CCNA Lab 5.0 Cấu hình Policy Based Routing dùng Route-map

nessi

Internship/Fresher
Feb 25, 2018
68
20
8
HOCHIMINH CITY
securityzone.vn

Lab 5.0 Cấu hình Policy Based Routing dùng Route-map




Trong thực tế, khi mạng LAN của doanh nghiệp có 2 vlan là Vlan1 và Vlan 2. Và doanh nghiệp yêu cầu các máy tính trong Vlan 1 sẽ truy cập được Internet thông qua ISP-Viettel và các máy tính trong Vlan 2 sẽ truy cập được Internet thông qua ISP-VNPT thì những cấu hình định tuyến thông thường không thể làm được điều này. Do đó cấu hình Policy Based Routing là một giải pháp đáp ứng được nhu cầu trên.


I. Sơ đồ và yêu cầu của bài lab


1. Sơ đồ của bài lab


  • Sơ đồ của bài lab cấu hình Policy Based Routing dùng Route-map
Cau hinh pbr

2. Yêu cầu của bài lab


  • Cấu hình cơ bản như sơ đồ

  • Cấu hình default route cho R1, R2, R3

  • Cấu hình NAT trên R2 và R3, R2 và R3 được static route về R1

  • PC1 thấy được PC2

  • PC1 đi ra mạng bên ngoài qua đường R2 -> ISP-Viettel và PC2 đi ra mạng bên ngoài bằng đường R3 -> ISP-VNPT

II. Triển khai bài Lab


1. Cấu hình cơ bản


  • Ethernetswitch-1 (thay cho switch)
Cau hinh pbr 1

  • Router R1
Code:
R1(config)#int f0/1

R1(config-if)#no shutdown

R1(config-if)#int f0/1.1

R1(config-subif)#encapsulation dot1q 10

R1(config-subif)#ip address 10.123.10.250 255.255.255.0

R1(config-subif)#exit

R1(config)#int f0/1

R1(config-if)#int f0/1.2

R1(config-subif)#encapsulation dot1q 20

R1(config-subif)#ip address 10.123.20.250 255.255.255.0

R1(config-subif)#exit

R1(config)#int f0/0

R1(config-if)#ip address 172.16.16.1 255.255.255.252

R1(config-if)#no shutdown

R1(config)#exit

R1(config)#int f1/0

R1(config-if)#ip address 172.16.17.1 255.255.255.252

R1(config-if)#no shutdown
  • R2
Code:
R2(config)#int f0/0

R2(config-if)#mac-address 9453.3025.0357

R2(config-if)#ip address 192.168.43.147 255.255.255.0

R2(config-if)#no shutdown

R2(config)#exit

R2(config)#int f1/0

R2(config-if)#ip address 172.16.16.2 255.255.255.252

R2(config-if)#no shutdown

  • R3
Code:
R3(config)#int f0/0

R3(config-if)#ip address 192.168.10.123 255.255.255.0

R3(config-if)#no shutdown

R3(config-if)#exit

R3(config)#int f1/0

R3(config-if)#ip addres 172.16.17.2 255.255.255.252

R3(config-if)#no shutdown

R3(config-if)#exit

  • PC1
Code:
PC-1> ip 10.123.10.1/24 10.123.10.250

Checking for duplicate address...

PC1 : 10.123.10.1 255.255.255.0 gateway 10.123.10.250

  • PC2
Code:
PC-2> ip 10.123.20.1/24 10.123.20.250

Checking for duplicate address...

PC1 : 10.123.20.1 255.255.255.0 gateway 10.123.20.250

  • Defualt route và static route R1, R2 ,R3
Code:
R1(config)#ip route 0.0.0.0 0.0.0.0 172.16.16.2 250

R1(config)#ip route 0.0.0.0 0.0.0.0 172.16.17.2 254

R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.43.1 254

R2(config)#ip route 10.123.10.0 255.255.255.0 172.16.16.1

R2(config)#ip route 10.123.20.0 255.255.255.0 172.16.16.1

R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.2 254

R3(config)#ip route 10.123.10.0 255.255.255.0 172.16.17.1

R3(config)#ip route 10.123.20.0 255.255.255.0 172.16.17.1


2. Cấu hình NAT trên R2 và R3


  • Router R2
Code:
R2(config)#int f0/0

R2(config-if)#ip nat outside

R2(config-if)#exit

R2(config)#int f0/1

R2(config-if)#ip nat inside

R2(config-if)#exit

R2(config)#access-list 1 permit any

R2(config)#ip nat inside source list 1 interface f0/0 overload

  • Router R3
Code:
R3(config)#int f0/0

R3(config-if)#ip nat outside

R3(config-if)#exit

R3(config)#int f0/1

R3(config-if)#ip nat inside

R3(config-if)#exit

R3(config)#access-list 1 permit any

R3(config)#ip nat inside source list 1 interface f0/0 overload


3. Cấu hình PBR (Policy Based Routing)


  • Mạng PC2 muốn qua R1 -> R3 -> ISP-VNPT thì theo định tuyến bình thường thì không thể nào khả thi được, do đó cần dùng đến cấu hình PBR sử dụng route-map để làm được điều này

  • Cấu hình PBR
Bước 1: Tạo access-list để cho mạng 10.123.20.0/24 đi qua
Code:
access-list 2 permit 10.123.20.0 0.0.0.255

Bước 2: Tạo route-map
Code:
R1(config)#route-map Vlan20 permit 10

R1(config-route-map)#match ip address 2

R1(config-route-map)#set ip next-hop 172.16.17.2

Bước 3: Gán route-map vừa tạo vào interface để cần lọc gói tin đi qua
Code:
R1(config)#int f0/1.2

R1(config-subif)#ip policy route-map Vlan20

R1(config-subif)#exit

  • Giờ ta có thể kiểm tra lại xem gói tin được đi như thế nào
PC1

Cau hinh pbr 2

PC2

Cau hinh pbr 3

  • Tuy nhiên sau khi cấu hình vậy thì việc lọc gói tin qua f0/1.2 rồi nếu đúng điều kiện là trong dải access-list 2 thì đẩy qua next-hop 172.16.17.2, vậy thì khi gói tin từ PC1-> PC2 lúc trả về sẽ đẩy ra next-hop và cuối cùng không thể ping được

  • Do đó sẽ thay đổi câu lệnh ở bước 2 một chút, đó là thêm defualt trước next-hop có nghĩa là chỉ thị đầu tiên của Policy Routing dựa trên địa chỉ đích và chỉ thị tiếp theo của câu lệnh set sẽ được thực hiện khi định tuyến của địa chỉ đích không rõ ràng
Code:
R1(config-route-map)#set ip default next-hop 172.16.17.2
  • Trong trường hợp này khi địa chỉ đích rõ ràng từ PC1->PC2 và ngược lại thì sẽ theo bảng định tuyến mà thực hiện, còn khi định tuyến không rõ ràng ví dụ như đi đến 8.8.8.8 thì nó sẽ sử dụng next-hop để đưa gói tin đi tiếp
Cau hinh pbr 4


Vậy là mình đã cấu hình bài lab thành công !!!
 
Cho Mình hỏi trong GNS3 - Có mục giả lập Internet nhưng mình không thể sử dụng được . báo lỗi missing file.Mình chỉnh ethernet Switch nhưng không khả dụng, chỉnh xong ok -> vào lại vẫn như ban đầu
Mong bạn hướng dẫn
 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu