㈠ 怎么用思科策略路由协议限制网段
RSR20-A(config)#access-list 100 deny ip 10.1.2.0 0.0.0.255 172.16.2.0 0.0.0.255
定义访问控制列表100,禁止10.1.2.0网段访问172.16.2.0网段
RSR20-A(config)#route-map PBR permit 10
定义PBR的策略序号为10
RSR20-A(config-route-map)#match ip add 100
使用match语句定义感兴趣的流量匹配访问控制列表100
RSR20-A(config-route-map)#set interface null 0
使用set命令设置数据包行为指定下一个接口为NULL 0
RSR20-A(config-route-map)#exit
退出策略路由配置
RSR20-A(config)#route-map PBR permit 20
定义PBR的策略序号为20
RSR20-A(config-route-map)#exit
退出策略路由配置
RSR20-A(config)#interface fa0/0
进入想应用策略路由的接口
RSR20-A(config-if)#ip ip policy route-map PBR
应用所定义的策略
㈡ 思科三层模型的网络设计中各层的设计策略是什么
访问层来:直接控制到桌自面的网络连接,大多使用底端交换机,如cisco1900系列、 cisco2900系列交换机
分布层:连接访问层设备,提供访问列表、数据包过滤及排序、安全和网络策略、路由等功能,大多使用路由器,如cisco2500系列、cisco2600系列、cisco3600系列路由器。
核心层:作为主干的高带宽、高速度、高可用性、低延迟以及使用收敛时间较短的路由协议,大多使用高端的交换机,如cisco4000系列、cisco5000系列、cisco8500系列交换机。
㈢ 思科三层交换机策略路由
你的策略路由匹来配额是access-list 100和自150
这个是扩展ACL,然后你把扩展ACL应用的策略路由里是有问题的
假如你需要192.168.1.0这个网段走192.168.21.1出口出去
只需要这样配置
access-list 10 permit 192.168.1.0 0.0.0.255
route-map policy permit 10
match ip address 10
set next-hop 192.168.21.1
然后绑定接口,加入192.168.1.X接的是交换机的VLAN 20
int vlan 20
ip policy route-map policy
就可以了
㈣ Cisco路由器配置ACL访问控制列表,为什么应用out方向的策略却可以影响(阻止了)in方向的流量
你好来,对於你的疑问,看源了你的配置後发现个问题,你要知道所有的acl在语句的最後默认都是deny any any,所以你以上的语句并不是造成172.16.1.110访问不了192.168.1.110,而是192.168.1.110回172.16.1.110除了端口号22其他的都被deny掉了。
不知这样能否解决你的疑问。
㈤ cisco策略路由及配置
R(config)#access-list 1 permit 192.168.1.0 0.0.0.255R(config)#router-map monkey permit 10R(config-route-map)#match ip address 1 //把access-list 1抓的流量匹配出来R(config-route-map)#set XXX //这里放你的策略,要set些什么东西,用?号看专看R(config-route-map)#exitR(config)#router-map monkey permit 20 //允许其他流量通过属R(config-route-map)#exit //接口下应用你的route-mapR(config-if)#Ip policy route-map ABCD //ABCD 是你的route-map 名
㈥ 思科模拟器上面的路由器怎么配不了策略路由 没有route-map这个命令
不知道楼主用的是什么模拟器,是思科的PACKET TRACER还是DYNAMIPS 或者是GNS3,如果是后两者,那可能是因为你选专择的IOS版本的问题,版本很重要,有一些路由器的版属本没有BGP命令,不带K9的版本没有VPN,或者是有一些非企业版本的没有MPLS命令,这些都是正常现象,我都遇见过,实话的说模拟器现在对路由部分支持的已经是相当不错了,对于交换确支持的不好,只能用模块儿来模拟,没有交换机上的很多命令,诸如MST多生成树协议等等,建议你使用DYNAMIPSGUI2.83版本或者是GNS3,选择合适的IOS,再看一下,一般来说是IOS版本的问题。
㈦ 思科路由器设置访问控制列表
在路由上建抄若干个访问袭控制列表(ACL),然后配置好后把它们应用到相应端口,就能实现你的要求。
扩展型的ACL可以实现限制某些IP地址的某些服务或端口的拦截,比如电子邮件,FTP之类都是可以限制的,只能访问某一站点也是可以实现的,只允许它们访问限定的IP就行了。
具体的就是TELNET到你路由的接口,然后打命令去。具体命令想解释清楚就太长了。。。也不知道你什么情况没法细说。
限制改IP也很容易实现,如果你用的WINDOWS的话,只要设置权限就行了。具体的到“本地安全策略”里设,点 开始-运行-输入“gpedit.msc” 在“本地策略”的“用户权利指派”里有各用户组的权利分配。如果对用户组做调整,用“组策略”-开始-运行-“gpedit.msc” 可以把用户划分到不同的组以分配权限。
㈧ cisco路由器 如何做策略路由
route-map POLICY
match ip address 1
set ip next-hop x.x.x.x(新线路的下一跳)
int f0/0 (瞎写的,就是流量入口,一定得是入内口)
ip policy route-map POLICY
access-list 1 permit host 192.168.1.1
access-list 1 permit host 192.168.1.2
access-list 1 permit host 192.168.1.3(你想容影响的IP)
㈨ 思科路由器同一个acl 序号做了多条策略,怎么调整顺序
比如 1 2 3 4 5 你想把5放在2 后面
可以把5改为2.1
不记得是标准还是扩展了
如果变更太多 你就sh run 复制到文本
改完然后全部在粘贴回来,一样的
㈩ 思科交换机3550如何做策略路由
1. 制定策略。
2.用ACL来规划,那些数据要实行策略路由
3.用route-map, match 匹配 ACL,set 设置 策略路由。
比如1台边缘路由器连接2个isp, 连接ISPA 是主要链路,一般数据都走这条链路。ISPB是备用链路,只有当ISPA链路宕了以后才使用。但是Isp A 的链路带宽不够用,这个时候就可以启用策略路由,做部分负载。策略路由说白了就是不按照路由表转发的路由。
ip access-list extended policy-route-acl 设置ACL
deny ip 172.16.0.0 0.0.0.255 any 禁用 源为172.16.0.0/24的网段使用策略路由
permit ip 172.16.1.0 0.0.0.255 any 允许 源为172.16.1.0/24的网段使用策略路由
route-map policy-route-for-ISPB permit 10 设置路由映射表
match ip add policy-route-acl 匹配ACL
set ip next-hop x.x.x.x 设置策略路由
int f0/0 数据进入接口
ip policy route-map policy-route-for-ISPB 启用策略路由