几种不同设备的策略路由学习案例.doc

几种不同类型设备的策略路由学习案例 BY? 李良权（南京办） FW0076（2006/5/9） 【特别说明】：为了更好说明，在此所有介绍的案例采用的全是真实地址和环境，请注意必威体育官网网址和勿试图登陆。如有说明不清地方，欢迎邮件交流和指正下，谢谢。 【基本情况】 在实际中策略路由会经常碰到，特别是教育行业，多出口的很多，由于不同设备的策略路由做法有的可能不一样，还有日常我们用到的几款设备中，对NAT性能具体实际环境中的应用表现，在这小结一下我曾接触过的几种，希望能给其他办兄弟在碰到相似环境或需求时有所帮助，也请二线老大们能够指正一下，在此非常感谢。 【案例一】NE20的双出口，双内口的策略路由组网 此案例为江苏某矿物局的组网需求，当时为测试，由于用户的下接用户数量比较多，且策略路由也比较多，当时港湾的一款号称跟我们NE20相当的设备接上去之后基本上段时间就会死了，NE20接上去运行很稳定，可见NE20的NAT性能还是比较高的。 【简易拓朴如下:】 【需求:】 1:LAN1走E1/0/0出口WAN1 LAN2走E1/0/1出口WAN2 2:LAN1与LAN2不能访问 但LAN2中部分OA网段要能与LAN1互通， 10.10.144.9/32 10.10.8.0/24 10.10.99.0/24 【配置思路：】 缺省所有都走WAN1出口,这样从E0/0/1来的报文既LAN1的报文自然所有都走E1/0/0WAN1出去了，在E0/0/0内网口上做策略路由,从此口入的LAN2所有报文做策略路由定向到下一跳,走WAN2出口,但此ACL要先DENY不需要策略路由的部分,否则从LAN2来的报文全重定向到WAN2口去了，所有LAN1与LAN2都不能互通了,所以只需先在策略路由的ACL中DENY掉LAN2与LAN1需要互访问的网段,正好达到其它剩余所有网段间隔离的需求.见ACL3001 sysname Quidway # nat address-group 1 218.3.207.204 218.3.207.204 mask 255.255.255.240 nat address-group 2 218.3.161.29 218.3.161.29 mask 255.255.255.224 # acl number 3000（只做NAT了） description to==DX1 rule 5 permit ip source 10.0.0.0 0.255.255.255 /LAN1网段 rule 10 permit ip source 172.16.0.0 0.0.255.255 acl number 3001（又做NAT又做策略路由了） description to==DX2 rule 1 deny? ip source 10.10.144.9 0 des 10.0.0.0 0.255.255.255 （0A到LAN1段的路由不做策略路由，那么就会根据路由可达了，下面几个DENY一样） rule 2 deny? ip source 10.10.8.0 0.0.0.255 des 10.0.0.0 0.255.255.255 rule 3 deny? ip source 10.10.99.0 0.0.0.255 des 10.0.0.0 0.255.255.255 rule 4 deny? ip source 10.10.144.9 0 des 172.16.0.0 0.0.255.255 rule 5 deny? ip source 10.10.8.0 0.0.0.255 des 172.16.0.0 0.0.255.255 rule 6 deny? ip source 10.10.99.0 0.0.0.255 des 172.16.0.0 0.0.255.255 rule 9 permit ip source 10.10.0.0 0.0.255.255（这是需要做策略路由的ACL） rule 10 permit ip source 10.40.0.0 0.0.255.255 # traffic classifier DX2 （定义类别并引用3001） if-match acl 3001 # traffic behavior DX2 （定义动作下一跳到WAN2） remark ip-nexthop 218.3.161.1 Ethernet1/0/1 # traffic policy DX2? （关联类和动作） classifier DX2 behavior DX2 # interface Ethernet0/0/0? ? ip address 172.30.1.2 255.255.0.0 traffic-policy DX2 inbound desc