. : : ClassiClub ForuM : : .

会员中心 论坛帮助 日历事件 标记论坛已读
返回   精品技术论坛 » 技术论坛 » 『软件使用』

『软件使用』: 电脑软件推荐, 电脑软件使用, 经验分享



发表新主题 关闭主题
 
主题工具
李有否
 
李有否 的头像
支柱会员
 
资 料:
注册日期: Nov 2001
帖子: 6,312 声望值: 3
精华: 0
#1 旧 2005-12-13, 09:10:04 默认 【死猪当活猪医】关于策略路由与静态路由的区别
李有否 当前离线  

策略路由:
route-map wangtong permit 20
set ip next-hop 10.1.1.1

并且应用到某端口上


静态路由:ip route 61.129.176.0 255.255.240.0 10.1.1.1

现在访问61.129.176.0网段,好象效果不一样,就是策略路由访问不到,静态路由可以访问到

两种方法出去均为同一个nat过的公网地址
不死鸟
 
不死鸟 的头像
热心会员
 
资 料:
注册日期: Sep 2002
帖子: 6,533 声望值: 5
精华: 1,解答: 24
#2 旧 2005-12-13, 11:40:19 默认
不死鸟 当前离线  

你的route map没写全?


我出生时很乖,长大后很帅,MM见我就不拽,媚眼使劲向我抛,可惜我有一点坏,向来是玩过就甩,所以至今单身你勿奇怪,想追帅哥的美女请赶快…… ^o^ !
----------------------------------------------
无从了解凤凰涅磐时的痛苦,但我清楚那是成长路上不可少的经历!
李有否
 
李有否 的头像
支柱会员
 
资 料:
注册日期: Nov 2001
帖子: 6,312 声望值: 3
精华: 0
#3 旧 2005-12-13, 14:18:27 默认
李有否 当前离线  

route map 就这样的,写全了
lison.z
 
lison.z 的头像
热心会员
 
资 料:
注册日期: Feb 2005
帖子: 5,857 声望值: 5
精华: 1,解答: 1
#4 旧 2005-12-13, 14:26:02 默认
lison.z 当前离线  

改成set interface 呢?


兄弟们,勤劳致富!
容德
 
容德 的头像
封禁用户
 
资 料:
注册日期: Sep 2004
帖子: 12,465 声望值: 0
精华: 0
#5 旧 2005-12-13, 15:09:10 默认
容德 当前离线  

你的Destination路由器能知道你的策略路由里面的网段吗?
要确保出去能回来!
李有否
 
李有否 的头像
支柱会员
 
资 料:
注册日期: Nov 2001
帖子: 6,312 声望值: 3
精华: 0
#6 旧 2005-12-13, 16:09:20 默认
李有否 当前离线  

再说明详细点
我们有两个出口,一个网通,一个电信
10.1.1.1是网通在防火墙上的内口,在防火墙上做nat出去

61.129.176.0这个地址段是电信的地址段

现在情况是
1,在端口上应用上面那条策略,访问网通线路上的主机一切正常,访问电信线路的服务器就连接不上(ping 也ping不到)
2,如果撤下那条策略路由,加上静态路由,则访问网通正常,也能访问电信,虽然会有延迟(这是正常现象,互连互通问题)

btw:两种方法出去,外面看到的地址均为同一个公网地址

现在我解释不了为什么会这样
yasy
 
yasy 的头像
热心会员
 
资 料:
注册日期: Jan 2002
帖子: 3,084 声望值: 4
精华: 0
#7 旧 2005-12-13, 16:51:19 默认
yasy 当前离线  

路由策略可以作些源地址路由,如果你只是静态路由就不行,源地址只能按照默认的路由表作转发。
mwind
 
mwind 的头像
热心会员
 
资 料:
注册日期: Jul 2001
帖子: 439 声望值: 6
精华: 0
#8 旧 2005-12-13, 16:55:23 默认
mwind 当前离线  

查下和策略路由匹配的ACL
李有否
 
李有否 的头像
支柱会员
 
资 料:
注册日期: Nov 2001
帖子: 6,312 声望值: 3
精华: 0
#9 旧 2005-12-13, 17:03:35 默认
李有否 当前离线  

引用:
作者: mwind
查下和策略路由匹配的ACL
可以确认的是acl没任何影响,因为我的acl从不针对ip,只封了几个常见的病毒端口
lional
 
lional 的头像
高级会员
 
资 料:
注册日期: May 2002
帖子: 736 声望值: 3
精华: 0,解答: 2
#10 旧 2005-12-13, 17:07:03 默认
lional 当前离线  

roumap不同设备配置不同,有些设备要加一条空的routemap
李有否
 
李有否 的头像
支柱会员
 
资 料:
注册日期: Nov 2001
帖子: 6,312 声望值: 3
精华: 0
#11 旧 2005-12-13, 17:10:44 默认
李有否 当前离线  

引用:
作者: lional
roumap不同设备配置不同,有些设备要加一条空的routemap
设备是Cisco 3745 Route
lional
 
lional 的头像
高级会员
 
资 料:
注册日期: May 2002
帖子: 736 声望值: 3
精华: 0,解答: 2
#12 旧 2005-12-13, 17:17:00 默认
lional 当前离线  

这个不知道,一般高端的不用加GSR就不用,低端的26我做的时候都要加一条什么空的,否则roumap不能正常运行,3745没接触过,但觉得应该是低端的
李有否
 
李有否 的头像
支柱会员
 
资 料:
注册日期: Nov 2001
帖子: 6,312 声望值: 3
精华: 0
#13 旧 2005-12-14, 08:59:01 默认
李有否 当前离线  

空的怎么写?
lison.z
 
lison.z 的头像
热心会员
 
资 料:
注册日期: Feb 2005
帖子: 5,857 声望值: 5
精华: 1,解答: 1
#14 旧 2005-12-14, 23:07:35 默认
lison.z 当前离线  

可以的话把配置贴上来吧,看得清楚点。。。
李有否
 
李有否 的头像
支柱会员
 
资 料:
注册日期: Nov 2001
帖子: 6,312 声望值: 3
精华: 0
#15 旧 2005-12-15, 08:58:01 默认
李有否 当前离线  

引用:
作者: lison.z
可以的话把配置贴上来吧,看得清楚点。。。

情况就是那样,如果把那个routemap wangtong 应用到 f0/0.50上,访问网通线路服务器一切正常,电信线路访问不了,现在假设电信线路服务器A访问不了;如果不用这策略,改用静态路由ip route 59.32.0.0 255.224.0.0 10.1.1.1 ,假设服务器A在59.32.0.0 255.224.0.0 网段,则就能访问电信服务器A,虽然延迟比较大
cisco3745>en
Password:
cisco3745#show run
Building configuration...

Current configuration : 89242 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco3745
!
boot-start-marker
boot-end-marker
!
logging count
logging buffered 4096 debugging
logging reload debugging
enable secret 5 $1$TlWV$reVFSESkEmTVJXlNXqXB0.
!
no network-clock-participate slot 4
no network-clock-participate aim 0
no network-clock-participate aim 1
no aaa new-model
ip subnet-zero
ip cef
!
ip nbar pdlm bittorrent.pdlm
ip nbar pdlm eDonkey.pdlm
!
ip dhcp excluded-address 198.10.50.254

ip dhcp pool vlan50
network 198.10.50.0 255.255.255.0
default-router 198.10.50.254
dns-server 218.108.248.200 218.108.248.228 202.96.96.68 202.96.102.3

ip ips po max-events 100
no ip domain lookup
no ftp-server write-enable
!

class-map match-all snmp
match protocol snmp
class-map match-all telnet
match protocol telnet
class-map match-all icmp
match protocol icmp
class-map match-all http
match protocol http
class-map match-all smtp
match protocol smtp
class-map match-all syslog
match protocol syslog
class-map match-all dhcp
match protocol dhcp
class-map match-all pop3
match protocol pop3
class-map match-all ftp
match protocol ftp
class-map match-all ssh
match protocol ssh
class-map match-all sqlserver
match protocol sqlserver
class-map match-all any
class-map match-all cdp
match protocol cdp
class-map match-all vdoli
match protocol vdolive
class-map match-all dns
match protocol dns
class-map match-any bit
match protocol bittorrent
match protocol edonkey
!
!
policy-map limit-bit
class bit
drop
policy-map app
class ftp
bandwidth percent 15
queue-limit 100
class http
bandwidth percent 45
class pop3
bandwidth percent 5
class smtp
bandwidth percent 5
class icmp
bandwidth percent 1
class vdoli
bandwidth percent 4
!
!
!
!
!
interface FastEthernet0/0
no ip address
ip access-group 130 in
duplex auto
speed auto

!
interface FastEthernet0/0.50
description *shijiwei*
encapsulation dot1Q 50
ip address 198.10.50.254 255.255.255.0
ip access-group 110 in
ip access-group 110 out
service-policy input limit-bit
service-policy output limit-bit
!
interface FastEthernet0/1
ip address 10.1.1.2 255.255.255.0
ip verify unicast reverse-path
ip accounting output-packets
duplex auto
speed 100
!
interface FastEthernet4/0
ip address 20.1.1.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet4/1
no ip address
shutdown
duplex auto
speed auto
pppoe enable
!
interface Dialer0
no ip address
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip route 38.118.0.0 255.255.0.0 20.1.1.1
ip route 58.32.0.0 255.248.0.0 20.1.1.1
ip route 58.40.0.0 255.254.0.0 20.1.1.1
ip route 58.82.0.0 255.255.128.0 20.1.1.1
ip route 59.32.0.0 255.224.0.0 20.1.1.1
ip route 59.32.0.0 255.248.0.0 20.1.1.1
ip route 59.40.0.0 255.254.0.0 20.1.1.1
ip route 59.42.0.0 255.255.0.0 20.1.1.1
ip route 59.44.0.0 255.252.0.0 20.1.1.1
ip route 59.48.0.0 255.240.0.0 20.1.1.1
ip route 59.48.0.0 255.255.0.0 20.1.1.1
ip route 59.49.0.0 255.255.128.0 20.1.1.1
ip route 59.49.128.0 255.255.128.0 20.1.1.1
ip route 59.49.128.0 255.255.192.0 20.1.1.1
ip route 59.49.192.0 255.255.192.0 20.1.1.1
ip route 59.50.0.0 255.255.0.0 20.1.1.1
ip route 59.50.0.0 255.255.192.0 20.1.1.1
ip route 59.50.64.0 255.255.192.0 20.1.1.1
ip route 59.50.128.0 255.255.192.0 20.1.1.1
ip route 59.50.192.0 255.255.192.0 20.1.1.1
ip route 59.50.224.0 255.255.224.0 20.1.1.1
ip route 59.52.0.0 255.252.0.0 20.1.1.1
ip route 59.52.0.0 255.255.192.0 20.1.1.1
ip route 59.53.0.0 255.255.224.0 20.1.1.1
ip route 59.56.0.0 255.252.0.0 20.1.1.1
ip route 59.107.0.0 255.255.0.0 20.1.1.1
ip route 59.107.0.0 255.255.128.0 20.1.1.1
ip route 59.191.0.0 255.255.0.0 20.1.1.1
ip route 59.191.0.0 255.255.128.0 20.1.1.1
ip route 60.55.0.0 255.255.0.0 20.1.1.1
ip route 60.160.0.0 255.224.0.0 20.1.1.1
ip route 60.160.0.0 255.254.0.0 20.1.1.1
ip route 60.160.0.0 255.255.0.0 20.1.1.1
ip route 60.161.0.0 255.255.0.0 20.1.1.1
ip route 60.162.0.0 255.254.0.0 20.1.1.1
ip route 60.162.0.0 255.255.0.0 20.1.1.1
ip route 60.164.0.0 255.254.0.0 20.1.1.1
ip route 60.164.0.0 255.255.0.0 20.1.1.1
ip route 60.165.0.0 255.255.0.0 20.1.1.1
ip route 60.166.0.0 255.254.0.0 20.1.1.1
ip route 60.168.0.0 255.248.0.0 20.1.1.1
ip route 60.176.0.0 255.240.0.0 20.1.1.1

ip http server
no ip http secure-server
!
ip access-list extended bt
!
logging history debugging
logging trap debugging
logging source-interface FastEthernet0/0.80
logging host 198.10.80.2 xml
access-list 110 deny tcp any any eq 4444
access-list 110 deny udp any any eq tftp
access-list 110 deny tcp any any eq 135
access-list 110 deny udp any any eq 135
access-list 110 deny udp any any eq netbios-ss
access-list 110 deny tcp any any eq 445
access-list 110 deny udp any any eq 445
access-list 110 deny tcp any any eq 593
access-list 110 deny udp any any eq 593
access-list 110 deny udp any any eq 1434
access-list 110 deny tcp any any eq 5554
access-list 110 deny tcp any any eq 1068
access-list 110 deny tcp any any eq 9995
access-list 110 deny tcp any any eq 9996
access-list 110 permit ip any any

access-list 150 permit ip any any
access-list 160 permit ip any any
snmp-server community public RO
snmp-server community private RW
snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
snmp-server enable traps tty
snmp-server enable traps flash insertion removal
snmp-server enable traps envmon
snmp-server enable traps isdn call-information
snmp-server enable traps isdn layer2
snmp-server enable traps isdn chan-not-avail
snmp-server enable traps isdn ietf
snmp-server enable traps ds0-busyout
snmp-server enable traps ds1-loopback
snmp-server enable traps cnpd
snmp-server enable traps config
snmp-server enable traps entity
snmp-server enable traps frame-relay
snmp-server enable traps frame-relay subif
snmp-server enable traps hsrp
snmp-server enable traps ipmobile
snmp-server enable traps ipmulticast
snmp-server enable traps ospf state-change
snmp-server enable traps ospf errors
snmp-server enable traps ospf retransmit
snmp-server enable traps ospf lsa
snmp-server enable traps ospf cisco-specific state-change
snmp-server enable traps ospf cisco-specific errors
snmp-server enable traps ospf cisco-specific retransmit
snmp-server enable traps ospf cisco-specific lsa
snmp-server enable traps pim neighbor-change rp-mapping-change invalid-pim-message
snmp-server enable traps pppoe
snmp-server enable traps cpu threshold
snmp-server enable traps rsvp
snmp-server enable traps syslog
snmp-server enable traps l2tun session
snmp-server enable traps vtp
snmp-server enable traps atm subif
snmp-server enable traps isakmp policy add
snmp-server enable traps isakmp policy delete
snmp-server enable traps isakmp tunnel start
snmp-server enable traps isakmp tunnel stop
snmp-server enable traps ipsec cryptomap add
snmp-server enable traps ipsec cryptomap delete
snmp-server enable traps ipsec cryptomap attach
snmp-server enable traps ipsec cryptomap detach
snmp-server enable traps ipsec tunnel start
snmp-server enable traps ipsec tunnel stop
snmp-server enable traps ipsec too-many-sas
snmp-server enable traps rtr
snmp-server host 198.10.200.200 private
route-map wangtong permit 10
match ip address 160
set ip next-hop 10.1.1.1
!
route-map dianxin permit 10
match ip address 150
set ip next-hop 20.1.1.1
!

此帖于 2005-12-15 09:10:27 被 李有否 编辑. .
发表新主题 关闭主题

主题工具

论坛规则  发帖规则
不可以发表主题
不可以回复帖子
不可以上传附件
不可以编辑自己的帖子
论坛启用 vB 代码
版面启用 表情符号
版面启用 [IMG] 代码
版面禁用 HTML 代码


所有时间均为北京时间, 现在的时间是 22:35:30.

本论坛带宽由迅通网络提供
SSL证书由TrustAsia提供

Copyright © 2000 - 2019 ClassiClub Forum All Rights Reserved.
粤ICP备09123456号