通常我們在路由器上啟用動態路由協議動態地學習網絡拓撲,這樣我們可能會遇到這樣的安全問題,當一臺非授權的網絡設備接入網絡,併發布路由協議更新時,有可能會使網絡內的設備動態的產生錯誤的路由條目,從而造成數據包的丟失或者被路由到了錯誤的地方。本文就來為大家介紹基於策略的路由(PBR)
方法/步驟
PBR(基於策略的路由)實例解析
下面我們就以一個試驗來描述策略路由的阻斷流量的功能。路由器的E0/0口作為內部網絡的網關,地址為200.1.1.1,內部網絡有一個WWW服務器,地址為200.1.1.100,和WWW同一網段內有普通用戶PC一臺,在外部網絡有一個遠程的用戶,IP地址為199.1.1.100,允許遠程用戶能夠訪問WWW服務器,同時不允許訪問內部用戶的PC機,使用PBR完成需求。
在路由器上配置相關的地址,並測試與200.1.1.100,200.1.1.10和199.1.1.100的連通性。配置一個路由映射(route-map),匹配從遠程用戶到內部用戶的流量,並牽引到null0接口中去,並在null0接口下配置不返回不可達信息。其他不匹配路由映射的流量正常轉發。
路由器的初始配置如下:
測試連通性:
配置匹配敏感流量的ACL:
Router(config)#access-list 100 permit ip host 199.1.1.1 host 200.1.1.10
在出口路由器的E0/1接口上打開NETFLOW交換功能,方便我們對結果進行查看,並在該接口上調用PBR:
Router(config)#interface Ethernet0/1
這時,會發現外部網絡的遠程用戶已經無法ping通內部的用戶了,但是還是可以ping通WWW服務器。查看邊界路由器的狀態:
通過效果圖我們發現,有18個數據包匹配了ACL,並被PBR牽引到null0接口後丟棄了。
PBR的相關知識就為大家介紹完了,希望大家已經掌握。
路由連接良好,網絡暢通之後,如何通過應用nat123從外網訪問內網路由器?
下載,安裝,登錄nat123。登錄後/主面板/端口映射列表/添加映射。
設置映射信息。選擇全端口映射模式。內網地址是內網路由器訪問地址。外網地址域名可以是自己的域名,或二級域名,鼠標放在輸入框上有提示。
