发布时间:2013-09-18
点击量:3317一、组网需求
网络有双出口,一条电信一条联通,电信地址为192.168.33.56,网关:192.168.33.3;联通地址为192.168.34.56,网关:192.168.34.1。内网有台服务器,需要实现该服务器只能通过电信线路访问外网资源。
二、组网拓扑
三、配置要点
1、配置ACL访问列表,访问列表中匹配服务器的IP地址;
2、选择策略匹配的内网接口,如果选择错误,会导致策略路由不生效;
3、策略优先级数值越小越优先。如果内网配置多条策略路由,通过修改策略优先级来调整匹配顺序;
如果需要配置多个路由图,注意在前面match的ACL不能有deny any的设置,否则后面的路由子图全部不生效;
如:
route-map test permit 10
match ip address 121
set ip next-hop 172.18.10.1
!
route-map test permit 20
match ip address 122
set ip next-hop 192.168.34.1
如果ACL 121最后加了deny ip any any的配置,会导致route-map test permit 20 不生效;
匹配ACL 121 动作为deny的条目,将不会匹配后续的策略路由子图,而是进入普通目的路由选路。
4、下一跳地址是外网的网关地址,填写错误会导致策略路由不生效。
说明:
① web上添加的策略路由将以调用的接口来命名(如Gi0/0、Gi0/2等),如果在命令行下配置的策略路由名称不是调用的接口名,在web上将看不到这个策略路由及调用情况;因此使用web配置之前,应在命令行下先查看内网接口下是否存在命令关键字: ip policy route-map ,如果有这个关键字,说明命令行下已经存在调用的策略路由;为避免对之前的配置产生影响,此时只能在命令行下配置策略路由。
②多出口线路情况下,permit-inside功能与策略路由存在冲突,需要在策略路由匹配的ACL中加一条禁止内网用户与服务器互访的数据走策略路由。
如策略路由调用的ACL为access-list 102 permit ip host 10.10.10.2 any:
ip access-list extended 102
10 permit ip host 10.10.10.2 any
内网的网段为10.0.0.0/8,则需要在此ACL条目之前再加一条阻断源为10.10.10.2,目的为10.0.0.0/8的条目:
Ruijie(config)#ip access-list extended 102
Ruijie(config-ext-nacl)#5 deny ip host 10.10.10.2 10.0.0.0 0.255.255.255
Ruijie(config-ext-nacl)#sh access-lists 102
ip access-list extended 102
5 deny ip host 10.10.10.2 10.0.0.0 0.255.255.255
10 permit ip host 10.10.10.2 any
四、配置步骤
命令行配置:
1、ACL访问列表配置:
ip access-list standard 10 ---定义访问控制列表序号为10
10 permit host 192.168.1.100 ----定义匹配的主机IP地址为192.168.1.100
2、策略路由配置:
route-map Gi0/0 permit 10 ---定义策略路由命名为GI0/0,优先级为10
match ip address 10 ---匹配ACL列表号为10
set ip next-hop 192.168.33.3 ---定义下一跳地址是192.168.33.3
3、在内网接口下调用:
interface GigabitEthernet 0/0
ip policy route-map Gi0/0 ---把策略路由应用到内网接口
4、如果接口下已经有调用了策略路由,需要找到此策略路由对应的匹配项,在对应的ACL中加入新的条目;
①此处假设需要在1-3步建立并调用的策略路由中加入新的IP地址:192.168.2.100,需要强制出口为192.168.33.3,则需要在ACL中新增如下:
Ruijie(config)#ip access-list standard 10
Ruijie(config-std-nacl)#20 permit host 192.168.2.100 //在原先的需要为10的条目后面新加一条序号为20的条目,如果需要在原有条目前加一条,设置一个序号比原先小的条目即可
查看配置后的ACL:
Ruijie#show access-lists 10
ip access-list standard 10
10 permit host 192.168.1.100
20 permit host 192.168.2.100
Ruijie#
5、保存配置
Ruijie#write
Building configuration...
[OK]
Ruijie#
WEB配置
1、定义ACL访问列表,内网服务器的地址添加到访问列表中。
在打开的ACL访问控制条件设置修改对话框,填写ACL的配置
a、针对源IP地址做策略的访问列表,选择“IP标准访问控制条件设置”
b、ACL序号范围为1-99,1300-1999,本案例填写为10.动作选择“允许”
c、地址类型选择:单IP地址,IP地址中填写服务器的IP地址,实现对服务器的策略配置。
2、配置策略路由参数
a、策略组匹配接口:选择内网的接口,策略路由应用在内网接口上才会生效。
b、策略优先级:该值越小越优先,本案例配置为10。
c、匹配ACL列表:选择前面定义内网服务器IP地址的ACL列表序号。
d、下一跳地址选择外网电信线路的网关地址。最后点击“添加设置”
五、配置验证
在服务器上tracert 外网DNS,测试路由跟踪是否正确。
路由跟踪,访问外网DNS地址,路由选路到外网电信线路
