cisco 6506 的G1/41 接pix525的inside端口;G1/42接pix515的inside端口
pix525 inside端口地址:172.16.254.1
pix515 inside端口地址:172.16.253.1
pix 525接電信光纖至互聯網;pix515接移動光纖至互聯網。
G1/41 、pix525inside屬於vlan997;
G1/42、pix515inside屬於vlan995。
內部多個vlan通過6506路由。
vlan 30內有一臺客戶機:10.0.30.66
已經在6506上配置了靜態路由,指定的互聯網目標地址通過pix525訪問,其餘的地址通過515訪問。(對內網所有客戶機生效)。
試驗目標:
上述訪問方式不變,只是希望10.0.30.66客戶機對於任何目標地址,都通過pix525出去。
1、在6506上配置策略路由:
route-map test1 permit 10
match ip address 100
set ip next-hop 172.16.254.1
access-list 100 permit 10.0.30.66 0.0.0.0 any
2、將上述策略作用於vlan30:
結果是:
2007-12-10
3、將策略作用於Gi1/42或vlan995:無效,原來策略路由是針對進入路由器的數據包才起作用。
3、在route-map test下添加另一條策略:
route-map test permit 20
match ip address 110
set default interface //不做修改,按照原來的路由轉發。
access-list 110 permit host 10.0.30.66 10.0.0.0 0.255.255.255 //訪問其他內部vlan的數據包
經過上述修改,依然無效。
4、12月13日,晴
刪除上述所有配置。測試階段,爲了不影響其他用戶。將測試客戶機單獨放在一個新的vlan60內。ip地址爲:10.0.60.2
route-map test permit
match ip address 11
set ip default next-hop 172.16.254.1
access-list 11 permit 10.0.60.2
int vlan 60
ip policy route-map test
成功實現!
總結:沒有default,路由器將所有進入的數據包都指向到下一跳,
有了default,路由器只是在沒有默認下一跳的情況下,才指向到下一跳。
vlan之間通過路由器互訪,則屬於默認下一跳。
優先級依次是(高--->低):
vlan互訪-->靜態路由表中不帶通配符部分(主機ID)-->策略路由--->靜態路由表中帶通配符部分(網絡ID)。