欢迎来到天天文库
浏览记录
ID:20339247
大小:140.50 KB
页数:7页
时间:2018-10-09
《策略路由配置示例》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、文档名称文档密级基于源地址的策略路由配置示例组网需求如图14-1所示,定义策略mypolicy,控制所有从GigabitEthernet0/2接口接收的TCP报文使用接口GigabitEthernet0/0发送,其他报文仍然按照查找路由表的方式进行转发:l 5号节点用于匹配ACL3101规则的报文将被发往接口GigabitEthernet0/0。l 10号节点用于匹配ACL3102规则的任何报文不做策略路由处理。来自GigabitEthernet0/2的报文将依次试图匹配5、10号节点的if-m
2、atch子句。如果匹配了permit语句的节点,执行相应的apply子句;如果匹配了deny语句的节点,拒绝通过该节点的过滤,并且不会进行下一个节点的测试,退出策略路由处理。图14-1基于源地址的策略路由配置组网图 配置步骤配置基于源地址的策略路由,需要进行如下操作。 步骤1 配置ACL规则#创建ACL3101,并定义ACL规则。system-view[USG3000]aclnumber3101[USG3000-acl-adv-3101]rulep
3、ermittcp[USG3000-acl-adv-3101]quit#创建ACL3102,并定义ACL规则。[USG3000]aclnumber3102[USG3000-acl-adv-3102]rulepermitip[USG3000-acl-adv-3102]quit 步骤2 配置策略路由的if-match和apply#定义5号节点。2021-9-14华赛机密,未经许可不得扩散第7页,共7页文档名称文档密级[USG3000]route-policymypolic
4、ypermitnode5#使匹配ACL3101的任何TCP报文被发往接口GigabitEthernet0/0。[USG3000-route-policy-mypolicy-5]if-matchacl3101[USG3000-route-policy-mypolicy-5]applyoutput-interfaceGigabitEthernet0/0[USG3000-route-policy-mypolicy-5]quit#定义10号节点。[USG3000]route-policymypolicydenynode10#使匹配ACL3
5、102的报文不做策略路由处理。[USG3000-route-policy-mypolicy-10]if-matchacl3102[USG3000-route-policy-mypolicy-10]quit 步骤3 应用策略路由#在GigabitEthernet0/2上应用策略mypolicy。[USG3000]interfaceGigabitEthernet0/2[USG3000-GigabitEthernet0/2]ippolicyroute-policymypo
6、licy----结束14.4.2基于报文长度的策略路由配置示例组网需求如图14-2所示,在USG3000统一安全网关的GigabitEthernet0/0接口上应用IP策略路由lab1。该策略按照以下规则进行路由转发:l 将大小为64~100字节的报文配置150.1.1.2作为下一转发IP地址。l 将大小为101~1000字节的报文配置151.1.1.2作为下一转发IP地址。l 所有其他长度的报文都按基于目的地址的路由进行转发。图14-2基于报文长度的策略路由配置组网图 202
7、1-9-14华赛机密,未经许可不得扩散第7页,共7页文档名称文档密级配置步骤配置基于报文长度的策略路由,需要进行如下操作。 步骤1 配置USG3000统一安全网关接口地址及路由#配置GigabitEthernet0/0的IP地址。system-view[USG3000]interfaceGigabitEthernet0/0[USG3000-GigabitEthernet0/0]ipaddress192.1.1.1255.255.255.0[USG3
8、000-GigabitEthernet0/0]quit#配置GigabitEthernet0/1的IP地址。[USG3000]interfaceGigabitEthernet0/1[USG3000-GigabitEthernet0/1]ipaddr
此文档下载收益归作者所有
