策略路由的路由配置
- 0关注
- 0收藏,205浏览
问题描述:
一个大ip,和这个大ip的几个单独的ip主机,走两个不同的出口
acl advanced 3100
rule 0 permit ip source 172.28.0.0 0.0.255.255
#
acl advanced 3101
rule 0 permit ip source 172.28.16.13 0
rule 5 permit ip source 172.28.19.152 0
rule 10 permit ip source 172.28.16.11 0
rule 15 permit ip source 172.28.16.212 0
# (策略路由)
policy-based-route 1 permit node 10
if-match acl 3100
apply next-hop 10.10.10.1
#
policy-based-route 1 permit node 20
if-match acl 3101
apply next-hop 20.20.20.1
在lan口内网下下发
ip policy-based-route 1
还需要再写两个默认路由吗
ip route-static 0.0.0.0 0.0.0.0 10.10.10.1
ip route-static 0.0.0.0 0.0.0.0 20.20.20.1
这配置没有问题吧
不用默认路由。
另外 既然网段包含了主机,就应该先匹配主机,再去匹配网段的。也就是说 这两条的node替换一下
policy-based-route 1 permit node 10
if-match acl 3100
apply next-hop 10.10.10.1
#
policy-based-route 1 permit node 20
if-match acl 3101
apply next-hop 20.20.20.1
这个出口还要走vpn隧道,默认路由还加不加
有一个出口要走ipsec vpn, 意思是我的感兴趣流的acl和策略路由acl可以放在一起是吧,这样不用再出口nat out拒绝感兴趣流的acl了
node 10的 if-match acl 3100 已经包含了 acl 3101的四个特殊IP,node10命中并转发成功后不会执行之后的节点,因此node20并不会被命中。
解决方法一:把node 10 和 node 20 进行调换。在转发时,会优先使用策略路由进行转发,所以不用再添加默认路由。
policy-based-route 1 permit node 10
if-match acl 3101
apply next-hop 20.20.20.1
#
policy-based-route 1 permit node 20
if-match acl 3100
apply next-hop 10.10.10.1
解决方法二:添加缺省路由,下一跳为10.10.10.1,所有流量根据缺省路由走10.10.10.1,再使用策略路由将四个指定的IP重定向到20.20.20.1。
policy-based-route 1 permit node 10
if-match acl 3101
apply next-hop 20.20.20.1
IP route-static 0.0.0.0 0 10.10.10.1
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明