ボーエン概要:
- まず、どのようなポリシーが適用されますか?
- 第二に、H3Cダブル出口の構成。
(1)の構成Easy_IPマップ
(2)PBR
(3)の構成NAT Serverマップ
まず、どのようなポリシーが適用されますか?
H3Cデバイスでは、それはあなたがポリシーが地獄は、それが何であるルーティング、ポリシーベースルーティングの概念を避けることができない、ダブルコンセントが付属していますか?
これは、IPパケットの宛先アドレスに基づいてルーティングテーブルから転送異なるルーティング戦略は、ルーティングのために、ユーザ定義のメカニズムに基づいた戦略です。ルーティングテーブルの場合にはPBRが生成された、ルーティングテーブルに従って転送されていないが、特定のポリシーに従ってパスを転送するその方法を変更する必要があります。
ルーティングポリシーは、間接的な特性またはパラメータによって主に提供される転送およびフィルタリングルーティング経路に影響を与える情報を「ルーティング」の操作対象です。PBRの操作対象は、主にデータセットを転送するためのポリシーを直接指導を通じて、「パケット」です。
IPユニキャストポリシールーティングおよびIPマルチキャストルーティング戦略:PBRは通常2つのタイプに分けています。
ポリシールーティングをルーティングどちらのユニキャストまたはマルチキャストポリシー、我々は二つのことを行う必要が動作するように設定します。まず、何がPBRメッセージの定義を必要とする、2番目は、指定されたルートのためであるRoute-することによって達成することができ、これらのメッセージを、達成するためのポリシー定義。
:ここでは主に文書を参照することができ、マルチキャストポリシールーティングについて、ユニキャストPBRについて話IPマルチキャストポリシールーティング。
IPユニキャストPBRは、ローカルポリシールーティング及び二種類のルーティングインターフェイスポリシーに分けることができます。
- インタフェースPBR:設定パケットが到着するインターフェイスに作用する、インターフェイスビューで(インターフェース・パケットに適用されるが到着します)。
- ローカルPBR:ローカルで生成されたパケットのPBRのシステム構成図インチ
PBRは、その上のセキュリティ、負荷分散との目的のために使用することができます。転送およびセキュリティ面の一般的なニーズのために、ほとんどの場合、インターフェイスポリシールーティングを使用しています。
第二に、二重の出口設定H3C
シミュレートされたネットワーク環境に従うことで、見た目のPBRを設定します。
ネットワーク環境を次のように
環境分析:
電気通信の主な提供にアクセスするためのインターネットサーバ、学校のセグメント(192.168.2.0)で学生のための1、授業やキャンパスオフィスのネットワークセグメントの別のセグメント(192.168:内部キャンパスネットワークトポロジは、2つのセグメントに分割されます。 3.0)、教育ネットワークへの主要なアクセス。光ファイバ通信に接続されているキャンパスネットワークのルータが提供だけでなく、20メートルの光ファイバ接続教育ネットワーク(原因H3CシミュレータはPCやサーバーをシミュレートすることはできませんので、私は代わりにルーターを使用していた)internet20m。
次のような要件は以下のとおりです。
1)ルータの設定要件:外部ファイバの破損、別の光ファイバアクセスネットワークのいずれかがその関連のインターネットサービスや教育ネットワークリソースをバックアップします。
2)ナット要件:二つの出口出口ルータは、同時にNATの後に行うために、外部リソースへのキャンパスネットワークアクセス内のプライベートネットワークを使用することができます。教育ネットワークの出力インターフェイスは、NATサーバー、教育のネットワークを提供するために、Telnetアクセスサービスの内部セグメントを教えサーバーのIPが装備されています。
3)ポリシールーティング構成要件:主にネットワークセグメント192.168.3.0/24教育ネットワークを介して外部リソースへの教育のキャンパスネットワークへのアクセス、および通信アウトレットを介してメインキャンパスネットワークセグメント192.168.2.0/24アクセスインターネット。教育の繊維の障害のプライベートネットワークは、学校教育のネットワークセグメントは、通信アウトレットで関連リソースにアクセスできる場合は、とき光ファイバ通信回線障害、学校のネットワークアクセス関連のリソースは、プライベートネットワーク経由でエクスポートすることができます。
コンフィギュレーションを開始します。
図1は、R2ルータの設定は(注の基本構成に関連していない)は、以下の通りです。
<H3C>sys
[H3C]in g0/1
[H3C-GigabitEthernet0/1]ip add 222.222.222.1 30
[H3C-GigabitEthernet0/1]in g0/0
[H3C-GigabitEthernet0/0]ip add 202.202.202.1 30
[H3C-GigabitEthernet0/0]int loop 0
[H3C-LoopBack0]ip add 202.202.0.1 32
[H3C-LoopBack0]ospf 1 //配置OSPF
[H3C-ospf-1]area 0
[H3C-ospf-1-area-0.0.0.0]net 0.0.0.0 255.255.255.255
//该声明方式是将本设备的所有网段都声明一下
次のように2、R3のルータの設定は次のとおりです。
<H3C>sys
[H3C]in g0/1
[H3C-GigabitEthernet0/1]ip add 222.222.222.2 30
[H3C-GigabitEthernet0/1]in g0/0
[H3C-GigabitEthernet0/0]ip add 200.200.200.1 29
[H3C-GigabitEthernet0/0]in g0/2
[H3C-GigabitEthernet0/2]ip add 202.1.1.1 24
[H3C-GigabitEthernet0/2]quit
[H3C]ospf 1 //配置OSPF
[H3C-ospf-1]area 0
[H3C-ospf-1-area-0.0.0.0]net 0.0.0.0 255.255.255.255
3、ように構成されたPC3は、以下:
[H3C]in g0/0
[H3C-GigabitEthernet0/0]ip add 202.1.1.2 24
[H3C-GigabitEthernet0/0]quit
[H3C]ip route 0.0.0.0 0.0.0.0 202.1.1.1
次のように4、R1ルータ構成です。
[H3C]in g0/0
[H3C-GigabitEthernet0/0]ip add 202.202.202.2 30
[H3C-GigabitEthernet0/0]in g0/1
[H3C-GigabitEthernet0/1]ip add 200.200.200.2 29
[H3C-GigabitEthernet0/1]in vlan 1 //需要配置vlan的IP,将其当做G0/2的接口IP
[H3C-Vlan-interface1]ip add 192.168.1.1 24
[H3C-Vlan-interface1]in g0/2
[H3C-GigabitEthernet0/2]port link-mode bridge //将该接口改为网桥模式
//所有接口默认属于vlan1,所以相当于G0/2的接口IP已经是vlan 1的IP地址了
[H3C]ip route 192.168.2.0 24 192.168.1.2
[H3C]ip route 192.168.3.0 24 192.168.1.2
[H3C]ospf 1 //配置OSPF
[H3C-ospf-1]area 0
[H3C-ospf-1-area-0.0.0.0]net 202.202.202.0 0.0.0.3
[H3C-ospf-1-area-0.0.0.0]net 200.200.200.0 0.0.0.7
次のように図5に示すように、SW1が構成しました:
[H3C]vlan 2 to 3 //创建vlan
[H3C]in vlan 1
[H3C-Vlan-interface1]ip add 192.168.1.2 24
[H3C-Vlan-interface1]in vlan 2
[H3C-Vlan-interface2]ip add 192.168.2.1 24
[H3C-Vlan-interface2]in vlan 3
[H3C-Vlan-interface3]ip add 192.168.3.1 24
//将接口添加到vlan中
[H3C-Vlan-interface3]in g1/0/2
[H3C-GigabitEthernet1/0/2]port link-type access
[H3C-GigabitEthernet1/0/2]port access vlan 2
[H3C-GigabitEthernet1/0/2]in g1/0/3
[H3C-GigabitEthernet1/0/3]port link-type access
[H3C-GigabitEthernet1/0/3]port access vlan 3
[H3C-GigabitEthernet1/0/3]in g1/0/4
[H3C-GigabitEthernet1/0/4]port link-type access
[H3C-GigabitEthernet1/0/4]port access vlan 3
[H3C]ip route 0.0.0.0 0.0.0.0 192.168.1.1 //配置一个到外网的默认路由
次のように図6に示すように、PC1は、設定します:
[H3C]in g0/0
[H3C-GigabitEthernet0/0]ip add 192.168.2.100 24
[H3C-GigabitEthernet0/0]ip route 0.0.0.0 0.0.0.0 192.168.2.1 //相当于配置默认网关
次のように図7に示すように、PC2の構成します:
[H3C]in g0/0
[H3C-GigabitEthernet0/0]ip add 192.168.3.100 24
[H3C-GigabitEthernet0/0]ip route 0.0.0.0 0.0.0.0 192.168.3.1
8.次のようにサーバーの構成は次のとおりです。
[H3C]in g0/0
[H3C-GigabitEthernet0/0]ip add 192.168.3.250 24
[H3C-GigabitEthernet0/0]ip route 0.0.0.0 0.0.0.0 192.168.3.1
上記設定後、R1は、PC3、PC1、PC2にpingを実行することができます持っているとサーバーが通信することができますが、どこのping pingをネットワーク外の場合には行われないので、アドレス192.168.1.1への唯一のpingは、pingのパブリックアドレスは、異なっていますNATマップ、および配置されたEasy_IPマッピングR1。
(1)の構成マッピングEasy_IP
1、設定Easy_IP R1:
//创建ACL
[H3C]acl basic 2001
[H3C-acl-ipv4-basic-2001]rule 0 per source 192.168.2.0 0.0.0.255
[H3C-acl-ipv4-basic-2001]rule 5 per source 192.168.3.0 0.0.0.255
[H3C-acl-ipv4-basic-2001]rule 10 deny
//将ACL应用到两个出接口上,匹配到ACL2001的,都进行nat转换
[H3C-acl-ipv4-basic-2001]in g0/0
[H3C-GigabitEthernet0/0]nat outbound 2001
[H3C-GigabitEthernet0/0]in g0/1
[H3C-GigabitEthernet0/1]nat outbound 2001
[H3C-GigabitEthernet0/1]quit
あなたがNATを設定した後、我々は完全なネットワークの相互運用性を達成しています。
PC1上のテストテストのping PC3:
PC2上のテストテストのping PC3:
R1でNAT変換関係を見る、どのようなインターフェースアウトとは別にトラフィックを表示。
<H3C>dis nat sess ver //可以看到下面生成了两个nat转换表,每个转换表又包含正向和反向
Slot 0:
Total sessions found: 0
<H3C>dis nat sess ver
Slot 0:
Initiator:
Source IP/port: 192.168.2.100/44032 //源地址是192.168.2.100
Destination IP/port: 202.1.1.2/2048 //目标地址是202.1.1.2
DS-Lite tunnel peer: -
××× instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Vlan-interface1
Responder:
Source IP/port: 202.1.1.2/6 //202.1.1.2的返回流量
Destination IP/port: 200.200.200.2/0 //200.200.200.2接口进入内网
DS-Lite tunnel peer: -
××× instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet0/1
State: ICMP_REPLY
Application: OTHER
Start time: 2019-08-10 02:18:54 TTL: 19s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: 192.168.3.100/43008 //源地址是192.168.3.100
Destination IP/port: 202.1.1.2/2048 //目标地址是202.1.1.2
DS-Lite tunnel peer: -
××× instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Vlan-interface1
Responder:
Source IP/port: 202.1.1.2/7 //202.1.1.2的返回流量
Destination IP/port: 200.200.200.2/0 //200.200.200.2接口进入内网
DS-Lite tunnel peer: -
××× instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet0/1
State: ICMP_REPLY
Application: OTHER
Start time: 2019-08-10 02:19:00 TTL: 25s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
今、あなたは、ネットワーク内のすべてのトラフィックは、このインターフェイスアウトとリターンから200.200.200.2で見つけることができる、それはこのリンクを202.202.202.0されることになりましたので、需要を達成するためにポリシーベースルーティングを設定し、アイドル状態の体です。
(2)PBR
//定义一个高级ACL,用来关联vlan 3的流量
[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]rule 0 per ip sou
[H3C-acl-ipv4-adv-3000]rule 0 per ip source 192.168.3.0 0.0.0.255
[H3C-acl-ipv4-adv-3000]quit
[H3C]policy-based-route al permit node 10 //配置策略路由
[H3C-pbr-al-10]if-match acl 3000 //如果匹配ACL 3000
[H3C-pbr-al-10]apply next-hop 202.202.202.1 //则下一跳指向202.202.202.1
[H3C-pbr-al-10]quit
[H3C]policy-based-route al per node 20 空节点,放行其他未匹配流量
[H3C-pbr-al-20]int vlan 1
[H3C-Vlan-interface1]ip policy-based-route al
//在此接口下应用路由策略,因为需要做策略路由的数据包都是从这个接口下转发过来的
[H3C-Vlan-interface1]quit
PC3、R1にpingを実行し、NAT変換テーブルを表示するには、それぞれ自己PC1とPC2を使用します。
[H3C-pbr-al-10]dis nat sess ver
Slot 0:
Total sessions found: 0
[H3C-pbr-al-10]dis nat sess ver
Slot 0:
Initiator:
Source IP/port: 192.168.2.100/46336
Destination IP/port: 202.1.1.1/2048
DS-Lite tunnel peer: -
××× instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Vlan-interface1
Responder:
Source IP/port: 202.1.1.1/11
Destination IP/port: 200.200.200.2/0
DS-Lite tunnel peer: -
××× instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet0/1
State: ICMP_REPLY
Application: OTHER
Start time: 2019-08-10 02:34:56 TTL: 18s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: 192.168.3.100/45056
Destination IP/port: 202.1.1.2/2048
DS-Lite tunnel peer: -
××× instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Vlan-interface1
Responder:
Source IP/port: 202.1.1.2/1
Destination IP/port: 202.202.202.2/0
DS-Lite tunnel peer: -
××× instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet0/0
State: ICMP_REPLY
Application: OTHER
Start time: 2019-08-10 02:35:04 TTL: 27s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
OK、我々はポリシールートが有効である、と今で任意のインターフェイスG0 / 0およびG0 / 1 R1ルータは外部ネットワーク、セルフテストと、通信ネットワークには影響しません閉じていることがわかります。
PC3は、サーバー内のネットワーク・サーバに接続するためにTelnetを使用することができ、NATサーバーをやって起動してみましょう:
(3)NATサーバのマッピングを設定します。
R1は、NATサーバー上に配置されました:
[H3C-GigabitEthernet0/0]in g0/1
[H3C-G0/1]nat server protocol tcp global 200.200.200.3 23 inside 192.168.3.250 23
Telnetサーバの設定:
[H3C]telnet server enable
[H3C]local-user admin //telnet登录时的用户名
New local user added.
[H3C-luser-manage-admin]password simple pwd123 //admin的密码
[H3C-luser-manage-admin]service-type telnet
[H3C-luser-manage-admin]authorization-attribute user-role level-15
[H3C-luser-manage-admin]quit
[H3C]user-interface vty 0
[H3C-line-vty0]authentication-mode scheme
[H3C-line-vty0]protocol inbound telnet
[H3C-line-vty0]quit
検証:
あなたは、サーバーにログオンするかどうかを区別するために、現在のインタフェースのIPアドレスを表示することができ、参照の適切なユーザー名とパスワードのTelnetが成功すると入力し、Telnetは、ログインすることができます。
--------この記事の最後に、これまで、読んでくれてありがとう--------