博文目錄:
一、策略路由是什麼?
二、配置H3C雙出口
1、配置NAPT
2、配置NATserver將內網telnet功能發佈到外網
3、配置Easy-IP
4、配置策略路由
一、策略路由是什麼?
它與單純依照IP報文的目的地址查找路由表進行轉發不同,策略路由是一種依據用戶制定的策略進行路由選擇的機制。策略路由是在路由表已經產生的情況下,不按照路由表進行轉發,而是根據需要,依照某種策略改變其轉發路徑的方法。
路由策略的操作對象是“路由”信息,主要通過對路由的過濾和對路由屬性或參數的設置來間接影響數據轉發。策略路由的操作對象是“數據包”,主要通過設定的策略直接指導數據的轉發。
策略路由通常分爲兩種:
- IP單播策略路由
- IP組播策略路由
不管是單播策略路由還是組播策略路由,其配置都需要做兩方面的工作:一是定義哪些需要使用策略路由的報文;二是爲這些報文指定路由,這可以通過對一個Route-policy的定義來實現。
本博文案例中涉及單播策略路由,下面對單播策略路由做分析。
IP單播策略路由可以分爲接口策略路由和本地策略路由兩種。
- 接口策略路由:在接口視圖下配置(應用於報文到達的接口上),作用於到達該接口的報文。
- 本地策略路由:在系統視圖下配置,對本機產生的報文進行策略路由。
策略路由可用於安全、負載分擔等目的。對於一般轉發和安全等方面的使用需求,大多數情況下使用的是接口策略路由。
二、配置H3C雙出口
拓撲圖如下:
環境分析:
該拓撲圖中的校園網內部分爲兩個網段:一個爲學生校舍網段(192.168.2.0),主要訪問電信提供的internet服務器;另外一個網段爲校園辦公和教學用網段(192.168.3.0),主要訪問教育網。校園網出口路由器連接了電信提供的internet20m光纖,同時也連接了教育網的20m光纖(由於H3C的模擬器無法模擬出PC和server,所以只好使用路由器來代替了)。
需求如下:
1)路由器配置要求:當其中任意一條外部光纖中斷時,另一條光纖可備份其下屬的網段訪問internet服務或教育網資源。
2)Nat配置要求:出口路由器的兩個出口都能同時使用校園內網的私有網段做nat後訪問外部資源。教育網出口接口處還配置了telnet,使內部的教學網段對教育網提供telnet訪問服務。
3)策略路由配置要求:校園網內的教學用網段192.168.3.0/24主要通過教育網訪問外部資源,而校舍網段192.168.2.0/24主要通過電信出口訪問Internet資源。當教育專網的光纖故障時,校舍網段可以通過電信出口訪問相關教育網資源,當電信的光纖線路故障時,校舍網段可以通過專網出口訪問相關資源。
開始配置:
R2配置如下:
[R2]int g0/0 <!--進入接口-->
[R2-GigabitEthernet0/0]ip add 192.168.100.2 24 <!--接口配置IP地址-->
[R2-GigabitEthernet0/0]undo shutdown <!--啓用接口-->
[R2-GigabitEthernet0/0]quit <!--保存退出-->
[R2]int g0/1 <!--進入接口-->
[R2-GigabitEthernet0/1]ip add 192.168.10.1 24 <!--接口配置IP地址-->
[R2-GigabitEthernet0/1]undo shutdown <!--啓用接口-->
[R2-GigabitEthernet0/1]quit <!--保存退出-->
[R2]int LoopBack 0 <!--創建虛擬接口-->
[R2-LoopBack0]ip add 2.2.2.2 32 <!--虛擬接口配置IP地址-->
[R2-LoopBack0]undo shutdown <!--啓用虛擬接口-->
[R2-LoopBack0]quit <!--保存退出-->
[R2]ospf 1 router-id 2.2.2.2 <!--ospf進程爲1,router-id2.2.2.2-->
[R2-ospf-1]area 0 <!--進入骨幹區域area 0-->
[R2-ospf-1-area-0.0.0.0]network 192.168.100.0 0.0.0.255 <!--宣告直連-->
[R2-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 <!--宣告直連-->
[R2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0 <!--宣告直連->
[R2-ospf-1-area-0.0.0.0]quit <!--保存退出-->
[R2-ospf-1]quit <!--保存退出-->R3配置如下:
[R3]int g0/1 <!--進入接口-->
[R3-GigabitEthernet0/1]ip add 192.168.10.2 24 <!--接口配置IP地址-->
[R3-GigabitEthernet0/1]undo shutdown <!--啓用接口-->
[R3-GigabitEthernet0/1]quit <!--保存退出-->
[R3]int g0/0 <!--進入接口-->
[R3-GigabitEthernet0/0]ip add 192.168.200.2 24 <!--接口配置IP地址-->
[R3-GigabitEthernet0/0]undo shutdown <!--啓用接口-->
[R3-GigabitEthernet0/0]quit <!--保存退出-->
[R3]int g0/2 <!--進入接口-->
[R3-GigabitEthernet0/2]ip add 192.168.20.254 24 <!--接口配置IP地址-->
[R3-GigabitEthernet0/2]undo shutdown <!--啓用接口-->
[R3-GigabitEthernet0/2]quit <!--保存退出-->
[R3]int LoopBack 0 <!--創建虛擬接口-->
[R3-LoopBack0]ip add 3.3.3.3 32 <!--虛擬接口配置IP地址-->
[R3-LoopBack0]undo shutdown <!--啓用接口-->
[R3-LoopBack0]quit <!--保存退出-->
[R3]ospf 1 router-id 3.3.3.3 <!--ospf進程1,router-id爲3.3.3.3-->
[R3-ospf-1]area 0 <!--進入骨幹區域area 0-->
[R3-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 <!--宣告直連-->
[R3-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255 <!--宣告直連-->
[R3-ospf-1-area-0.0.0.0]network 192.168.200.0 0.0.0.255 <!--宣告直連-->
[R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0 <!--宣告虛擬接口-->
[R3-ospf-1-area-0.0.0.0]quit <!--保存退出-->
[R3-ospf-1]quit <!--保存退出-->VLAN1-PC1配置如下:
[VLAN1-PC1]int g0/0 <!--進入接口-->
[VLAN1-PC1-GigabitEthernet0/0]ip add 192.168.20.1 24 <!--接口配置IP地址->
[VLAN1-PC1-GigabitEthernet0/0]undo shutdown <!--啓用接口-->
[VLAN1-PC1-GigabitEthernet0/0]quit <!--保存退出-->
[VLAN1-PC1]ip route-static 0.0.0.0 0.0.0.0 192.168.20.254 <!--配置去內網的默認路由->R1配置如下:
[R1]int g0/1 <!--進入接口-->
[R1-GigabitEthernet0/1]ip add 192.168.100.1 24 <!--接口配置IP地址-->
[R1-GigabitEthernet0/1]undo shutdown <!--啓用接口-->
[R1-GigabitEthernet0/1]quit <!--保存退出-->
[R1]int g0/2 <!--進入接口-->
[R1-GigabitEthernet0/2]ip add 192.168.200.1 24 <!--接口配置IP地址-->
[R1-GigabitEthernet0/2]undo shutdown <!--啓用接口-->
[R1-GigabitEthernet0/2]quit <!--保存退出-->
[R1]int g0/0 <!--進入接口-->
[R1-GigabitEthernet0/0]port link-mode bridge <!--修改接口爲二層鏈路-->
[R1-GigabitEthernet0/0]port link-type access <!--接口配置爲接入鏈路-->
[R1-GigabitEthernet0/0]port access vlan 1 <!--接口加入到vlan 1中-->
[R1-GigabitEthernet0/0]quit
[R1]int vlan 1 <!--進入vlan1,(設備自帶vlan1不用創建)-->
[R1-Vlan-interface1]ip add 192.168.4.2 24 <!--配置IP地址-->
[R1-Vlan-interface1]undo shutdown <!--啓用接口-->
[R1-Vlan-interface1]quit
[R1]ospf 1 <!--進入ospf進程1-->
[R1-ospf-1]area 0 <!--進入骨幹區域area 0-->
[R1-ospf-1-area-0.0.0.0]network 192.168.100.0 0.0.0.255 <!--宣告直連-->
[R1-ospf-1-area-0.0.0.0]network 192.168.200.0 0.0.0.255 <!--宣告直連-->
[R1-ospf-1-area-0.0.0.0]quit
[R1-ospf-1]quit
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.4.1 <!--配置默認路由,和內網PC通信-->
[R1]ospf 1 <!--進入ospf進程1-->
[R1-ospf-1]default-route-advertise type 2 <!--重分發默認路由-->
[R1-ospf-1]import-route direct <!--重分發直連-->
[R1-ospf-1]quit SW1配置如下:
[SW1]vlan 2 <!--創建vlan 2-->
[SW1-vlan2]quit <!--保存退出-->
[SW1]vlan 3 <!--創建vlan 3-->
[SW1-vlan3]quit <!--保存退出-->
[SW1]int vlan 1 <!--進入vlan 1-->
[SW1-Vlan-interface1]ip add 192.168.4.1 24 <!--配置IP地址-->
[SW1-Vlan-interface1]undo shutdown <!--啓用接口-->
[SW1-Vlan-interface1]quit
[SW1]int vlan 2 <!--進入vlan 2-->
[SW1-Vlan-interface2]ip add 192.168.2.1 24 <!--配置IP地址-->
[SW1-Vlan-interface2]undo shutdown <!--啓用接口-->
[SW1-Vlan-interface2]quit
[SW1]int vlan 3 <!--進入vlan 3-->
[SW1-Vlan-interface3]ip add 192.168.3.1 24 <!--配置IP地址-->
[SW1-Vlan-interface3]undo shutdown <!--啓用接口-->
[SW1-Vlan-interface3]quit <!--保存退出-->
[SW1]int g1/0/1 <!--進入接口-->
[SW1-GigabitEthernet1/0/1]port link-type access <!--接口配置爲接入鏈路-->
[SW1-GigabitEthernet1/0/1]port access vlan 2 <!--接口加入vlan 2中-->
[SW1-GigabitEthernet1/0/1]quit
[SW1]int g1/0/2 <!--進入接口-->
[SW1-GigabitEthernet1/0/2]port link-type access <!--接口配置爲接入鏈路-->
[SW1-GigabitEthernet1/0/2]port access vlan 3 <!--將接口加入vlan 3中-->
[SW1-GigabitEthernet1/0/2]quit <!--保存退出-->
[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.4.2 <!--配置默認路由和外網通信-->VLAN2-PC1配置如下:
[VLAN2-PC1]int g0/0 <!--進入接口-->
[VLAN2-PC1-GigabitEthernet0/0]ip add 192.168.2.10 24 <!--接口配置IP地址-->
[VLAN2-PC1-GigabitEthernet0/0]undo shutdown <!--啓用接口-->
[VLAN2-PC1-GigabitEthernet0/0]quit <!--保存退出-->
[VLAN2-PC1]ip route-static 0.0.0.0 0.0.0.0 192.168.2.1 <!--配置默認路由和外網通信-->VLAN3-PC1配置如下:
[VLAN3-PC1]int g0/0 <!--進入接口-->
[VLAN3-PC1-GigabitEthernet0/0]ip add 192.168.3.10 24 <!--接口配置IP地址-->
[VLAN3-PC1-GigabitEthernet0/0]undo shutdown <!--啓用接口-->
[VLAN3-PC1-GigabitEthernet0/0]quit <!--保存退出-->
[VLAN3-PC1]ip route-static 0.0.0.0 0.0.0.0 192.168.3.1 <!--配置默認路由和外網通信-->經上述配置完成後,全網互通。
1、配置NAPT
[R1]acl basic 2000 <!--創建基本acl-->
[R1-acl-ipv4-basic-2000]rule 5 permit source 192.168.3.0 0.0.0.255
<!--抓取192.168.3.0/24網段的數據流-->
[R1-acl-ipv4-basic-2000]rule 10 deny
[R1-acl-ipv4-basic-2000]quit
[R1]nat address-group 1 <!--創建地址池,名字爲1-->
[R1-address-group-1]address 192.168.200.10 192.168.200.10 <!--定義地址池範圍-->
[R1-address-group-1]quit <!--保存退出-->
[R1]int g0/2 <!--進入接口-->
[R1-GigabitEthernet0/2]nat outbound <!--配置爲nat出口-->
[R1-GigabitEthernet0/2]nat outbound 2000 address-group 1
<!--經NAT轉發流量和地址池建立映射關係-->
[R1-GigabitEthernet0/2]quit <!--保存退出-->配置完成後,教師機ping外網客戶端,R1查看NAT轉換信息
2、配置NATserver將內網telnet功能發佈到外網
[R1]int g0/2 <!--進入接口-->
[R1-GigabitEthernet0/2]nat server protocol tcp global 192.168.200.20 23 inside 192.168.3.10 23
<!--將192.168.3.10的23號協議映射到192.168.200.20-->VLAN3-PC1開啓telnet功能
[VLAN3-PC1]telnet server enable <!--開啓telnet功能-->
[VLAN3-PC1]user-interface vty 0 4 <!--允許5個終端登錄-->
[VLAN3-PC1-line-vty0-4]authentication-mode password <!--驗證使用密碼-->
[VLAN3-PC1-line-vty0-4]set authentication password simple pwd@123 <!--配置密文密碼-->
[VLAN3-PC1-line-vty0-4]user level-15 <!--配置管理員權限-->
[VLAN3-PC1-line-vty0-4]quit <!--保存退出-->外網客戶端telnet教師機
3、配置Easy-IP
[R1]acl basic 2001 <!--創建基本acl-->
[R1-acl-ipv4-basic-2001]rule 5 permit source 192.168.2.0 0.0.0.255
<!--抓取192.168.2.0網段數據流-->
[R1-acl-ipv4-basic-2001]rule 10 deny
[R1-acl-ipv4-basic-2001]quit <!--保存退出-->
[R1]int g0/1 <!--進入接口-->
[R1-GigabitEthernet0/1]nat outbound <!--配置爲NAT出口-->
[R1-GigabitEthernet0/1]nat outbound 2001
<!--配置acl和接口地址關聯,實現Easy-IP功能-->
[R1-GigabitEthernet0/1]quit VLAN2-PC1 ping外網客戶端,R1查看NAT轉換信息
4、配置策略路由
[R1]policy-based-route test permit node 10 <!--策略路由的名字爲test-->
[R1-pbr-test-10]if-match acl 2001 <!--調用用戶創建的acl-->
[R1-pbr-test-10]apply next-hop 192.168.100.2 <!--修改下一條地址爲192.168.100.2-->
[R1-pbr-test-10]quit <!--保存退出-->
[R1]policy-based-route test permit node 20 <!--空節點流量放行-->
[R1-pbr-test-20]quit <!--保存退出-->
[R1]int g0/1 <!--進入接口-->
[R1-GigabitEthernet0/1]ip policy-based-route test <!--應用策略路由-->
[R1-GigabitEthernet0/1]quit <!--保存退出-->
模擬R1的G0/2接口故障
[R1]int g0/2 <!--進入接口-->
[R1-GigabitEthernet0/2]shutdown <!--關閉接口-->
[R1-GigabitEthernet0/2]quit <!--保存退出-->查看NAT轉換表
感謝閱讀,本案例存在那麼一點點的瑕疵,如果有問題可以評論下方,感謝各位博友~