當前位置 : 首頁>軟件學院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)軟件>正文

防火墻基于策略路由的配置技巧

http://m.yibo1263.com　2010/3/23 8:37:27 　來源:東北IT網(wǎng) 　編輯:葉子

　　我們可以這樣測試我們所做的配置。在名為Cisco-1的路由器10.1.1.1上發(fā)送ping命令到Internet上的一個主機(這里就是192.1.1.1主機)。要查看名為Internet Router的路由器上的情況，我們在特權(quán)命令模式下執(zhí)行debug ip packet 101 detail命令。(其中，在此路由器上有access-list 101 permit icmp any any配置命令)。下面是輸出結(jié)果：

　　Results of ping from Cisco-1 to 192.1.1.1/internet taken from Internet_Router:

　　Pakcet never makes it to Internet_Router

　　正如您所看到的：數(shù)據(jù)包沒有到達Internet_Router路由器。下面的在Cisco WAN路由器上的debug命令給出了原因：

　　Debug commands run from Cisco_WAN_Router:

　　"debug ip policy"

　　2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match

　　2d15h: IP: route map net-10, item 10, permit

　　2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100, policy routed

　　2d15h: IP: Ethernet3/0 to Ethernet0/1 192.1.1.1

　　這里，數(shù)據(jù)包確實匹配了net-10策略圖中的第一條規(guī)則。但為什么還是沒有達到預期的目的呢?用"debug arp"來看一下。

　　"debug arp"

　　2d15h: IP ARP: sent req src 172.16.39.3 0010.7bcf.5b02,

　　dst 192.1.1.1 0000.0000.0000 Ethernet0/1

　　2d15h: IP ARP rep filtered src 192.1.1.1 00e0.b064.243d, dst 172.16.39.3 0010.7bcf.5b02

　　wrong cable, interface Ethernet0/1

　　debug arp的輸出給出了原因。路由器努力完成它被指示要做的動作，而且試圖把數(shù)據(jù)包發(fā)向Ethernet0/1接口，但失敗了。這要求路由器為目的地址192.1.1.1執(zhí)行地址解析協(xié)議操作，當執(zhí)行該任務時，路由器知道了目的地址不處于該接口。接下來，路由器發(fā)生封裝錯誤。所以，最后數(shù)據(jù)包不能到達192.1.1.1。

　　我們怎樣避免這個問題呢?修改路由圖使防火墻地址為下一跳。

　　Config changed on Cisco_WAN_Router:

　　!

　　route-map net-10 permit 10

　　match ip address 111

　　set ip next-hop 172.16.39.2

　　!

　　修改后，在Internet Router上運行同樣的命令：debug ip packet 101 detail。這時，數(shù)據(jù)包可以按配置前進。我們也能看到數(shù)據(jù)包被防火墻翻譯成了172.16.255.1。192.1.1.1主機的回應：

　　Results of ping from Cisco_1 to 192.1.1.1/internet taken from Internet_Router:

　　2d15h: IP: s=172.16.255.1 (Ethernet1), d=192.1.1.1 (Serial0), g=192.1.1.1, len 100, forward

　　2d15h: ICMP type=8, code=0

　　2d15h:

　　2d15h: IP: s=192.1.1.1 (Serial0), d=172.16.255.1 (Ethernet1), g=172.16.20.2, len 100, forward

　　2d15h: ICMP type=0, code=0

　　2d15h:

　　在Cisco WAN路由器上執(zhí)行debug ip policy命令后，我們可以看到數(shù)據(jù)包被傳遞到了防火墻，172.16.39.2：

　　Debug commands run from Cisco_WAN_Router:

　　"debug ip policy"

　　2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match

　　2d15h: IP: route map net-10, item 20, permit

　　2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100, policy routed

　　2d15h: IP: Ethernet3/0 to Ethernet0/1 172.16.39.2

本新聞共2頁,當前在第2頁 1 2

【收藏】【打印】【進入論壇】

相關(guān)文章：

·邊界路由器加防火墻保證企業(yè)安全

·選擇硬件防火墻注意緊抓四要素

·思科防火墻PIX ASA精華配置總結(jié)

·路由器與防火墻安全性大對比

·企業(yè)選購指南：國內(nèi)防火墻大比拼

·網(wǎng)絡(luò)防火墻選購十要素

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费