基于策略的路由
通常我们在路由器上启用动态路由协议动态地学习网络拓扑,这样我们可能会遇到这样的安全问题,当一台非授权的网络设备接入网络,并发布路由协议更新时,有可能会使网络内的设备动态的产生错误的路由条目,从而造成数据包的丢失或者被路由到了错误的地方。本文就来为大家介绍基于策略的路由(PBR)
操作方法
- 01
PBR(基于策略的路由)实例解析 下面我们就以一个试验来描述策略路由的阻断流量的功能。路由器的E0/0口作为内部网络的网关,地址为200.1.1.1,内部网络有一个WWW服务器,地址为200.1.1.100,和WWW同一网段内有普通用户PC一台,在外部网络有一个远程的用户,IP地址为199.1.1.100,允许远程用户能够访问WWW服务器,同时不允许访问内部用户的PC机,使用PBR完成需求。 在路由器上配置相关的地址,并测试与200.1.1.100,200.1.1.10和199.1.1.100的连通性。配置一个路由映射(route-map),匹配从远程用户到内部用户的流量,并牵引到null0接口中去,并在null0接口下配置不返回不可达信息。其他不匹配路由映射的流量正常转发。
- 02
路由器的初始配置如下: 测试连通性:
- 03
配置匹配敏感流量的ACL:
- 04
配置null0接口:
- 05
建立路由映射:
- 06
在出口路由器的E0/1接口上打开NETFLOW交换功能,方便我们对结果进行查看,并在该接口上调用PBR:
- 07
>ping 200.1.1.100
- 08
<1msTTL=128
- 09
<1msTTL=128
- 10
<1msTTL=128
- 11
<1msTTL=128
- 12
>ping 200.1.1.10
- 13
这时,会发现外部网络的远程用户已经无法ping通内部的用户了,但是还是可以ping通WWW服务器。查看边界路由器的状态: 通过效果图我们发现,有18个数据包匹配了ACL,并被PBR牵引到null0接口后丢弃了。 PBR的相关知识就为大家介绍完了,希望大家已经掌握。
- 14
路由连接良好,网络畅通之后,如何通过应用nat123从外网访问内网路由器? 下载,安装,登录nat123。登录后/主面板/端口映射列表/添加映射。
- 15
设置映射信息。选择全端口映射模式。内网地址是内网路由器访问地址。外网地址域名可以是自己的域名,或二级域名,鼠标放在输入框上有提示。