PBR实验—实现外网出口隔离

一、拓扑图

二、实验需求

部门A通过R3访问外网
部门B通过R4访问外网

三、实验思路

在R3和R4上配置LoopBack口，模拟公网地址
通过静态路由，实现互联互通
在R2上配置高级ACL和策略路由实现隔离出口
并在R2的入接口应用

四、实验步骤

（1）配置IP地址和静态路由实现互联互通

• R1

  interface GigabitEthernet0/0/0
   ip address 10.1.20.2 255.255.255.0
  
  interface GigabitEthernet0/0/1
   ip address 192.168.10.254 255.255.255.0
  
  interface GigabitEthernet0/0/2
   ip address 192.168.20.254 255.255.255.0
  
  ip route-static 0.0.0.0 0.0.0.0 10.1.20.1

• R2

  interface Ethernet0/0/0
   ip address 10.1.20.1 255.255.255.0
  
  interface GigabitEthernet0/0/0
   ip address 10.1.21.1 255.255.255.0
  
  interface GigabitEthernet0/0/1
   ip address 10.1.22.1 255.255.255.0
  
  ip route-static 0.0.0.0 0.0.0.0 10.1.22.2
  ip route-static 0.0.0.0 0.0.0.0 10.1.21.2
  ip route-static 192.168.0.0 255.255.0.0 10.1.20.2

• R3

  interface Ethernet0/0/0
   ip address 10.1.21.2 255.255.255.0
  
  interface LoopBack0
   ip address 200.1.1.10 255.255.255.0
  
  ip route-static 0.0.0.0 0.0.0.0 10.1.21.1

• PC1

• PC2

（2）在R2上配置ACL和PBR，并在入接口配置应用。

acl number 3001
 rule 5 permit ip source 192.168.10.0 0.0.0.255

acl number 3002
 rule 5 permit ip source 192.168.20.0 0.0.0.255

policy-based-route toisp permit node 10
 if-match acl 3001
 apply ip-address next-hop 10.1.21.2

policy-based-route toisp permit node 20
 if-match acl 3002
 apply ip-address next-hop 10.1.22.2

interface Ethernet0/0/0
 ip address 10.1.20.1 255.255.255.0
 ip policy-based-route toisp

五、实验验证

对上联接口进行抓包分析

当部门A的PC1测试到外网的连通性时，可在连接R3的上联接口抓取到ICMP数据包

当部门B的PC2测试到外网的连通性时，在连接R3的上联接口抓取不到到ICMP数据包，但可在连接R4的上联接口抓取到ICMP数据包