教育网出口接口处还配置了telnet,使内部的教学网段对教育网提供telnet访问服务。
3)策略路由配置要求:校园网内的教学用网段192.168.3.0/24主要通过教育网访问外部资源,而校舍网段192.168.2.0/24主要通过电信出口访问Internet资源。当教育专网的光纤故障时,校舍网段可以通过电信出口访问相关教育网资源,当电信的光纤线路故障时,校舍网段可以通过专网出口访问相关资源。
开始配置:
R2配置如下:
[R2]int g0/0 <!--进入接口-->
[R2-GigabitEthernet0/0]ip add 192.168.100.2 24 <!--接口配置IP地址-->
[R2-GigabitEthernet0/0]undo shutdown <!--启用接口-->
[R2-GigabitEthernet0/0]quit <!--保存退出-->
[R2]int g0/1 <!--进入接口-->
[R2-GigabitEthernet0/1]ip add 192.168.10.1 24 <!--接口配置IP地址-->
[R2-GigabitEthernet0/1]undo shutdown <!--启用接口-->
[R2-GigabitEthernet0/1]quit <!--保存退出-->
[R2]int LoopBack 0 <!--创建虚拟接口-->
[R2-LoopBack0]ip add 2.2.2.2 32 <!--虚拟接口配置IP地址-->
[R2-LoopBack0]undo shutdown <!--启用虚拟接口-->
[R2-LoopBack0]quit <!--保存退出-->
[R2]ospf 1 router-id 2.2.2.2 <!--ospf进程为1,router-id2.2.2.2-->
[R2-ospf-1]area 0 <!--进入骨干区域area 0-->
[R2-ospf-1-area-0.0.0.0]network 192.168.100.0 0.0.0.255 <!--宣告直连-->
[R2-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 <!--宣告直连-->
[R2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0 <!--宣告直连->
[R2-ospf-1-area-0.0.0.0]quit <!--保存退出-->
[R2-ospf-1]quit <!--保存退出-->R3配置如下:
[R3]int g0/1 <!--进入接口-->
[R3-GigabitEthernet0/1]ip add 192.168.10.2 24 <!--接口配置IP地址-->
[R3-GigabitEthernet0/1]undo shutdown <!--启用接口-->
[R3-GigabitEthernet0/1]quit <!--保存退出-->
[R3]int g0/0 <!--进入接口-->
[R3-GigabitEthernet0/0]ip add 192.168.200.2 24 <!--接口配置IP地址-->
[R3-GigabitEthernet0/0]undo shutdown <!--启用接口-->
[R3-GigabitEthernet0/0]quit <!--保存退出-->
[R3]int g0/2 <!--进入接口-->
[R3-GigabitEthernet0/2]ip add 192.168.20.254 24 <!--接口配置IP地址-->
[R3-GigabitEthernet0/2]undo shutdown <!--启用接口-->
[R3-GigabitEthernet0/2]quit <!--保存退出-->
[R3]int LoopBack 0 <!--创建虚拟接口-->
[R3-LoopBack0]ip add 3.3.3.3 32 <!--虚拟接口配置IP地址-->
[R3-LoopBack0]undo shutdown <!--启用接口-->
[R3-LoopBack0]quit <!--保存退出-->
[R3]ospf 1 router-id 3.3.3.3 <!--ospf进程1,router-id为3.3.3.3-->
[R3-ospf-1]area 0 <!--进入骨干区域area 0-->
[R3-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 <!--宣告直连-->
[R3-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255 <!--宣告直连-->
[R3-ospf-1-area-0.0.0.0]network 192.168.200.0 0.0.0.255 <!--宣告直连-->
[R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0 <!--宣告虚拟接口-->
[R3-ospf-1-area-0.0.0.0]quit <!--保存退出-->
[R3-ospf-1]quit <!--保存退出-->VLAN1-PC1配置如下:
[VLAN1-PC1]int g0/0 <!--进入接口-->
[VLAN1-PC1-GigabitEthernet0/0]ip add 192.168.20.1 24 <!--接口配置IP地址->
[VLAN1-PC1-GigabitEthernet0/0]undo shutdown <!--启用接口-->
[VLAN1-PC1-GigabitEthernet0/0]quit <!--保存退出-->
[VLAN1-PC1]ip route-static 0.0.0.0 0.0.0.0 192.168.20.254 <!--配置去内网的默认路由->R1配置如下:
[R1]int g0/1 <!--进入接口-->
[R1-GigabitEthernet0/1]ip add 192.168.100.1 24 <!--接口配置IP地址-->
[R1-GigabitEthernet0/1]undo shutdown <!--启用接口-->
[R1-GigabitEthernet0/1]quit <!--保存退出-->
[R1]int g0/2 <!--进入接口-->
[R1-GigabitEthernet0/2]ip add 192.168.200.1 24 <!--接口配置IP地址-->
[R1-GigabitEthernet0/2]undo shutdown <!--启用接口-->
[R1-GigabitEthernet0/2]quit <!--保存退出-->
[R1]int g0/0 <!--进入接口-->
[R1-GigabitEthernet0/0]port link-mode bridge <!--修改接口为二层链路-->
[R1-GigabitEthernet0/0]port link-type access <!--接口配置为接入链路-->
[R1-GigabitEthernet0/0]port access vlan 1 <!--接口加入到vlan 1中-->
[R1-GigabitEthernet0/0]quit
[R1]int vlan 1 <!--进入vlan1,(设备自带vlan1不用创建)-->
[R1-Vlan-interface1]ip add 192.168.4.2 24 <!--配置IP地址-->
[R1-Vlan-interface1]undo shutdown <!--启用接口-->
[R1-Vlan-interface1]quit
[R1]ospf 1 <!--进入ospf进程1-->
[R1-ospf-1]area 0 <!--进入骨干区域area 0-->
[R1-ospf-1-area-0.0.0.0]network 192.168.100.0 0.0.0.255 <!--宣告直连-->
[R1-ospf-1-area-0.0.0.0]network 192.168.200.0 0.0.0.255 <!--宣告直连-->
[R1-ospf-1-area-0.0.0.0]quit
[R1-ospf-1]quit
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.4.1 <!--配置默认路由,和内网PC通信-->
[R1]ospf 1 <!--进入ospf进程1-->
[R1-ospf-1]default-route-advertise type 2 <!--重分发默认路由-->
[R1-ospf-1]import-route direct <!--重分发直连-->
[R1-ospf-1]quit SW1配置如下:
[SW1]vlan 2 <!--创建vlan 2-->
[SW1-vlan2]quit <!--保存退出-->
[SW1]vlan 3 <!--创建vlan 3-->
[SW1-vlan3]quit <!--保存退出-->
[SW1]int vlan 1 <!--进入vlan 1-->
[SW1-Vlan-interface1]ip add 192.168.4.1 24 <!--配置IP地址-->
[SW1-Vlan-interface1]undo shutdown <!--启用接口-->
[SW1-Vlan-interface1]quit
[SW1]int vlan 2 <!--进入vlan 2-->
[SW1-Vlan-interface2]ip add 192.168.2.1 24 <!--配置IP地址-->
[SW1-Vlan-interface2]undo shutdown <!--启用接口-->
[SW1-Vlan-interface2]quit
[SW1]int vlan 3 <!--进入vlan 3-->
[SW1-Vlan-interface3]ip add 192.168.3.1 24 <!--配置IP地址-->
[SW1-Vlan-interface3]undo shutdown <!--启用接口-->
[SW1-Vlan-interface3]quit <!--保存退出-->
[SW1]int g1/0/1 <!--进入接口-->
[SW1-GigabitEthernet1/0/1]port link-type access <!--接口配置为接入链路-->
[SW1-GigabitEthernet1/0/1]port access vlan 2 <!--接口加入vlan 2中-->
[SW1-GigabitEthernet1/0/1]quit
[SW1]int g1/0/2 <!--进入接口-->
[SW1-GigabitEthernet1/0/2]port link-type access <!--接口配置为接入链路-->
[SW1-GigabitEthernet1/0/2]port access vlan 3 <!--将接口加入vlan 3中-->
[SW1-GigabitEthernet1/0/2]quit <!--保存退出-->
[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.4.2 <!--配置默认路由和外网通信-->VLAN2-PC1配置如下:
[VLAN2-PC1]int g0/0 <!--进入接口-->
[VLAN2-PC1-GigabitEthernet0/0]ip add 192.168.2.10 24 <!--接口配置IP地址-->
[VLAN2-PC1-GigabitEthernet0/0]undo shutdown <!--启用接口-->
[VLAN2-PC1-GigabitEthernet0/0]quit <!--保存退出-->
[VLAN2-PC1]ip route-static 0.0.0.0 0.0.0.0 192.168.2.1 <!--配置默认路由和外网通信-->VLAN3-PC1配置如下:
[VLAN3-PC1]int g0/0 <!--进入接口-->
[VLAN3-PC1-GigabitEthernet0/0]ip add 192.168.3.10 24 <!--接口配置IP地址-->
[VLAN3-PC1-GigabitEthernet0/0]undo shutdown <!--启用接口-->
[VLAN3-PC1-GigabitEthernet0/0]quit <!--保存退出-->
[VLAN3-PC1]ip route-static 0.0.0.0 0.0.0.0 192.168.3.1 <!--配置默认路由和外网通信-->经上述配置完成后,全网互通。
1、配置NAPT
[R1]acl basic 2000 <!--创建基本acl-->
[R1-acl-ipv4-basic-2000]rule 5 permit source 192.168.3.0 0.0.0.255
<!--抓取192.168.3.0/24网段的数据流-->
[R1-acl-ipv4-basic-2000]rule 10 deny
[R1-acl-ipv4-basic-2000]quit
[R1]nat address-group 1 <!--创建地址池,名字为1-->
[R1-address-group-1]address 192.168.200.10 192.168.200.10 <!--定义地址池范围-->
[R1-address-group-1]quit <!--保存退出-->
[R1]int g0/2 <!--进入接口-->
[R1-GigabitEthernet0/2]nat outbound <!--配置为nat出口-->
[R1-GigabitEthernet0/2]nat outbound 2000 address-group 1
<!--经NAT转发流量和地址池建立映射关系-->
[R1-GigabitEthernet0/2]quit <!--保存退出-->配置完成后,教师机ping外网客户端,R1查看NAT转换信息
2、配置NATserver将内网telnet功能发布到外网
[R1]int g0/2 <!--进入接口-->
[R1-GigabitEthernet0/2]nat server protocol tcp global 192.168.200.20 23 inside 192.168.3.10 23
<!--将192.168.3.10的23号协议映射到192.168.200.20-->VLAN3-PC1开启telnet功能
[VLAN3-PC1]telnet server enable <!--开启telnet功能-->
[VLAN3-PC1]user-interface vty 0 4 <!--允许5个终端登录-->
[VLAN3-PC1-line-vty0-4]authentication-mode password <!--验证使用密码-->
[VLAN3-PC1-line-vty0-4]set authentication password simple pwd@123 <!--配置密文密码-->
[VLAN3-PC1-line-vty0-4]user level-15 <!--配置管理员权限-->
[VLAN3-PC1-line-vty0-4]quit <!--保存退出-->外网客户端telnet教师机
3、配置Easy-IP
[R1]acl basic 2001 <!--创建基本acl-->
[R1-acl-ipv4-basic-2001]rule 5 permit source 192.168.2.0 0.0.0.255
<!--抓取192.168.2.0网段数据流-->
[R1-acl-ipv4-basic-2001]rule 10 deny
[R1-acl-ipv4-basic-2001]quit <!--保存退出-->
[R1]int g0/1 <!--进入接口-->
[R1-GigabitEthernet0/1]nat outbound <!--配置为NAT出口-->
[R1-GigabitEthernet0/1]nat outbound 2001
<!--配置acl和接口地址关联,实现Easy-IP功能-->
[R1-GigabitEthernet0/1]quit VLAN2-PC1 ping外网客户端,R1查看NAT转换信息
4、配置策略路由
[R1]policy-based-route test permit node 10 <!--策略路由的名字为test-->
[R1-pbr-test-10]if-match acl 2001 <!--调用用户创建的acl-->
[R1-pbr-test-10]apply next-hop 192.168.100.2 <!--修改下一条地址为192.168.100.2-->
[R1-pbr-test-10]quit <!--保存退出-->
[R1]policy-based-route test permit node 20 <!--空节点流量放行-->
[R1-pbr-test-20]quit <!--保存退出-->
[R1]int g0/1 <!--进入接口-->
[R1-GigabitEthernet0/1]ip policy-based-route test <!--应用策略路由-->
[R1-GigabitEthernet0/1]quit <!--保存退出-->
模拟R1的G0/2接口故障
[R1]int g0/2 <!--进入接口-->
[R1-GigabitEthernet0/2]shutdown <!--关闭接口-->
[R1-GigabitEthernet0/2]quit <!--保存退出-->查看NAT转换表
感谢阅读,本案例存在那么一点点的瑕疵,如果有问题可以评论下方,感谢各位博友~