基于策略的路由

1、PBR(基于策略的路由)实例解析下面我们就以一个试验来描述策略路由的阻断流量的功能。路由器的E0/0口作为内部网络的网关，地址为200.1.1.1，内部网络有一个WWW服务器，地址为200.1.1.100，和WWW同一网段内有普通用户PC一台，在外部网络有一个远程的用户，IP地址为199.1.1.100，允许远程用户能够访问WWW服务器，同时不允许访问内部用户的PC机，使用PBR完成需求。在路由器上配置相关的地址，并测试与200.1.1.100，200.1.1.10和199.1.1.100的连通性。配置一个路由映射（route-map），匹配从远程用户到内部用户的流量，并牵引到null0接口中去，并在null0接口下配置不返回不可达信息。其他不匹配路由映射的流量正常转发。

2、路由器的初始配置如下：测试连通性:

3、配置匹配敏感流量的ACL:Router(config)#access-list100permitiphost199.1.1.1host200.1.1.10配置null0接口:Router(config)#interfacenull0 Router(config-if)#noipunreachables建立路由映射:Router(config)#route-mappbr Router(config-route-map)#matchipaddress100 Router(config-route-map)#setinterfacenull0

4、在出口路由器的E0/1接口上打开NETFLOW交换功能，方便我们对结果进行查看，并在该接口上调用PBR：Router(config)#interfaceEthernet0/1 Router(config-if)#iproute-cacheflow Router(config-if)#ippolicyroute-mappbr Router(config-if)#exit 在远程主机上对内网的设备再次进行连通性测试： C:\>ping200.1.1.100 Pinging200.1.1.100with32bytesofdata: Replyfrom200.1.1.100:bytes=32time<1msTTL=128Replyfrom200.1.1.100:bytes=32time<1msTTL=128Replyfrom200.1.1.100:bytes=32time<1msTTL=128Replyfrom200.1.1.100:bytes=32time<1msTTL=128Pingstatisticsfor200.1.1.100: Packets:Sent=4,Received=4,Lost=0(0%loss), Approximateroundtriptimesinmilli-seconds: Minimum=0ms,Maximum=0ms,Average=0msC:\>ping200.1.1.10 Pinging200.1.1.10with32bytesofdata: Requesttimedout. Requesttimedout. Requesttimedout. Requesttimedout. Pingstatisticsfor200.1.1.10: Packets:Sent=4,Received=0,Lost=4(100%loss),

5、这时，会发现外部网络的远程用户已经无法ping通内部的用户了，但是还是可以ping通WWW服务器。查看边界路由器的状态：通过效果图我们发现，有18个数据包匹配了ACL，并被PBR牵引到null0接口后丢弃了。PBR的相关知识就为大家介绍完了，希望大家已经掌握。

6、路由连接良好，网络畅通之后，如何通过应用nat123从外网访问内网路由器？下载，安装，登录nat123。登录后/主面板/端口映射列表/添加映射。

7、设置映射信息。选择全端口映射模式。内网地址是内网路由器访问地址。外网地址域名可以是自己的域名，或二级域名，鼠标放在输入框上有提示。