ARP攻击防御目录
目录
第1章 ARP攻击防御功能介绍................................................................................................. 1-1
1.1 ARP攻击简介 ................................................................................................................... 1-1
1.2 ARP攻击防御 ................................................................................................................... 1-4
1.2.1 DHCP Snooping功能............................................................................................ 1-4
1.2.2 IP静态绑定功能..................................................................................................... 1-5
1.2.3 ARP入侵检测功能................................................................................................. 1-5
1.2.4 ARP报文限速功能................................................................................................. 1-6
1.2.5 CAMS下发网关配置功能...................................................................................... 1-6
1.3 ARP攻击防御配置指南.................................................................................................... 1-7
1.4 支持ARP攻击防御功能的产品列表................................................................................ 1-8第2章 ARP攻击防御配置举例................................................................................................. 2-1
2.1 DHCP监控模式下的ARP攻击防御配置举例 ................................................................ 2-1
2.1.1 组网需求................................................................................................................. 2-1
2.1.2 组网图..................................................................................................................... 2-2
2.1.3 配置思路................................................................................................................. 2-2
2.1.4 配置步骤................................................................................................................. 2-2
2.1.5 注意事项................................................................................................................. 2-6
2.2 认证模式下的ARP攻击防御配置举例............................................................................ 2-7
2.2.1 组网需求................................................................................................................. 2-7
2.2.2 组网图..................................................................................................................... 2-7
2.2.3 配置思路................................................................................................................. 2-8
2.2.4 配置步骤................................................................................................................. 2-8
2.2.5 注意事项............................................................................................................... 2-19
防ARP攻击摘要
防ARP攻击配置举例
关键词:ARP、DHCP Snooping
摘要:本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能,防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。
同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实际配置。缩略语:ARP(Address Resolution Protocol,地址解析协议)
MITM(Man-In-The-Middle,中间人攻击)
第1章 ARP攻击防御功能介绍
近来,许多校园网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常
访问外网,学校深受其害。H3C公司根据ARP攻击的特点,提出了“全面防御,
模块定制”的ARP攻击防御理念,并给出了两种解决方案。
(1) DHCP监控模式下的ARP攻击防御解决方案
这种方式适合动态分配IP地址的网络场景,需要接入交换机支持DHCP Snooping
功能。通过全网部署,可以有效的防御“仿冒网关”、“欺骗网关”、“欺骗终端
用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方
式;且不需要终端用户安装额外的客户端软件,简化了网络配置。
(2) 认证方式下的ARP攻击防御解决方案
这种方式适合网络中动态分配IP地址和静态分配IP地址共存的网络场景,且只能
防御“仿冒网关”的ARP攻击方式。它不需要在接入交换机上进行特殊的防攻击配
置,只需要客户端通过认证协议(802.1x)登录网络,认证服务器(如CAMS服务
器)会识别客户端,并下发网关的IP/MAC对应关系给客户端,来防御“仿冒网关”
攻击。
1.1 ARP攻击简介
按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会
将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网
络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。
校园网中,常见的ARP攻击有如下几中形式。
(1) 仿冒网关
攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC
地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与
MAC地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的
MAC地址,导致该用户无法正常访问外网。
图1-1“仿冒网关”攻击示意图
(2) 欺骗网关
攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC 地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
图1-2“欺骗网关”攻击示意图
(3) 欺骗终端用户
攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC 地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机;使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。
图1-3“欺骗终端用户”攻击示意图
(4) “中间人”攻击
ARP “中间人”攻击,又称为ARP双向欺骗。如图1-4所示,Host A和Host C通过Switch进行通信。此时,如果有恶意攻击者(Host B)想探听Host A和Host C 之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。
图1-4ARP“中间人”攻击示意图
(5) ARP报文泛洪攻击
恶意用户利用工具构造大量ARP报文发往交换机的某一端口,导致CPU负担过重,造成其他功能无法正常运行甚至设备瘫痪。
1.2 ARP攻击防御
H3C公司根据ARP攻击的特点,给出了DHCP监控模式下的ARP攻击防御解决方
案和认证模式下的ARP攻击防御解决方案。前者通过接入交换机上开启DHCP
Snooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能,
可以防御常见的ARP攻击;后者不需要在接入交换机上进行防攻击配置,而需要通
过CAMS服务器下发网关的IP/MAC对应关系给客户端,防御“仿冒网关”攻击。
详见表1-1。
表1-1常见网络攻击和防范对照表
1.2.1 DHCP Snooping功能
DHCP Snooping是运行在二层接入设备上的一种DHCP安全特性。
(1) 通过监听DHCP报文,记录DHCP客户端IP地址与MAC地址的对应关系;
(2) 通过设置DHCP Snooping信任端口,保证客户端从合法的服务器获取IP地址。
●信任端口正常转发接收到的DHCP报文,从而保证了DHCP客户端能够从
DHCP服务器获取IP地址。
●不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文
后,丢弃该报文,从而防止了DHCP客户端获得错误的IP地址。
说明:
目前H3C低端以太网交换机上开启DHCP Snooping功能后,所有端口默认被配置
为DHCP Snooping非信任端口。为了使DHCP客户端能从合法的DHCP服务器获
取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任
端口和与DHCP客户端相连的端口必须在同一个VLAN内。
1.2.2 IP静态绑定功能
DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息,如果
用户手工配置了固定IP地址,其IP地址、MAC地址等信息将不会被DHCP Snooping
表记录。因此,交换机支持手工配置IP静态绑定表的表项,实现用户的IP地址、
MAC地址及接入交换机连接该用户的端口之间的绑定关系。这样,该固定用户的报
文就不会被ARP入侵检测功能过滤。
1.2.3 ARP入侵检测功能
H3C低端以太网交换机支持将收到的ARP(请求与回应)报文重定向到CPU,结
合DHCP Snooping安全特性来判断ARP报文的合法性并进行处理,具体如下。
●当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表
项或者手工配置的IP静态绑定表项匹配,且ARP报文的入端口及其所属VLAN
与DHCP Snooping表项或者手工配置的IP静态绑定表项一致,则为合法ARP
报文,进行转发处理。
●当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表
项或者手工配置的IP静态绑定表项不匹配,或ARP报文的入端口,入端口所
属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项不一致,
则为非法ARP报文,直接丢弃。
说明:
●DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息。如
果固定IP地址的用户需要访问网络,必须在交换机上手工配置IP静态绑定表的
表项,即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。
●实际组网中,为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵
检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功能。
对于来自信任端口的所有ARP报文不进行检测,对其它端口的ARP报文通过查
看DHCP Snooping表或手工配置的IP静态绑定表进行检测。
1.2.4 ARP报文限速功能
H3C低端以太网交换机支持端口ARP报文限速功能,使受到攻击的端口暂时关闭,
来避免此类攻击对CPU的冲击。
开启某个端口的ARP报文限速功能后,交换机对每秒内该端口接收的ARP报文数
量进行统计,如果每秒收到的ARP报文数量超过设定值,则认为该端口处于超速状
态(即受到ARP报文攻击)。此时,交换机将关闭该端口,使其不再接收任何报文,
从而避免大量ARP报文攻击设备。同时,设备支持配置端口状态自动恢复功能,对
于配置了ARP限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以
自动恢复为开启状态。
1.2.5 CAMS下发网关配置功能
CAMS(Comprehensive Access Management Server,综合访问管理服务器)作
为网络中的业务管理核心,可以与以太网交换机等网络产品共同组网,完成用户的
认证、授权、计费和权限管理。如图1-5所示。
CAMS
Host A Host C
Host B
图1-5CAMS组网示意图
认证模式的ARP攻击防御解决方案,不需要在接入交换机上进行特殊的防攻击配
置,只需要客户端通过802.1x认证登录网络,并在CAMS上进行用户网关的设置,
CAMS会通过接入交换机,下发网关的IP/MAC对应关系给客户端,来防御“仿冒
网关”攻击。
1.3 ARP攻击防御配置指南
表1-2ARP攻击防御配置
说明:
有关各款交换机支持的ARP攻击防御功能的详细介绍和配置命令,请参见各产品的
操作、命令手册。
1.4 支持ARP攻击防御功能的产品列表
表1-3支持ARP攻击防御功能的产品列表
说明:
有关各款交换机支持的防ARP攻击功能的详细介绍,请参见各产品的操作手册。
第2章 ARP攻击防御配置举例
2.1 DHCP监控模式下的ARP攻击防御配置举例
2.1.1 组网需求
某校园网内大部分用户通过接入设备连接网关和DHCP服务器,动态获取IP地址。
管理员通过在接入交换机上全面部署ARP攻击防御相关特性,形成保护屏障,过滤
掉攻击报文。详细网络应用需求分析如下。
●校园网用户分布在两个区域Host area1和Host area2,分别属于VLAN10和
VLAN20,通过接入交换机Switch A和Switch B连接到网关Gateway,最终
连接外网和DHCP。
●Host area1所在子网内拥有一台TFTP服务器,其IP地址为192.168.0.10/24,
MAC地址为000d-85c7-4e00。
●为防止仿冒网关、欺骗网关等ARP攻击形式,开启Switch A上VLAN10内、
Switch B上VLAN20内ARP入侵检测功能,设置Switch A和Switch B的端
口Ethernet1/0/1为ARP信任端口。
●为防止ARP泛洪攻击,在Switch A和Switch B所有直接连接客户端的端口上
开启ARP报文限速功能。同时,开启因ARP报文超速而被关闭的端口的状态
自动恢复功能,并设置恢复时间间隔100秒。
2.1.2 组网图
图2-1DHCP监控模式下的ARP攻击防御组网示意图
2.1.3 配置思路
●在接入交换机Switch A和Switch B上开启DHCP snooping功能,并配置与
DHCP服务器相连的端口为DHCP snooping信任端口。
●在接入交换机Switch A上为固定IP地址的TFTP服务器配置对应的IP静态绑
定表项。
●在接入交换机Switch A和Switch B对应VLAN上开启ARP入侵检测功能,
并配置其上行口为ARP信任端口。
●在接入交换机Switch A和Switch B直接连接客户端的端口上配置ARP报文限
速功能,同时全局开启因ARP报文超速而被关闭的端口的状态自动恢复功能。
2.1.4 配置步骤
1. 使用的版本
本举例中使用的接入交换机Switch A和Switch B为E126A系列以太网交换机。
2. 配置客户端动态获取IP地址。
图2-2配置客户端自动获取IP地址示意图
3. 配置Switch A
# 创建VLAN10,并将端口Ethernet1/0/1到Ethernet1/0/4加入VLAN10中。
[SwitchA] vlan 10
[SwitchA-vlan10] port Ethernet 1/0/1 to Ethernet 1/0/4
[SwitchA-vlan10] quit
# 配置Switch A的上行口为DHCP snooping信任端口。
[SwitchA] interface ethernet1/0/1
[SwitchA-Ethernet1/0/1] dhcp-snooping trust
[SwitchA-Ethernet1/0/1] quit
# 开启DHCP snooping。
[SwitchA] dhcp-snooping
# 在Switch A的端口Ethernet1/0/4上配置IP静态绑定表项。
[SwitchA] interface Ethernet1/0/4
[SwitchA-Ethernet1/0/4] ip source static binding ip-address 192.168.0.10
mac-address 000d-85c7-4e00
[SwitchA-Ethernet1/0/4] quit
# 配置Switch A的上行口为ARP信任端口。
[SwitchA] interface ethernet1/0/1
[SwitchA-Ethernet1/0/1] arp detection trust
[SwitchA-Ethernet1/0/1] quit
# 开启VLAN 10内所有端口的ARP入侵检测功能。
[SwitchA] vlan 10
[SwitchA-vlan10] arp detection enable
[SwitchA-vlan10] quit
# 开启Switch A的端口Ethernet1/0/2、Ethernet1/0/3上的ARP报文限速功能。[SwitchA] interface Ethernet1/0/2
[SwitchA-Ethernet1/0/2] arp rate-limit enable
[SwitchA-Ethernet1/0/2] arp rate-limit 20
[SwitchA-Ethernet1/0/2] quit
[SwitchA] interface Ethernet1/0/3
[SwitchA-Ethernet1/0/3] arp rate-limit enable
[SwitchA-Ethernet1/0/3] arp rate-limit 20
[SwitchA-Ethernet1/0/3] quit
# 配置端口状态自动恢复功能,恢复时间间隔为100秒。
[SwitchA] arp protective-down recover enable
[SwitchA] arp protective-down recover interval 100
# 配置网关的缺省路由。
[SwitchA] ip route-static 0.0.0.0 0 192.168.0.1
4. 配置Switch B
# 创建VLAN20,并将相应端口加入VLAN20中。
[SwitchB] vlan 20
[SwitchB-vlan20] port Ethernet 1/0/1 to Ethernet 1/0/4
[SwitchB-vlan20] quit
# 配置Switch B的上行口为DHCP snooping信任端口。
[SwitchB] interface ethernet1/0/1
[SwitchB-Ethernet1/0/1] dhcp-snooping trust
[SwitchB-Ethernet1/0/1] quit
# 开启DHCP snooping。
[SwitchB] dhcp-snooping
# 配置Switch B的上行口为ARP信任端口。
[SwitchB] interface ethernet1/0/1
[SwitchB-Ethernet1/0/1] arp detection trust
[SwitchB-Ethernet1/0/1] quit
# 开启VLAN 20内所有端口的ARP入侵检测功能。
[SwitchB] vlan 20
[SwitchB-vlan20] arp detection enable
[SwitchB-vlan20] quit
# 开启Switch A的端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4上的ARP报文限速功能。
[SwitchB] interface Ethernet1/0/2
[SwitchB-Ethernet1/0/2] arp rate-limit enable
[SwitchB-Ethernet1/0/2] arp rate-limit 20
[SwitchB-Ethernet1/0/2] quit
[SwitchB] interface Ethernet1/0/3
[SwitchB-Ethernet1/0/3] arp rate-limit enable
[SwitchB-Ethernet1/0/3] arp rate-limit 20
[SwitchB-Ethernet1/0/3] quit
[SwitchB] interface Ethernet1/0/4
[SwitchB-Ethernet1/0/4] arp rate-limit enable
[SwitchB-Ethernet1/0/4] arp rate-limit 20
[SwitchB-Ethernet1/0/4] quit
# 配置端口状态自动恢复功能,恢复时间间隔为100秒。
[SwitchB] arp protective-down recover enable
[SwitchB] arp protective-down recover interval 100
# 配置网关的缺省路由。
[SwitchB] ip route-static 0.0.0.0 0 192.168.1.1
5. 配置Gateway
# 创建VLAN 10和VLAN 20,并添加相应端口。
[Gateway] vlan 10
[Gateway–vlan10] port Ethernet 1/0/1
[Gateway–vlan10] quit
[Gateway] vlan 20
[Gateway–vlan20] port Ethernet 1/0/2
[Gateway–vlan20] quit
# 配置Vlan-interface10的IP地址为192.168.0.1/24。
[Gateway] interface vlan 10
[Gateway-Vlan-interface10] ip address 192.168.0.1 24
[Gateway-Vlan-interface10] quit
# 配置Vlan-interface20的IP地址为192.168.1.1/24。
[Gateway] interface vlan 20
[Gateway-Vlan-interface20] ip address 192.168.1.1 24
[Gateway-Vlan-interface20] quit
6. 配置DHCP服务器
由于作为DHCP服务器的设备不同,所需进行的配置也不同,故此处从略。具体配
置请参考DHCP服务器操作手册。
2.1.5 注意事项
●配置ARP入侵检测功能之前,需要先在交换机上开启DHCP Snooping功能,
并设置DHCP Snooping信任端口,否则所有ARP报文将都不能通过ARP入
侵检测。
●目前,H3C低端以太网交换机上开启DHCP Snooping功能后,所有端口默认
被配置为DHCP Snooping非信任端口。为了使DHCP客户端能从合法的
DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信
任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN
内。
●DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息。
如果固定IP地址的用户需要访问网络,必须在交换机上手工配置IP静态绑定
表的表项,即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关
系。
●目前,H3C系列以太网交换机在端口上配置的IP静态绑定表项,其所属VLAN
为端口的缺省VLAN ID。因此,如果ARP报文的VLAN TAG与端口的缺省
VLAN ID值不同,报文将无法通过根据IP静态绑定表项进行的ARP入侵检测。
●H3C系列以太网交换机上手工配置的IP静态绑定表项的优先级高于DHCP
Snooping动态表项。具体表现在:如果手工配置的IP静态绑定表项中的IP
地址与已存在的DHCP Snooping动态表项的IP地址相同,则覆盖DHCP
Snooping动态表项的内容;如果先配置了IP静态绑定表项,再开启交换机的
DHCP Snooping功能,则DHCP客户端不能通过该交换机获取到IP静态绑
定表项中已经存在的IP地址。
●实际组网中,为了解决上行端口接收的ARP请求和应答报文能够通过ARP入
侵检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功
能。对于来自信任端口的所有ARP报文不进行检测,对其它端口的ARP报文
通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。
●建议用户不要在汇聚组中的端口上配置ARP入侵检测、ARP报文限速功能。
2.2 认证模式下的ARP攻击防御配置举例
2.2.1 组网需求
某校园网内大部分用户通过接入设备连接网关和外网的服务器。管理员希望通过客
户端和服务器间的认证机制,在客户端绑定网关的IP/MAC对应关系,过滤掉仿冒
网关的ARP攻击报文。详细网络应用需求分析如下:
●接入用户可以通过DHCP自动获取IP地址,也可以手工配置静态IP地址。但
需要安装802.1x客户端,即:通过802.1x认证才能访问网络。
●服务器采用H3C公司的CAMS认证/授权、计费服务器;CAMS通过将网关的
IP-MAC对应关系下发到认证客户端,防止用户端的网关仿冒等ARP攻击。
●接入交换机需要开启802.1x和AAA相关配置。
2.2.2 组网图
图2-3认证模式下的ARP攻击防御组网示意图
2.2.3 配置思路
●用户安装802.1x客户端,即需要通过802.1x认证才能访问网络。
●接入交换机Switch A和Switch B上开启802.1x和AAA相关配置。
●通过CAMS服务器将网关的IP-MAC对应关系下发到认证客户端,防止用户
端的网关仿冒等ARP攻击。
2.2.4 配置步骤
1. 配置SwitchA
# 创建VLAN 10,并添加相应端口。
[SwitchA] vlan 10
[SwitchA-vlan10] port Ethernet 1/0/1 to Ethernet 1/0/3
[SwitchA-vlan10] quit
#设置RADIUS方案cams,设置主服务器。
[SwitchA] radius scheme cams
[SwitchA-radius-cams] primary authentication 10.10.1.1
[SwitchA-radius-cams] accounting optional
#设置系统与认证Radius服务器交互报文时加密密码为expert。
[SwitchA-radius-cams] key authentication expert
#设置用户名为带域名格式。
[SwitchA-radius-cams] user-name-format with-domain
#服务类型为extended。
[SwitchA-radius-cams] server-type extended
[SwitchA-radius-cams] quit
#定义ISP域abc,并配置认证采用RADIUS方案cams。
[SwitchA] domain abc
[SwitchA-isp-abc] radius-scheme cams
[SwitchA-isp-abc] quit
#将ISP域abc设置为缺省ISP域。
[SwitchA] domain default enable abc
#交换机全局开启802.1x功能。
[SwitchA] dot1x
#在端口Ethernet1/0/2下开启802.1x功能。
[SwitchA] interface Ethernet1/0/2
[SwitchA-Ethernet1/0/2] dot1x
[SwitchA-Ethernet1/0/2] quit
#在端口Ethernet1/0/3下开启802.1x功能。
[SwitchA] interface Ethernet1/0/3
[SwitchA-Ethernet1/0/3] dot1x
[SwitchA-Ethernet1/0/3] quit
# 配置网关的缺省路由
[SwitchA] ip route-static 0.0.0.0 0 192.168.0.1
2. 配置SwitchB
# 创建VLAN 20,并添加相应端口。
[SwitchB] vlan 20
[SwitchB-vlan20] port Ethernet 1/0/1 to Ethernet 1/0/4
[SwitchB-vlan20] quit
#设置RADIUS方案cams,设置主服务器。
[SwitchB] radius scheme cams
[SwitchB-radius-cams] primary authentication 10.10.1.1
[SwitchB-radius-cams] accounting optional
#设置系统与认证Radius服务器交互报文时加密密码为expert。
[SwitchB-radius-cams] key authentication expert
#设置用户名为带域名格式。
[SwitchB-radius-cams] user-name-format with-domain
#服务类型为extended。
[SwitchB-radius-cams] server-type extended
[SwitchB-radius-cams] quit
#定义ISP域abc,并配置认证采用RADIUS方案cams。
[SwitchB] domain abc
[SwitchB-isp-abc] radius-scheme cams
[SwitchB-isp-abc] quit
#将ISP域abc设置为缺省ISP域。
[SwitchB] domain default enable abc
#交换机全局开启802.1x功能。
[SwitchB] dot1x
#在端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4开启802.1x功能。
华为 MSR路由器教育网双出口NAT服务器的典型配置 一、组网需求: MSR 的 G0/0 连接某学校内网, G5/0 连接电信出口, G5/1 连接教育网出口,路由配置:访问教育网地址通过 G5/1 出去,其余通过默认路由通过 G5/0 出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校 一、组网需求: MSR的G0/0连接某学校内网,G5/0连接电信出口,G5/1连接教育网出口,路由配置:访问教育网地址通过G5/1出去,其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校都是从G5/1进来,如果以教育网源地址(211.1.1.0/24)从G5/0访问电信网络,会被电信过滤。该校内网服务器192.168.34.55需要对外提供访问,其域名是https://www.doczj.com/doc/ae3901806.html,,对应DNS解析结果是211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问,且要求校园网内部可以通过NAT任意访问电信网络或教育网络。 设备清单:MSR一台 二、组网图:
三、配置步骤: 适用设备和版本:MSR系列、Version 5.20, Release 1205P01后所有版本。
四、配置关键点: 1) 此案例所实现之功能只在MSR上验证过,不同设备由于内部处理机制差异不能保证能够实现; 2) 策略路由是保证内部服务器返回外网的流量从G5/1出去,如果不使用策略路由会按照普通路由转发从G5/0出去,这样转换后的源地址211.1.1.4会被电信给过滤掉,因此必须使用策略路由从G5/1出去; 3) 策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发,而不被策
11.1 静态路由配置 配置需求:访问目的网络2.2.2.0/24,下一跳为192.168.83.108。 (1)进入到【路由管理】-【基本路由】-【静态路由表】中,新建一条静态路由表。 (2)目的地址:需要访问的目标网络 掩码:目标网络的掩码 下一跳地址:防火墙流出网口的对端设备地址 Metric:优先级,metric值越小优先级越高 网络接口:防火墙的流出接口 (3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。 如果静态路由生效,如下图所示。
注意事项: (1)下一跳地址一定要输入正确,这个地址不是防火墙的出口地址。 (2)下一跳地址一定可达有效的地址,可以在【状态监控】-【状态信息】-【网络测试】测试下可达性。 11.2 默认路由配置 配置需求:经过防火墙的数据包全部转发给211.211.211.210. (1)进入到【路由管理】-【基本路由】-【默认路由】中,新建一条默认路由。 (2)默认网关:211.211.211.210; 权重值:多条默认路由时使用,权重越大负载分担时流经的数据包所占比重越高
(3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。 如果默认路由生效,如下图所示。 注意事项: (1) 配置多条默认路由时,一定勾选【启用基于状态回包功能】,权重值越大,分担的流量越多。 (2) 默认路由生效了,在【状态监控】-【状态信息】-【网络测速】中选择【ping】下网关地址,确保可达性。 11.3 策略路由配置
配置需求:内网192.168.1.0/24网段访问8.8.8.0/24通过eth0口路由出去。 (1)进入到【路由管理】-【基本路由】-【策略路由】中,新建一条高级路由表。 命名路由表名称和路由表ID 点击新建路由表后面的操作按钮,新建路由表内容
CISCO 策略路由(PBR)配置实例 时间:2010-02-17 22:56来源:未知作者:admin 点击:142次 策略路由选择可以选择修改下一跳地址以及标记数据包来提供不通的网络服务。PBR一般用于修改基于源地址的下一跳地址。推荐实现方式:PBR给于外发IP数据包标记IP优先位,这样方便了实施QoS策略。一般来说,PBR是通过路由映射来配置的。看个详细配置实例,你 策略路由选择可以选择修改下一跳地址以及标记数据包来提供不通的网络服务。PBR一般用于修改基于源地址的下一跳地址。推荐实现方式:PBR给于外发IP数据包标记IP优先位,这样方便了实施QoS策略。一般来说,PBR是通过路由映射来配置的。 看个详细配置实例,你会更加明白: 定义了两个访问列表:10和20,经过配置使来自网络192.168.1.0/24的数据包的下一跳地址改为192.168.100.1;使来自 192.168.2.0/24的数据包的下一跳地址改为192.168.100.2.其他源始发的数据包正常路由。 命令如下: My3377(config)#access-list 10 permit 192.168.1.0 //用访问控制列表先抓取路由 My3377(config)#access-list 20 permit 192.168.2.0 My3377(config)#route-map nexthop permit 10 //起个名字 My3377(config-route-map)#match ip address 10 //匹配一个列表 My3377(config-route-map)#set ip next-hop 192.168.100.1 //设置一个策略 My3377(config-route-map)#exit My3377(config)#route-map nexthop permit 20 My3377(config-route-map)#match ip address 20 My3377(config-route-map)#set ip next-hop 192.168.100.2 My3377(config-route-map)#exit My3377(config)#route-map nexthop permit 30 My3377(config)#int s2/1
H3C策略路由配置及实例 2010-07-19 09:21 基于策略路由负载分担应用指导介绍 特性简介 目前网吧对网络的可靠性和稳定性要求越来越高,一般网吧与运营商都有两条线路保证一条线路出现故障时能够有另一条链路作为备份。当两条线路都正常时为了减少一条线路流量压力,将流量平均分配到另外一条线路,这样提高了网络速度。当一条链路出现故障接口DOWN掉时,系统自动将流量全部转到另一条线路转发,这样提高了网络的稳定性、可靠性。满足网吧对业务要求不能中断这种需求,确保承载的业务不受影响。 使用指南 使用场合 本特性可以用在双链路的组网环境内,两条链路分担流量。保证了网络的可靠性、稳定性。 配置指南 本指南以18-22-8产品为例,此产品有2个WAN接口。ethernet2/0、ethernet3/0互为备份。 可以通过以下几个配置步骤实现本特性: 1) 配置2个WAN接口是以太链路,本案例中以以太网直连连接方式为例; 2) 配置静态路由,并设置相同的优先级; 3) 配置策略路由将流量平均分配到2条链路上。 2 注意事项 两条路由的优先级相同。 配置策略路由地址为偶数走wan1,地址为奇数走wan2。 策略路由的优先级高于路由表中的优先级。只有策略路由所使用的接口出现down后,路由比表中配置的路由才起作用。 3 配置举例 组网需求 图1为2条链路负载分担的典型组网。 路由器以太网口ETH2/0连接到ISP1,网络地址为142.1.1.0/30,以太网口ETH3/0连接到ISP2,网络地址为162.1.1.0/30;以太网口ETH1/0连接到网吧局域网,私网IP网络地址为192.168.1.0/24。
华为策略路由配置实例 1、组网需求 ?????????????????图1?策略路由组网示例图 ????公司希望上送外部网络的报文中,IP优先级为4、5、6、7的报文通过高速链路传输,而IP优先级为0、1、2、3的报文则通过低速链路传输。 2、配置思路 1、创建VLAN并配置各接口,实现公司和外部网络设备互连。 2、配置ACL规则,分别匹配IP优先级4、5、6、7,以及IP优先级0、1、2、3。 3、配置流分类,匹配规则为上述ACL规则,使设备可以对报文进行区分。 5、配置流策略,绑定上述流分类和流行为,并应用到接口GE2/0/1的入方向上,实现策略路由。 3、操作步骤 3.1、创建VLAN并配置各接口 #?在Switch上创建VLAN100和VLAN200。
[Switch]?interfacegigabitethernet1/0/2 [Switch-GigabitEthernet1/0/2]?portlink-typetrunk [Switch-GigabitEthernet1/0/2]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet1/0/2]?quit [Switch]?interfacegigabitethernet2/0/1 [Switch-GigabitEthernet2/0/1]?portlink-typetrunk [Switch-GigabitEthernet2/0/1]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet2/0/1]?quit 配置LSW与Switch对接的接口为Trunk类型接口,并加入VLAN100和VLAN200。#?创建VLANIF100和VLANIF200,并配置各虚拟接口IP地址。 [Switch]?interfacevlanif100 [Switch-Vlanif100]?ipaddress24 [Switch-Vlanif100]?quit [Switch]?interfacevlanif200 [Switch-Vlanif200]?ipaddress24 [Switch-Vlanif200]?quit 3.2、配置ACL规则 #?在Switch上创建编码为3001、3002的高级ACL,规则分别为允许IP优先级0、1、2、3和允许IP优先级4、5、6、7的报文通过。 [Switch]?acl3001 [Switch-acl-adv-3001]?rulepermitipprecedence0 [Switch-acl-adv-3001]?rulepermitipprecedence1 [Switch-acl-adv-3001]?rulepermitipprecedence2
5.5IP策略路由典型配置 5.5.1策略路由基本配置 『需求』 在Router上做策略路由,从40.1.1.0/25来的报文送往S0口,从40.1.1.128/25来的报文送往S1。 【Router】 当前路由器提示视图依次输入的配置命令,重要的命令红色突出显示简单说明 ! 适用版本:vrp1.74/1.44 [Router] acl 1 定义acl1 [Router-acl-1] rule normal permit source 40.1.1.0 0.0.0.127 允许40.1.1.0/25源地址网段 [Router-acl-1] rule normal deny source any 禁止其他任何网段 ! [Router] acl 2 定义acl2 [Router-acl-2] rule normal permit source 40.1.1.128 0.0.0.127 允许40.1.1.128/25源地址 网段 [Router-acl-2] rule normal deny source any 禁止其他任何网段 ! [Router] interface Ethernet0 进入以太0口[Router-ethernet0] ip address 40.1.1.1 255.255.255.0 配置ip地址[Router-ethernet0] ip policy route-policy aaa 应用aaa策略 ! [Router] interface Serial0 进入串口0口[Router-Serial0] link-protocol ppp 封装ppp链路层协议
策略路由 1策略路由概述 (2) 1.1普通路由的概念 (2) 1.2 策略路由的概念 (2) 1.2.1 策略路由 (2) 1.2.2 路由策略 (5) 2 策略路由的实现原理 (5) 2.1 策略路由的好处 (5) 2.2 策略路由的流程 (5) 2.3策略路由的处理流程 (6) 2.3.1 流模式和逐包模式 (6) 2.3.2 流模式流程图 (6) 2.3.2 路由器流模式及逐包模式切换命令 (7) 2.4 Route-map原理与执行 (7) 2.4.1 Route-map概念 (7) 2.4.2 理解Route-map (7) 2.4.3 Route-map 的执行语句 (8) 3 策略路由的规划设计 (9) 3.1 策略路由的适用环境 (9) 3.2 策略路由的配置 (10) 3.2.1 路由器基本配置 (10) 3.2.2 交换机基本配置 (14) 3.3 策略路由的验证和调试 (15) 4 策略路由部署应用案例 (17) 4.1 策略路由配置案例一 (17) 4.1.1网络拓扑 (17) 4.1.2功能需求: (17) 4.1.3配置实现: (18) 4.2 策略路由配置案例二 (18) 4.2.1网络拓扑 (18) 4.2.2功能需求: (19) 4.2.3配置实现: (19) 4.3 策略路由配置案例三 (20) 4.3.1网络拓扑 (20) 4.3.2功能需求: (21) 4.3.3配置实现: (21) 4.3.4配置优化: (23)
1策略路由概述 1.1普通路由的概念 普通路由转发基于路由表进行报文的转发; 路由表的建立 直联路由、主机路由; 静态配置路由条目; 动态路由协议学习生成; 查看命令——show ip route 对于同一目的网段,可能存在多条distance不等的路由条目 1.2 策略路由的概念 1.2.1 策略路由 所谓策略路由,顾名思义,即是根据一定的策略进行报文转发,因此策略路由是一种比目的路由更灵活的路由机制。在路由器转发一个数据报文时,首先根据配置的规则对报文进行过滤,匹配成功则按照一定的转发策略进行报文转发。这种规则可以是基于标准和扩展访问控制列表,也可以基于报文的长度;而转发策略则是控制报文按照指定的策略路由表进行转发,也可以修改报文的IP优先字段。因此,策略路由是对传统IP路由机制的有效增强。
[Switch] acl number 2000 [Switch-acl-basic-2000] rule permit source 2.1.1.1 0 [Switch-acl-basic-2000] quit # 定义基本ACL 2001,对源IP地址为2.1.1.2的报文进行分类。[Switch] acl number 2001 [Switch-acl-basic-2001] rule permit source 2.1.1.2 0 [Switch-acl-basic-2001] quit # 定义类classifier_1,匹配基本ACL 2000。 [Switch] traffic classifier classifier_1 [Switch-classifier-classifier_1] if-match acl 2000 [Switch-classifier-classifier_1] quit # 定义流行为behavior_1,动作为重定向至200.1.1.2。[Switch] traffic behavior behavior_1 [Switch-behavior-behavior_1] redirect next-hop 200.1.1.2 [Switch-behavior-behavior_1] quit # 定义类classifier_2,匹配基本ACL 2001。 [Switch] traffic classifier classifier_2 [Switch-classifier-classifier_2] if-match acl 2001 [Switch-classifier-classifier_2] quit # 定义流行为behavior_2,动作为重定向至201.1.1.2。[Switch] traffic behavior behavior_2 [Switch-behavior-behavior_2] redirect next-hop 201.1.1.2
唱响夏日激情,勇争博客,八月之争烽烟再起!博主的更多文章>> 一、策略路由简介 基于策略的路由允许应用一个策略控制数据包应如何走而非基于路由表选路。IP路由基于目标地,而PBR允许基于源的路由,即来自何处而应到哪去,从而根据需要走一条特殊的路径。 在网络中实施基于策略的路由有以下优点: 1、基于源的供应商选择:通过策略路由使源于不同用户组的数据流选择经过不同的Inte rnet连接。 2、服务质量:可以通过在网络边缘路由器上设置IP数据包包头中的优先级或TOS值,并利用队列机制在网络核心或主干中为数据流划分不同的优先级,来为不同的数据流提供不同级别的QoS。 3、负载均衡:网络管理员可以通过策略路由在多条路径上分发数据流。 4、网络管理更加灵活。 二、双出口配置实例 (一)实验拓朴: (二)实验要求: 1、R1连接本地子网,R2为边缘策略路由器,R3模拟双ISP接入的Internet环境。 2、要求R1所连接的局域网部分流量走R2-R3间上条链路(ISP1链路),部分流量走R2-R3间下条链路(ISP2链路)从而实现基于源的供应商链路选择和网络负载均衡。 (三)各路由器配置如下: R1#sh run . …… interface Loopback0 .
…… interface FastEthernet0/0 ip address ip policy route-map isp-test Tracing the route to 1 7 2 msec 216 msec 276 msec 2 288 msec 360 msec * Tracing the route to 1 9 2 msec 188 msec 52 msec 2 416 msec 436 msec * Tracing the route to 1 136 msec 40 msec 144 msec 2 356 msec * 132 msec Tracing the route to 1 28 msec 104 msec 200 msec 2 300 msec * 196 msec //ISP2入口 ----------------------------------------------------- (五)小结: 通过以上实验,可以看到子网一()的流量都经过R2-R3的上一条链路选择了ISP1链路,子网二()的流量都经过R2-R3的下一条链路选择了ISP2链路。所以通过策略路由实现基于源的供应商选择和网络的负载均衡。
策略路由 1策略路由概述 (3) 1.1普通路由的概念 (3) 1.2 策略路由的概念 (4) 1.2.1 策略路由 (4) 1.2.2 路由策略 (8) 2 策略路由的实现原理 (8) 2.1 策略路由的好处 (8) 2.2 策略路由的流程 (8) 2.3策略路由的处理流程 (9) 2.3.1 流模式和逐包模式 (9) 2.3.2 流模式流程图 (9) 2.3.2 路由器流模式及逐包模式切换命令 (9) 2.4 Route-map原理与执行 (9) 2.4.1 Route-map概念 (9) 2.4.2 理解Route-map (10)
2.4.3 Route-map 的执行语句 (10) 3 策略路由的规划设计 (12) 3.1 策略路由的适用环境 (12) 3.2 策略路由的配置 (12) 3.2.1 路由器基本配置 (12) 3.2.2 交换机基本配置 (17) 3.3 策略路由的验证和调试 (19) 4 策略路由部署应用案例 (20) 4.1 策略路由配置案例一 (20) 4.1.1 网络拓扑 (20) 4.1.2 功能需求: (20) 4.1.3 配置实现: (21) 4.2 策略路由配置案例二 (22) 4.2.1 网络拓扑 (22) 4.2.2 功能需求: (22) 4.2.3 配置实现: (22)
4.3 策略路由配置案例三 (23) 4.3.1 网络拓扑 (23) 4.3.2 功能需求: (24) 4.3.3 配置实现: (24) 4.3.4 配置优化: (25) 1策略路由概述 1.1普通路由的概念 普通路由转发基于路由表进行报文的转发; 路由表的建立 直联路由、主机路由; 静态配置路由条目; 动态路由协议学习生成; 查看命令——show ip route 对于同一目的网段,可能存在多条distance不等的路由条目
策略路由
1策略路由概述 普通路由的概念 普通路由转发基于路由表进行报文的转发;路由表的建立 直联路由、主机路由;
静态配置路由条目; 动态路由协议学习生成; 查看命令——show ip route 对于同一目的网段,可能存在多条distance不等的路由条目 策略路由的概念 1.2.1 策略路由 所谓策略路由,顾名思义,即是根据一定的策略进行报文转发,因此策略路由是一种比目的路由更灵活的路由机制。在路由器转发一个数据报文时,首先根据配置的规则对报文进行过滤,匹配成功则按照一定的转发策略进行报文转发。这种规则可以是基于标准和扩展访问控制列表,也可以基于报文的长度;而转发策略则是控制报文按照指定的策略路由表进行转发,也可以修改报文的IP优先字段。因此,策略路由是对传统IP路由机制的有效增强。 策略路由能满足基于源IP地址、目的IP址、协议字段,甚至于TCP、UDP的源、目的端口等多种组合进行选路。简单点来说,只要IP standard/extended ACL(IP标准/扩展ACL) 能设置的,都可以做为策略路由的匹配规则进行转发。 策略路由(Policy Route)是指在决定一个IP包的下一跳转发地址或是下一跳缺省IP地址时,不是简单的根据目的IP地址决定,而是综合考虑多种因素来决定。如可以根据DSCP字段、源和目的端口号,源IP地址等来为数据包选择路径。策略路由可以在一定程度上实现流量工程,使不同服务质量的流或者不同性质的数据(语音、FTP)走不同的路径。 基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更
强的控制能力。传统上,路由器用从路由协议派生出来的路由表,根据目的地址进行报文的转发。基于策略的路由比传统路由能力更强,使用更灵活,它使网络管理者不仅能够根据目的地址而且能够根据协议类型、报文大小、应用或I P源地址来选择转发路径。策略可以定义为通过多路由器的负载平衡或根据总流量在各线上进行报文转发的服务质量(Q o S )。 本交换机所支持的策略路由是与QOS的流分类标准相结合的。针对简单流分类和复杂流分类,可以根据到来的数据包的匹配的以下特征,来设定策略路由: 优先级 VLAN ID 源/目的MAC地址 源/目的的IP地址(包括IP MASK部分) TCP/UDP源/目的端口号 IP优先级 DSCP的优先级 DSCP差分服务代码点(Differentiated Services Code Point),IETF于1998年12月发布了Diff-Serv(Differentiated Service)的QoS分类标准。它在每个IP头部的服务类别TOS标识字节中,利用已使用的6比特和未使用的2比特,通过编码值来区分优先级· 简介 DSCP差分服务代码点(Differentiated Services Code Point),IETF于1998年12月发布了Diff-Serv(Differentiated Service)的QoS分类标准。它在每个IP头部的服务类别TOS标识字节中,利用已使用的6比特和未使用的2比特,
1.1 路由策略典型配置举例 1.1.1 配置引入其它协议的路由信息 1. 组网需求 本例说明了一种OSPF 协议有选择地引入RIP 协议路由的情况。 路由器连接了一所大学的校园网和一个地区性网络。校园网使用RIP 作为其内 部路由协议,地区性网络使用OSPF 路由协议,路由器需要将校园网中的某些 路由信息在地区性网络中发布。为实现这一功能,路由器上的OSPF 协议在引 入RIP 协议路由信息时通过对一个路由策略的引用实现路由过滤的功能。该路 由策略由两个节点组成, 实现192.1.0.0/24 和128.2.0.0/16 的路由信息以不同 的路由权值被OSPF 协议发布。 2. 组网图 校园网地区性网络 图1-1 配置OSPF 引入RIP 协议路由的组网图 3. 配置步骤 # 定义地址前缀列表。 [Router]ip ip-prefix p1 permit 192.1.1.0 24 [Router]ip ip-prefix p2 permit 128.2.0.0 16 # 配置路由策略。 [Router]route-policy r1 permit node 10 [Router-route-policy] if-match ip-prefix p1 [Router-route-policy] apply cost 120 [Router-route-policy] route-policy r1 permit node 20 [Router-route-policy] if-match ip-prefix p2 [Router-route-policy] apply cost 100 [Router-route-policy] quit # 配置OSPF 协议 [Router]ospf [Router-ospf-1] area 0 [Router -ospf-1-area-0.0.0.0] network 128.1.0.0 0.0.0.255 [Router -ospf-1-area-0.0.0.0] quit [Router-ospf-1] import-route rip route-policy r1 [Router-ospf-1] quit
H3C S5130-EI 策略路由典型配置举例
目录 1 简介 (1) 2 配置前提 (1) 3 使用限制 (1) 4 IPv4 策略路由配置举例 (1) 4.1 组网需求 (1) 4.2 配置思路 (2) 4.3 使用版本 (2) 4.4 配置步骤 (2) 4.5 验证配置 (3) 4.6 配置文件 (3) 5 IPv6 策略路由配置举例 (4) 5.1 组网需求 (4) 5.2 配置思路 (5) 5.3 使用版本 (5) 5.4 配置步骤 (5) 5.5 验证配置 (6) 5.6 配置文件 (6) 6 相关资料 (7)
1 简介 本文档介绍了策略路由的配置举例。 普通报文是根据目的IP 地址来查找路由表转发的,策略路由是一种依据用户制定的策略进行路由选择的机制。策略路由可以基于到达报文的源地址、目的地址、IP 优先级、协议类型等字段灵活地进行路由选择。 2 配置前提 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文假设您已了解策略路由特性。 3 使用限制 配置重定向到下一跳时,不能将IPv4 规则重定向到IPv6 地址,反之亦然。 4 IPv4 策略路由配置举例 4.1 组网需求 如 图 1 所示,缺省情况下,Device的VLAN接口 2 上收到的所有访问Server的报文根据路由表转发的下一跳均为10.4.1.2。 现要求在Device 上配置IPv4 策略路由,对于访问Server 的报文实现如下要求: (1) 首先匹配Vlan-interface2 上收到的源IP 地址为10.2.1.1 的报文,将该报文的下一跳重定向到 10.5.1.2; (2) 其次匹配Vlan-interface2 上收到的HTTP 报文,将该报文的下一跳重定向到10.3.1.2。 图1 IPv4 策略路由特性典型配置组网图
(一)实验拓朴: (二)实验要求: 1、R1连接本地子网,R2为边缘策略路由器,R3模拟双ISP接入的Internet 环境。 2、要求R1所连接的局域网部分流量走R2-R3间上条链路(ISP1链路),部分流量走R2-R3间下条链路(ISP2链路)从而实现基于源的供应商链路选择和网络负载均衡。 (三)各路由器配置如下: R1#sh run //路由器R1的配置 interface Loopback0 //模拟子网一:192.168.1.0/24 ip address 192.168.1.1 255.255.255.0 //模拟子网中第一台主机 ip address 192.168.1.2 255.255.255.0 secondary //模拟子网中第二台主机 ! interface Loopback2 //模拟子网二:192.168.2.0/24 ip address 192.168.2.1 255.255.255.0 ip address 192.168.2.2 255.255.255.0 secondary ! interface FastEthernet0/0 ip address 12.0.0.1 255.255.255.0 ! router rip //通过RIP协议配置网络的连通性
version 2 network 192.168.1.0 network 192.168.1.0 network 12.0.0.0 R3#sh run //路由器R3的配置Building configuration interface Loopback0 //模拟一个连接目标description to internet ip address 100.100.100.100 255.255.255.0 ! interface Serial1/1 //模拟ISP1的接入端口ip address 123.0.0.3 255.255.255.0 serial restart-delay 0 ! interface Serial1/3 //模拟ISP2的接入端口ip address 223.0.0.3 255.255.255.0 serial restart-delay 0 ! router rip version 2 network 100.0.0.0
关于H3C 三层交换机的策略路由实例配置 [复制链接] s e o q u x i a b a 二星会员 签到天 数 : 32 天[L V .5]常住居民I 阅 本帖为原创,特别针对我单位网络配置手写稿,在VLAN 方面、ACL 方面稍做了些简化 希望对各位网管弟弟们有一些帮助,我把所以配置过程从一台新的交换机到一台可以正常运行的状态。 如果不明白可以回帖在线解决。 我下面以一台H3C S5800交换机为例: 一、系统的配置 给交换机命名
读权限 积分主题帖子日志description "VLAN 11" [NH001]vlan 12 description "VLAN 12" 在三层交换机上创建了vlan 后还需要给它配置IP 地址既我们所说的网关。在用户模视图模式下输入interface vlan-interface1进入VLAN1的三层接口视图中。使用ip address 命令给当前VLAN 配置IP 地址。 [NH001]interface Vlan-interface10 ip address 172.16.10.1 255.255.255.0 [NH001]interface Vlan-interface11 ip address 172.16.11.1 255.255.255.0 三、端口的配置 本帖隐藏的内容 在端口的配置中,我们一般将端口分为以下几种类型; 1、access port 普通接口,此接口一般用于连接用户的PC 2、trunk port 封装了802.1Q 协议的端口,此端口一般用于交换机与交换机互连,需要透传多个VLAN 时配置。 一般情况下使用这两种类型端口即可满足网络的建设,使用interface GigabitEthernet1/0/1命令进入一个端口,port link-type 命令来定义当前接口的类型,使用port access 命令来将端口添加到相应的vlan 当中。使用port link-type trunk 命令来讲当前的接口定义为trunk 端口。 [NH001] interface GigabitEthernet1/0/1 port access vlan 200 [NH001] interface GigabitEthernet1/0/47 port link-type trunk port trunk permit vlan all 四、路由的配置 静态路由的命令ip route-static [NH001]ip route-static 0.0.0.0 0.0.0.0 192.168.254.3 五、安全的配置 安全设置主要是通过ACL 的方式来实现; 1、 创建ACL
H3C S12500 IPv6策略路由配置举例 Copyright ? 2013 杭州华三通信技术有限公司版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。
目录 1 简介 (1) 2 配置前提 (1) 3 配置举例 (1) 3.1 组网需求 (1) 3.2 配置思路 (2) 3.3 使用版本 (2) 3.4 配置注意事项 (2) 3.5 配置步骤 (2) 3.6 验证配置 (3) 3.7 配置文件 (3) 4 相关资料 (5)
1 简介 本文档介绍了IPv6策略路由的配置举例。 普通IPv6报文是根据IPv6目的地址来查找路由表转发的,IPv6策略路由是一种依据用户制定的策略进行路由选择的机制。IPv6策略路由可以基于到达报文的IPv6源地址、IPv6目的地址、IP 优先级、协议类型等字段灵活地进行路由选择。 2 配置前提 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文假设您已了解IPv6策略路由特性。 IPv6策略路由的优先级高于普通路由。配置了IPv6策略路由后,报文的转发流程如下(分4种情况): (1) IPv6策略节点的匹配模式为permit,该节点下ACL规则动作为permit ?匹配成功:若IPv6策略路由设置的出接口或下一跳有效,则按IPv6策略路由转发;若IPv6策略路由设置的出接口或下一跳无效,则按照普通路由表转发; ?匹配失败:继续下一个节点的匹配。 (2) IPv6策略节点的匹配模式为permit,该节点下ACL规则动作为deny ?匹配成功:继续下一个节点的匹配; ?匹配失败:继续下一个节点的匹配。 (3) IPv6策略节点的匹配模式为deny,该节点下ACL规则动作为permit ?匹配成功:按照普通路由表转发; ?匹配失败:继续下一个节点的匹配。 (4) IPv6策略节点的匹配模式为deny,该节点下ACL规则动作为deny ?匹配成功:继续下一个节点的匹配; ?匹配失败:继续下一个节点的匹配。 实际应用中,策略路由的配置一般采用第一种情况。 3 配置举例 3.1 组网需求 如(1)所示缺省情况下,Device的GE5/0/47端口上收到的所有报文根据路由表转发的下一跳均为2004::2。 现要求在Device上配置IPv6策略路由,具体实现要求如下:
基于源地址的策略路由配置示例 组网需求 如图14-1所示,定义策略mypolicy,控制所有从GigabitEthernet0/2接口 接收的TCP报文使用接口GigabitEthernet0/0发送,其他报文仍然按照查 找路由表的方式进行转发: ●5号节点用于匹配ACL 3101规则的报文将被发往接口 GigabitEthernet0/0。 ●10号节点用于匹配ACL 3102规则的任何报文不做策略路由处理。 来自GigabitEthernet0/2的报文将依次试图匹配5、10号节点的if-match 子句。如果匹配了permit语句的节点,执行相应的apply子句;如果匹 配了deny语句的节点,拒绝通过该节点的过滤,并且不会进行下一个节 点的测试,退出策略路由处理。 图14-1 基于源地址的策略路由配置组网图 配置步骤 配置基于源地址的策略路由,需要进行如下操作。 步骤1配置ACL规则 # 创建ACL 3101,并定义ACL规则。
版权声明:原创作品,如需转载,请与作者联系。否则将追究法律责任。策略路由(Policy-based Routing)和静态路由(Static Routing)的比较,如下表:策略路由静态路由配置方式手工配置手工配置配置原则根据“目的”或“来源”位指定路由路径;策略路由也是静态路由的一种,只是比静态路由更有弹性。根据“目的”地址,指定路由路径策略路由配置的一般步骤:1. 定义一个路由映射图:Route-map2. 将路由映射图映射到特定的接口上:Router(config-if)#ip policy route-map map-tag路由映射图(route-map)与控制访问列表命令结构的比较,如下表:Route-map 路由映射ACL访问列表Route-map(定义一个路由映射)Match(匹配)Set(采取的动作)Access-list(定义一个访问列表)Permit(匹配则保留)Deny(匹配则丢弃)Route-map命令详解命令语法:Router(config)#route-map map-tag [permit/deny] [sequence-number] Map-tag 该路由映射图的名字或ID;指定Permit参数假如满足匹配条件则采取动作;指定deny参数假如满足匹配条件则不采取行动;[sequence-number](序列号)参数指示一个新的路由映射图所处的位置;[sequence-number]序列号也用来检查匹配条件的顺序。命令语法:Router(config-route-map)#match {action}命令语法:Router(config-route-map)#set {action}策略路由的主要应用:1. 应用于路由重分布(Redistribution)2. 根据不同来源位置的数据流量,通过策略路由选择不同的出口;3. 根据不同的类型(HTTP,FTP)的数据流量,通过策略路由选择不同的出口。实验:实验1. 应用于路由重分布:在该实验中边界路由器上运行着RIP和OSPF路由协议,现要求将RIP中度量值(跳数)为3的路由重分发(redistribute)到OSPF中,路由重分发到OSPF中以后,度量值变为6,并且将其度量值属性设置为1。在边界路由器上的配置:Router(config)#router ospf 100Router(config-router)#redistribute rip route-map rip-routesRouter(config)#route-map rip-route permit (路由映射匹配以下条件就采取行动)Router(config-route-map)#match metric 3 (匹配条件:具有跳数为3的RIP路由)Router(config-route-map)#set metric 6 (为匹配条件的RIP路由设置OSPF属性:metric=6)Router(config-route-map)#set metric-type 1 (为匹配条件的RIP路由设置OSPF属性:type1)实验2. 根据不同来源地址的流量,通过策略路由选择不同的出口:在这个实验中,源地址为211.141.1.0/24的数据必须经由R2的S0流出,经过R3再到达Internet;在这个实验中,源地址为172.16.1.0/24的数据必须经由R2的S1流出,进过R1再到达Internet。在R2上的具体配置:R2(config)#access-list 1 permit 211.141.1.0 0.0.0.255R2(config)#access-list 2 permit 172.16.1.0 0.0.0.255R2(config)#route-map ISP_R3 permit 10R2(config-route-map)#match ip address 1R2(config-route-map)#set interface s0R2(config-route-map)#exitR2(config)#route-map ISP_R1 permit 20R2(config-route-map)#match ip address 2R2(config-route-map)#set interface s1实验3. 根据数据流量类型(FTP,HTTP等)来进行策略路由:这个实验要达到的目的是:从Internet 到达R0的HTTP流量从S0/0发出;从Internet到达R0的FTP流量从S0/1发出;从Internet 到达R0的其他流量从S0/2发出。详细命令:R0(config)#access-list 100 permit tcp any any eq wwwR0(config)#access-list 101 permit tcp any any eq ftpR0(config)#access-list 102 permit any anyR0(config)#route-map traffic permit 10R0(config-route-map)#match ip address 100R0(config-route-map)#set interface s0/0R0(config)#route-map traffic permit 20R0(config-route-map)#match ip address 101R0(config-route-map)#set interface s0/1R0(config)#route-map traffic permit 30R0(config-route-map)#match ip address 102R0(config-route-map)#set interface s0/2R0(config)#int e0 R0(config-if)#ip policy route-map traffic