下载文档原格式
策略路由命令手册目录1简介 (3)2配置策略路由 (3)3典型配置 (5)1简介策略路由是指将符合策略的数据流定向到指定通道的路由方式。
这个通道和路由表的查询得出的路由可能不一样,策略路由介于静态路由和直连路由之间,比静态路由优先级高,低于直连路由优先级。
由于策略路由是通过策略匹配生效的,所以,配置策略路由可以基于地址、协议等多个条件,灵活的实现各种应用。
2配置策略路由3典型配置拓扑说明:公司有两条外部网络线路,一条为固定IP的企业专线,带宽小,另一条为PPPoE方式上网的高带宽线路。
现要求财务部和营销部所在的vlan1小数据量用户且对线路质量要求较高的用户通过专线访问外网,其他科室大数据量的用户通过PPPoE连接口访问外部网络。
关键配置:dialer pppoe 1 \\创建PPPoE虚拟口interface eth0 \\配置wan0口ip address 202.102.0.23/24access httpsaccess telnetaccess pinginterface eth1 \\配置wan1口ip address pppoe \\PPPoE相关配置pppoe username qqwepppoe password secretjjqbYyIMgtOax4sT9hkt26KwT9X4mUas4gVl0PZRj74K6ao2UiCKVixEdnWtA5Bpppoe default_gatewaypppoe dnspppoe dial pppoe1interface vlan1 \\vlan1相关信息ip address 192.168.1.1/24dhcpserver enableip-pool 192.168.1.100 192.168.1.200 0 days 20 hours 20 minsnetwork 192.168.1.1/24default-router 192.168.1.1dns-server 192.168.1.1access httpaccess httpsaccess pinginterface vlan2 \\vlan2相关信息ip address 192.168.2.1/24access httpsaccess telnetaccess sshaccess ping!ip nat souce eth0 any any any interface 1ip nat souce pppoe1 any any any interface 2 \\配置nat策略!ip route 0.0.0.0/0 202.103.0.23ip route 0.0.0.0/0 pppoe1 \\配置默认路由,在一条线路出现故障时,数据可通过另一条线路访问网络,达到链路备份的效果。
路由器策略路由设置功能简介:策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。
应用了策略路由,设备将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发设备。
一、组网需求:1、让内网的PC1访问222.222.222.0/24的地址,使用F0/1的线路2、PC2一直使用F0/2的线路3、其他电脑不限制二、组网拓扑:三、配置要点:1、配置策略路由前,保证网络使用正常2、策略路由的优先级高于普通路由,策略路由按序号从小到大顺序执行3、如果策略路由失效或没有匹配到策略路由,则设备会执行普通路由转发4、策略路由配置包括:匹配数据流(ACL)和执行策略(SET)四、配置步骤:注意:配置之前建议使用Ruijie#show ip interface brief 查看接口名称,常用接口名称有FastEthernet(百兆)、GigabitEthernet(千兆)和TenGigabitEthernet(万兆)等等,以下配置以百兆接口为例。
步骤一、全局下定义触发策略路由的ACL规则Ruijie>enableRuijie#configure terminalRuijie(config)#access-list 100 permit host 192.168.1.2 222.222.222.0 0.0.0.255 ----->匹配源地址是192.168.1.2 ,目的地址是222.222.222.0/24的数据流Ruijie(config)#access-list 110 permit host 192.168.1.3 any ----->匹配源地址是192.168.1.3,目的地址是所有的数据流步骤二、定义策略路由图Ruijie(config)#route-map ruijie permit 10 ----->配置策略路由ruijie和序号为10Ruijie(config-route-map)#match ip address 100 ----->匹配列表100Ruijie(config-route-map)#set ip next-hop 218.30.14.1 ----->转发给218.30.14.1,或使用set interface f0/1Ruijie(config-route-map)#exitRuijie(config)#route-map ruijie permit 20 ----->配置同一个策略路由图ruijie,序号20Ruijie(config-route-map)#match ip address 110 ----->匹配列表110Ruijie(config-route-map)#set ip next-hop 120.98.10.1 ----->转发给120.98.10.1,或使用set interface f0/2Ruijie(config-route-map)#exit步骤三、在内网口上调用Ruijie(config)#interface fastEthernet 0/0Ruijie(config-if-FastEthernet 0/0)#ip policy route-map ruijie ----->接口上调用策略路由ruijie步骤四、保存配置Ruijie(config-if-FastEthernet 0/0)#endRuijie#write ------> 确认配置正确,保存配置五、验证命令:路由器Ruijie#show route-map ----->查看策略路由配置route-map ruijie, permit, sequence 10Match clauses:ip address 100Set clauses:ip next-hop 218.30.14.1route-map ruijie, permit, sequence 20Match clauses:ip address 110Set clauses:ip next-hop 120.98.10.1电脑上使用tracert测试“开始”-----“运行”----敲入cmdC:\Users\admin>tracert 222.222.222.2221 1 ms 1 ms 1 ms 192.168.1.1 ----->第一跳内网网关2 1 ms 1 ms 2 ms 218.30.14.1 ----->选择外网出口218.30.14.1的线路省略~~~跟踪完成。
一、基于distribute的路由过滤1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255(conf)#access-list 1 permit any2.进入路由重发布(conf)#router rip (conf-router)#distribute-list 1 out ospf 1 在rip协议下,配置distribute 列表,引用acl 1,过滤从ospf 1重发布到rip的网络路由。
也就是说,通过该路由器进行ospf的重发布到rip网络中,过滤acl 1的数据。
在该例中的意思就是ospf中如果有数据属于192.168.1.0/24,那么在rip 网络中无法学习到这些路由。
由于重发布的命令是redistribute,所以这里可以理解为发布到rip网络中。
=============================================================================== ============================================二、基于route-map的路由过滤 1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255(conf)#access-list 1 permit any2.定义route-map (conf)# route-map ospf-rip permit 10 其中ospf-rip为route-map的名称,10为序列号,下述条件如果成立的话动作为permit。
注意:route-map和acl相同的是,在尾部都有隐藏的默认拒绝所有的条件。
3.匹配条件(config-route-map)#match ip address 1 查询acl 1是否满足4.进入路由重发布(conf)#router rip (conf-router)#redistribute ospf 1 metric 4 route-map ospf-rip 在路由重发布的时候,对route-map的ospf-rip条目进行匹配过滤。
第6章IP路由策略配置命令第6章IP路由策略配置命令6.1 ACL配置命令6.1.1 acl【命令】acl{ number acl-number |name acl-name[ basic| advanced|interface ] } [ match-order { config | auto } ]undo acl { number acl-number | name acl-name | all }【视图】系统视图【参数】number:定义一个数字型的ACL,ACL就是访问控制列表。
name:定义一个名字型的ACL。
basic:定义一个用途类型为基本的ACL。
advanced:定义一个用途类型为高级的ACL。
interface:定义一个用途类型为基于接口的ACL。
acl-number:访问控制列表的序号,为1到199和1000到1999之间的数字。
1~99范围的数字型访问控制列表是基本的访问控制列表,100~199范围的数字型访问控制列表是高级的访问控制列表,1000~1999是基于接口的访问控制列表。
acl-name:表示ACL名字。
match-order:指定规则的配置顺序。
config:指定匹配该规则时按用户的配置顺序。
auto:指定匹配该规则时系统自动排序(按“深度优先”的顺序)。
all:所有的ACL。
【描述】命令acl用于创建一个访问控制列表并进入ACL视图,命令undo acl用于删除访问控制列表。
在配置访问控制列表的规则之前,首先需要创建访问控制列表。
【举例】# 创建一个序号为10的ACL。
[Quidway] acl number 10[Quidway-acl-basic-10]# 创建一个名字为test的高级ACL。
[Quidway] acl name test advanced[Quidway-acl-adv-test]# 创建一个基于接口的名字为int的ACL。
[Quidway] acl name int interface[Quidway-acl-if-int]6.1.2 display acl【命令】display acl { all | acl-number | acl-name }【视图】所有视图。
33.1配置相关命令33.1.1ip policy route-map要在一个接口启用策略路由,请使用接口配置命令ip policy route-map。
该命令的no形式关闭策略路由的应用。
ip policy route-map route-mapno ip policy route-map【参数说明】【缺省情况】缺省关闭策略路由。
【命令模式】接口配置模式。
【使用指南】策略路由必须在指定的接口上应用,该接口只对接收到的数据包进行策略路由,该接口发送的数据包路由将正常按照路由表进行转发。
应用策略路由,必须要指定策略路由使用的路由图,并且要创建路由图。
一个路由图由很多条策略组成,每个策略都定义了1个或多个的匹配规则和对应操作。
一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何策略的数据包将按照通常的路由转发进行处理,符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。
注意:我司产品一个接口最多只能配置一个路由图,在同一个接口上多次配置路由图,后的路由图会覆盖先前配置的路由图。
【举例】以下的配置例子中,当快速以太网接口FE0接收到数据报,如果数据报源地址为10.0.0.1,则设置下一跳为196.168.4.6,如果源地址为20.0.0.1则设置下一跳为196.168.5.6,否则进行普通转发。
access-list 1 permit 10.0.0.1access-list 2 permit 20.0.0.1route-map lab1 permit 10match ip address 1set ip next-hop 196.168.4.6exitroute-map lab1 permit 20match ip address 2set ip next-hop 196.168.5.6exitinterface GigabitEthernet 0/0ip policy route-map lab1exit【相关命令】注:route-map配置的相关命令请参考《协议无关命令参考》ip local policy route-map要对本地发送的报文启用策略路由,请使用命令ip local policyroute-map。
一、基于distribute的路由过滤1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#access-list 1 permit any2.进入路由重发布(conf)#router rip (conf-router)#distribute-list 1 out ospf 1 在rip协议下,配置distribute列表,引用acl 1,过滤从osp f 1重发布到r ip的网络路由。
也就是说,通过该路由器进行osp f的重发布到rip网络中,过滤acl 1的数据。
在该例中的意思就是ospf中如果有数据属于192.168.1.0/24,那么在rip网络中无法学习到这些路由。
由于重发布的命令是re d istr ibute,所以这里可以理解为发布到rip网络中。
=============================================================================== ============================================二、基于route-map的路由过滤1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#acces s-list 1 permit any2.定义route-map (conf)# route-map ospf-rip permit 10 其中ospf-rip为ro ute-map的名称,10为序列号,下述条件如果成立的话动作为per mit。
注意:route-map和ac l相同的是,在尾部都有隐藏的默认拒绝所有的条件。
3.匹配条件(config-route-map)#match ip address 1 查询acl 1是否满足4.进入路由重发布(conf)#router rip (conf-router)#redistribute ospf 1 metric 4 route-map ospf-rip 在路由重发布的时候,对route-map的ospf-rip条目进行匹配过滤。
cmd路由策略
CMD路由策略是指在Windows系统中利用命令提示符(CMD)来配置路由表的策略。
通过CMD路由策略,用户可以实现网络流量的分流和控制,以优化网络性能和提高安全性。
CMD路由策略主要包括以下几个步骤:
1. 查看当前系统的路由表:在CMD中输入“route print”命令,可以查看当前系统的路由表,包括目的网络地址、网关、接口等信息。
2. 添加新的路由表项:在CMD中输入“route add”命令,可以添加新的路由表项。
需要指定目的网络地址、子网掩码、网关和接口等参数。
3. 修改或删除路由表项:在CMD中输入“route change”和“route delete”命令,可以分别修改和删除指定的路由表项。
4. 设置默认路由:在CMD中输入“route -p add default”命令,可以设置默认路由。
需要指定默认网关地址和接口等参数。
5. 配置路由策略:在CMD中输入“route add”命令时,可以通过指定路由策略表的名称来实现针对特定流量的路由控制。
例如,可以通过指定路由策略表的名称来区分内部网络和外部网络的流量,从而实现不同的路由控制策略。
需要注意的是,在进行CMD路由策略的配置时,需要具备一定的网络知识和技能,否则操作不当可能会导致网络故障。
因此,在进行CMD路由策略的配置前,建议进行相关的网络培训和实践操作。
- 1 -。
标准ACL配置如何只允许端口下的用户只能访问特定的服务器网段?步骤一:定义ACLS5750#conf t ----进入全局配置模式S5750(config)#ip access-list standard 1 ----定义标准ACL S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255----允许访问服务器资源S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源S5750(config-std-nacl)#exit ----退出标准ACL配置模式步骤二:将ACL应用到接口上S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口S5750(config-if)#ip access-group 1 in ----将标准ACL应用到端口in方向扩展ACL配置如何禁止用户访问单个网页服务器?步骤一:定义ACLS5750#conf t ----进入全局配置模式S5750(config)#ip access-list extended 100 ----创建扩展ACL S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 eq www----禁止访问web服务器S5750(config-ext-nacl)#deny tcp any any eq 135 ----预防冲击波病毒S5750(config-ext-nacl)#deny tcp any any eq 445 ----预防震荡波病毒S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源S5750(config-ext-nacl)#exit ----退出ACL配置模式步骤二:将ACL应用到接口上S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口S5750(config-if)#ip access-group 100 in ----将扩展ACL应用到端口下单向ACL的配置如何实现主机A可以访问主机B的FTP资源,但主机B无法访问主机A的FTP资源??步骤一:定义ACLS5750#conf t ----进入全局配置模式S5750(config)#ip access-list extended 100 ----定义扩展ACL S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 match-all syn----禁止主动向A主机发起TCP连接S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式步骤二:将ACL应用到接口上S5750(config)#interface GigabitEthernet 0/1 ----进入连接B主机的端口S5750(config-if)#ip access-group 100 in ----将扩展ACL应用到端口下S5750(config-if)#end ----退回特权模式S5750#wr ----保存注释:单向ACL只能对应于TCP协议,使用PING无法对该功能进行检测。
策略路由配置命令2007-04-01 03:36route map和ACL很类似,它可以用于路由的再发布和策略路由,还经常使用在BGP中.策略路由(policy route)实际上是复杂的静态路由,静态路由是基于数据包的目标地址并转发到指定的下一跳路由器,策略路由还利用和扩展IP ACL链接,这样就可以提供更多功能的过滤和分类route map的一些命令:match命令可以和路由的再发布结合使用:1.match interface {type number} […type number]:匹配指定的下一跳路由器的接口的路由2.match ip address {ACL number|name} […ACL number|name]:匹配ACL所指定的目标IP地址的路由3.match ip next-hop {ACL number|name} […ACL number|name]:匹配ACL所指定的下一跳路由器地址的路由4.match ip route-source {ACL number|name} […ACL number|name]:匹配ACL 所指定的路由器所宣告的路由5.match metric {metric-value}:匹配指定metric大小的路由6.match route-type {internal|external[type-1|type-2]|level-1|level-2}:匹配指定的OSPF,EIGRP或IS-IS的路由类型的路由7.match tag {tag-value} […tag-value]:匹配带有标签(tag)的路由set命令也可以和路由的再发布一起使用:1.set level {level-1|level-2|level-1-2|stub-area|backbone}:设置IS-IS 的Level,或OSPF的区域,匹配成功的路由将被再发布到该区域2.set metric {metric-value|bandwidth delay RELY load MTU}:为匹配成功的路由设置metric大小3.set metric-type {internal|external|type-1|type-2}:为匹配成功的路由设置metric的类型,该路由将被再发布到OSPF或IS-IS 14.set next-hop {next-hop}:为匹配成功的路由指定下一跳地址5.set tag {tag-value}:为匹配成功的路由设置标签match命令还可以和策略路由一起使用:1.match ip address {ACL number|name} […ACL number|name]:匹配ACL所指定的数据包的特征的路由2.match length {min} {max}:匹配层3的数据包的长度set命令也可以和策略路由一起使用:1.set default interface {type number} […type number]:当不存在指向目标网络的显式路由(explicit route)的时候,为匹配成功的数据包设置出口接口2.set interface {type number} […type number]:当存在指向目标网络的显式路由的时候,为匹配成功的数据包设置出口接口3.set ip default next-hop {ip-address} […ip-address]:当不存在指向目标网络的显式路由的时候,为匹配成功的数据包设置下一跳路由器地址4.set ip precedence {precedence}:为匹配成功的IP数据包设置服务类型(Typeof Service,ToS)的优先级5.set ip tos {tos}:为匹配成功的数据包设置服务类型的字段的TOS位Configuring Route Mapsroute map是通过名字来标识的,每个route map都包含许可或拒绝操作以及一个序列号,序列号在没有给出的情况下默认是10,并且route map允许有多个陈述,如下:Linus(config)#route-map Hagar 20Linus(config-route-map)#match ip address 111Linus(config-route-map)#set metric 50Linus(config-route-map)#route-map Hagar 15Linus(config-route-map)#match ip address 112Linus(config-route-map)#set metric 80尽管先输入的是20,后输入的是15,IOS将把15放在20之前.还可以允许删除个别陈述,如下: Linus(config)#no route-map Hagar 15 在删除的时候要特别小心,假如你输入了no route-map Hegar而没有指定序列号,那么整个route map将被删除.并且如果在添加match和set语句的时候没有指定序列号的话,那么它们仅仅会修改陈述10.在匹配的时候,从上到下,如果匹配成功,将不再和后面的陈述进行匹配,指定操作将被执行关于拒绝操作,是依赖于route map是使用再路由的再发布中还是策略路由中, 如果是在策略路由中匹配失败(拒绝),那么数据包将按正常方式转发;如果是用于路由再发布,并且匹配失败(拒绝),那么路由将不会被再发布如果数据包没有找到任何匹配,和ACL一样,route map末尾也有个默认的隐含拒绝所有的操作,如果是在策略路由中匹配失败(拒绝),那么数据包将按正常方式转发;如果是用于路由再发布,并且匹配失败(拒绝),那么路由将不会被再发布如果route map的陈述中没有match语句,那么默认的操作是匹配所有的数据包和路由;每个route map的陈述可能有多个match和set语句,如下:! route-map Garfield permit 10match ip route-source 15match interface Serial0set metric-type type-1set next-hop 10.1.2.3 !在这里,为了执行set语句,每个match语句中都必须进行匹配 .★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★基于策略的路由基于策略的路由技术概述:基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力,传统上,路由器用从路由协议派生出来的路由表,根据目的地址进行报文的转发。
基于策略的路由比传统路由强,使用更灵活,它使网络管理者不能够根据目的地址而且能够根据,报文大小,应用或IP源地址来选择转发路径。
策略可以定义为通过多路由器的负载平衡或根据总流量在各线上进行转发的服务质量(QOS)。
策略路由使网络管理者能根据它提供的机定一个报文采取的具体路径。
而在当今高性能的网络中,这种选择的自由性是很需要的。
策略路由提供了这样一种机制:根据网络管理者制定的标准来进行报文的转发。
策略路由用MATCH和SET语句实现路径的选择。
策略路由是设置在接收报文接口而不是发送接口。
基于源地址的策略路由配置概述:路由器A将192.1.1.1来的所有数据从接口S0发出,而将从192.1.1.2来的所有数据从接口S1发出。
路由器A定义几个二级接口作为测试点。
路由器A和B配置RIP.在A的ETHERNET 接口上应用IP策略路由图LAB1,为从192.168.1.1来的数据设置下一跳接口为S0,为从192..1.1.2来的数位设置下一跳接口为S1,所有其他的报文将用基于目的地址的路由。
路由器配置:ROUTE A:Version 11.2No service udp-small-serversNo service tcp-small-serversHostname routerAInterface ethernet0Ip address 192.1.1.1 255.255.255.0 secondaryIp address 192.1.1.2 255.255.255.0 secondaryIp address 192.1.1.3 255.255.255.0 secondaryIp address 192.1.1.10 255.255.255.0Ip policy route-map lab1//策略路由应用于E0口interface serial0ip addr 150.1.1.1 255.255.255.0interface serial1ip addr 151.1.1.1 255.255.255.0router ripnetwork 192.1.1.0network 150.1.0.0network 151.1.0.0ip local policy route-map lab1//使路由器策略路由本地产生报文no ip classlessaccess-list 1 permit 192.1.1.1access-list 2 permit 192.1.1.2route-map lab1 permit 10//定义策略路由图名称:LAB1,10为序号,用来标明被匹配的路由顺序。
Match ip address 1//匹配地址为访问列表1Set interface serial0//匹配下一跳为S0Route-map lab1 permit 20Match ip address 2Set interface serial1Line con0Line aux0Line vty 0 4LoginEnd路由器B为标准配置略。
相关调试命令:show ip policyshow router-mapdebug ip policy。
