试验环境:
 
cisco 6506 的G1/41 接pix525的inside端口;G1/42接pix515的inside端口
pix525 inside端口地址:172.16.254.1
pix515 inside端口地址:172.16.253.1
 
pix 525接电信光纤至互联网;pix515接移动光纤至互联网。
G1/41 、pix525inside属于vlan997;
G1/42、pix515inside属于vlan995。
内部多个vlan通过6506路由。
vlan 30内有一台客户机:10.0.30.66
已经在6506上配置了静态路由,指定的互联网目标地址通过pix525访问,其余的地址通过515访问。(对内网所有客户机生效)。
 
试验目标:
上述访问方式不变,只是希望10.0.30.66客户机对于任何目标地址,都通过pix525出去。
 
1、在6506上配置策略路由:
route-map test1 permit 10
match ip address 100
set ip next-hop  172.16.254.1
access-list 100 permit 10.0.30.66 0.0.0.0 any
2、将上述策略作用于vlan30:
 int vlan 30
 ip policy route-map test1
结果是:
  (1)、其他内网客户机无任何影响
  (2)、10.0.30.66这台客户机只能访问172.16.254.1这个地址和所有互联网地址,tracert后验证全部通过pix525出去。
  (3)、10.0.30.66无法访问局域网内其他vlan任何地址,包括vlan30的地址10.0.30.1。
2007-12-10
 
 
3、将策略作用于Gi1/42或vlan995:无效,原来策略路由是针对进入路由器的数据包才起作用。
 
3、在route-map test下添加另一条策略:
route-map test permit 20
match ip address 110
set default interface  //不做修改,按照原来的路由转发。
access-list 110 permit host 10.0.30.66 10.0.0.0 0.255.255.255 //访问其他内部vlan的数据包
经过上述修改,依然无效。
 
4、12月13日,晴
删除上述所有配置。测试阶段,为了不影响其他用户。将测试客户机单独放在一个新的vlan60内。ip地址为:10.0.60.2
route-map test permit
match ip address 11
set ip default next-hop  172.16.254.1
access-list 11 permit 10.0.60.2
int vlan 60
ip policy route-map test
成功实现!
 
总结:没有default,路由器将所有进入的数据包都指向到下一跳,
有了default,路由器只是在没有默认下一跳的情况下,才指向到下一跳。
vlan之间通过路由器互访,则属于默认下一跳。
优先级依次是(高--->低):
vlan互访-->静态路由表中不带通配符部分(主机ID)-->策略路由--->静态路由表中带通配符部分(网络ID)。