了解策略路由.PDFVIP

了解策略路由 目录 简介 先决条件 要求 使用的组件 规则 配置 网络图 防火墙配置 相关信息 简介 基于策略的路由提供了一种工具，可用于根据网络管理员定义的策略转发和路由数据包。实际上 ，这是一种使策略覆盖路由协议决策的方法。基于策略的路由包括一种机制，该机制可根据访问列 表、数据包大小或其他标准有选择性地应用策略。采取的措施包括按用户定义的路线路由数据包以 及设置优先级和服务位类型等。 在本文档中，防火墙用于将 10.0.0.0/8 专用地址转换成属于子网 172.16.255.0/24 并且可在 Internet 上路由的地址。下图给出了较为直观的说明。 有关详细信息，请参阅基于策略的路由。 先决条件 要求 本文档没有任何特定的要求。 使用的组件 本文档不限于任何特定的硬件或软件版本。 本文档中显示的信息基于以下软件和硬件版本。 Cisco IOS® 软件版本 12.3(3) Cisco 2500 系列路由器 本文档中的信息都是基于特定实验室环境中的设备创建的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您是在真实网络上操作，请确保您在使用任何命令前已经了解其潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 配置 在本示例中，使用正常路由时，从 10.0.0.0/8 网络到 Internet 的所有数据包都将采用通过 Cisco 广 域网路由器接口以太网 0/0 的路径（通过 172.16.187.0/24 子网），因为这是度量值最小的最佳路 径。使用基于策略的路由时，我们希望这些数据包采用通过防火墙到 Internet 的路径，因此需要通 过配置策略路由来覆盖正常路由行为。防火墙对从 10.0.0.0/8 网络传到 Internet 的所有数据包进行 转换，但是此操作对于策略路由的运行而言是没有必要的。 网络图 防火墙配置 以下防火墙配置有助于您进行全面了解。但是，这不包括在本文档说明的策略路由问题中。本示例 中的防火墙可由 PIX 或其他防火墙设备轻松替换。 ! ip nat pool net-10 172.16.255.1 172.16.255.254 prefix-length 24 ip nat inside source list 1 pool net-10 ! interface Ethernet0 ip address 172.16.20.2 255.255.255.0 ip nat outside ! interface Ethernet1 ip address 172.16.39.2 255.255.255.0 ip nat inside ! router eigrp 1 redistribute static network 172.16.0.0 default-metric 10000 100 255 1 1500 ! ip route 172.16.255.0 255.255.255.0 Null0 access-list 1 permit 10.0.0.0 0.255.255.255 ! end 请参阅 IP 编址和服务命令 ，获取有关 ip nat 相关命令的详细信息 在本示例中，Cisco 广域网路由器运行策略路由，确保从 10.0.0.0/8 网络发出的 IP 数据包将通过防 火墙进行发送。以下配置包含一个访问列表语句，可将从 10.0.0.0/8 网络发出的数据包发送到防火 墙。 Cisco_WAN_Router 的配置 ! interface Ethernet0/0 ip address 172.16.187.3 255.255.255.0 no ip directed-broadcast ! interface Ethernet0/1 ip address 172.16.39.3 255.255.255.0 no ip directed-broadcast ! interface Ethernet3/0 ip address 172.16.79.3 255.255.255.0 no ip directed-broadcast ip policy route-map net-10 ! router eigrp 1 network 172.16.0.0 ! access-list 111 permit ip 10.0.0.0 0.255.255.255 any ! route-map net-10 permit 10