天天看點
傳回

政策路由案例(三):交換機政策路由

使用者需求如下:

vlan10和vlan11不能互訪,但能通路vlan12伺服器

vlan10隻能通過RT5上網,vlan11隻能通過RT6上網

vlan12不能上網

配置思路步驟:

1.基本資訊配置(SW1、RT5、RT6)

2.邊界網絡對界(RT5靜态路由)

3.SW1政策路由,RT6靜态路由

4.邊界裝置INTERNET對界(預設路由)

5.業務通路控制(VLAN10和VLAN11不能互訪)

6.全網測試及排錯

基本配置:

SW1>en

SW1#vlan data

SW1(vlan)#vtp tran

SW1(vlan)#vlan 10

SW1(vlan)#vlan 11

SW1(vlan)#vlan 12    //在VLAN資料庫中添加VLAN

SW1(vlan)#exit

SW1#config t

SW1(config)#int vlan 10

SW1(config-if)#ip add 192.168.10.1 255.255.255.0

SW1(config-if)#no shut

SW1(config-if)#int vlan 11

SW1(config-if)#ip add 192.168.11.1 255.255.255.0

SW1(config-if)#int vlan 12

SW1(config-if)#ip add 192.168.12.1 255.255.255.0

SW1(config-if)#int f1/10

SW1(config-if)#switchport mode access

SW1(config-if)#switchport access vlan 10

SW1(config-if)#int f1/11

SW1(config-if)#switchport access vlan 11

SW1(config-if)#int f1/12

SW1(config-if)#switchport access vlan 12

SW1(config-if)#int f1/1

SW1(config-if)#no switchport

SW1(config-if)#ip add 192.168.1.1 255.255.255.252

SW1(config-if)#int f1/2

SW1(config-if)#ip add 192.168.1.5 255.255.255.252

SW1(config-if)#exit

SW1(config)#ip routing

SW1(config)#ip route 192.168.0.0 255.255.0.0 null 0  //添加黑洞路由

SW1(config)#access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255      //防止VLAN10通路内網的流量被政策路由

SW1(config)#access-list 101 permit ip 192.168.10.0 0.0.0.255 any

//區分VLAN11的流量

SW1(config)#access-list 102 deny ip 192.168.11.0 0.0.0.255 192.168.0.0 0.0.255.255    //防止VLAN11通路内網的流量被政策路由

SW1(config)#access-list 102 permit ip 192.168.11.0 0.0.0.255 any 

SW1(config)#access-list 103 deny ip  192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255  //VLAN10和VLAN11不能互訪

SW1(config)#access-list 103 permit ip any any //允許VLAN10通路其它

SW1(config-if)#exit      

SW1(config)#route-map RT5 permit 10  //建立通過RT5通路INTERNET的ROUTE-MAP

SW1(config-route-map)#match ip address 101 //比對IP位址

SW1(config-route-map)#set ip next-hop 192.168.1.2//為比對流量設定下一跳

SW1(config-route-map)#exit

SW1(config)#route-map RT6 permit 10//建立通過RT6通路INTERNET的ROUTER-MAP

SW1(config-route-map)#match ip address 102//比對IP位址

SW1(config-route-map)#set ip next-hop 192.168.1.6//為比對流量設定下一跳

SW1(config-if)#ip policy route-map RT5 //在VLAN10中綁定ROUTE-MAP

SW1(config-if)#ip access-group 103 in //在IN方向啟用通路控制清單

SW1(config-if)#ip policy route-map RT6//在VLAN11中綁定ROUTE-MAP

RT5(config)#int f2/0

RT5(config-if)#ip add 192.168.1.2 255.255.255.252

RT5(config-if)#no shut

RT5(config-if)#int f1/0

RT5(config-if)#ip add 202.202.1.2 255.255.255.252 

RT5(config-if)#exit

RT5(config)#ip route 0.0.0.0 0.0.0.0 202.202.1.1//去往公網的路由

RT5(config)#ip route 192.168.0.0 255.255.0.0 192.168.1.1//去往内部的路由

  RT5(config)#access-list 10 permit 192.168.10.0 0.0.0.255//定義需NAT的流量

RT5(config)#int f1/0

RT5(config-if)#ip nat inside//定義NAT的内部接口

RT5(config-if)#int f2/0

RT5(config-if)#ip nat outside//定義NAT的外部接口

RT5(config)#ip nat inside source list 10 int f1/0 overload//啟用NAT轉換

RT6(config)#int f2/0

RT6(config-if)#ip add 192.168.1.6 255.255.255.252

RT6(config-if)#no shut

RT6(config-if)#int f1/0

RT6(config-if)#ip add 202.202.2.2 255.255.255.252

RT6(config-if)#exit

RT6(config)#ip route 0.0.0.0 0.0.0.0 202.202.2.1

RT6(config)#ip route 192.168.0.0 255.255.0.0 192.168.1.5

RT6(config)#access-list 10 permit 192.168.11.0 0.0.0.255//定義需NAT的流量

RT6(config)#int f1/0

RT6(config-if)#ip nat inside

RT6(config-if)#int f2/0

RT6(config-if)#ip nat outsid

RT6(config)#ip nat inside source list 10 int f1/0 overload

測試過程:

VPCS 1 >ping 202.202.1.2

202.202.1.2 icmp_seq=1 time=130.000 ms

202.202.1.2 icmp_seq=2 time=46.000 ms

202.202.1.2 icmp_seq=3 time=67.000 ms

202.202.1.2 icmp_seq=4 time=63.000 ms

202.202.1.2 icmp_seq=5 time=105.000 ms

*Mar  1 00:44:57.915: IP: tableid=0, s=192.168.10.100 (Vlan10), d=202.202.1.2 (FastEthernet1/1), routed via FIB

*Mar  1 00:44:57.919: IP: s=192.168.10.100 (Vlan10), d=202.202.1.2, len 84, policy match

*Mar  1 00:44:57.923: IP: route map RT5, item 10, permit

*Mar  1 00:44:57.923: IP: s=192.168.10.100 (Vlan10), d=202.202.1.2 (FastEthernet1/1), len 84, policy routed

*Mar  1 00:44:57.927: IP: Vlan10 to FastEthernet1/1 192.168.1.2

*Mar  1 00:44:57.931: IP: s=192.168.10.100 (Vlan10), d=202.202.1.2 (FastEthernet1/1), g=192.168.1.2, len84, forward

*Mar  1 00:44:58.027: IP: tableid=0, s=202.202.1.2 (FastEthernet1/1), d=192.168.10.100 (Vlan10), routed via FIB

*Mar  1 00:44:58.031: IP: s=202.202.1.2 (FastEthernet1/1), d=192.168.10.100 (Vlan10), g=192.168.10.100, len 84, forward

VPCS 2 >ping 202.202.2.2

202.202.2.2 icmp_seq=1 time=61.000 ms

202.202.2.2 icmp_seq=2 time=77.000 ms

202.202.2.2 icmp_seq=3 time=84.000 ms

202.202.2.2 icmp_seq=4 time=103.000 ms

202.202.2.2 icmp_seq=5 time=37.000 ms

*Mar  1 00:45:56.839: IP: tableid=0, s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/1), routed via FIB

*Mar  1 00:45:56.839: IP: s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/2), g=192.168.1.6, len 84, forward

*Mar  1 00:45:57.819: IP: tableid=0, s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/1), routed via FIB

*Mar  1 00:45:57.823: IP: s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/2), g=192.168.1.6, len 84, forward

*Mar  1 00:45:58.807: IP: tableid=0, s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/1), routed via FIB

*Mar  1 00:45:58.811: IP: s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/2), g=192.168.1.6, len 84, 

*Mar  1 00:45:59.847: IP: tableid=0, s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/1), routed via FIB

*Mar  1 00:45:59.851: IP: s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/2), g=192.168.1.6, len 84, forward

*Mar  1 00:46:00.827: IP: tableid=0, s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/1), routed via FIB

*Mar  1 00:46:00.831: IP: s=192.168.11.100 (Vlan11), d=202.202.2.2 (FastEthernet1/2), g=192.168.1.6, len 84, forward

實驗總結:

 192.168.10.100通路INTERNET分析:

 192.168.10.100将資料交給SW1的SVI接口192.168.10.1,因為在VLAN10的SVI接口上做了政策路由,設定下一跳為192 .168.1.2,從VLAN10過來的資料将比對政策路由,将資料發往192.168.1.2。在RT1上做NAT将192.168.10.0/24的資料轉換成F1/0的IP 202.202.1.2,同時将轉換的位址記錄到NAT的轉換表中,将資料發往INTERNET,回應的資料通過F1/0的NAT入處理,查找NAT轉換表,找到對應的内網IP位址,通過查找路由,将資料從F2/0轉發,最後資料傳遞給目的主機。

本文轉自 tangfangxiao 51CTO部落格,原文連結:

http://blog.51cto.com/tangfangxiao/631310

資料庫 網絡虛拟化 資料安全/隐私保護 政策路由路由政策 路由政策配置 大資料隐私保護 路由政策控制 消息政策
上一篇: 政策路由總結
下一篇: 為什麼我新安裝的MDaemon V14中文版,沒有standard風格?

繼續閱讀