配置策略路由疑问？？有经验的大侠请进来下:(

yjd333

Router_config#sho run\r\n正在收集配置...\r\n\r\n当前配置:\r\ninterface Dialer0\r\n ip address negotiated\r\n no ip directed-broadcast\r\n ppp chap refuse\r\n ppp pap sent-username 用户 密码\r\n ip policy route-map celue                (这里)\r\n ip nat outside\r\n ip nat mss 1400\r\n!\r\ninterface Dialer1\r\n ip address negotiated\r\n no ip directed-broadcast\r\n ppp chap hostname 用户\r\n ppp chap password 密码\r\n ppp pap refuse\r\n ppp pap sent-username 用户 密码\r\n ip policy route-map celue                (这里)\r\n ip nat outside\r\n ip nat mss 1400\r\n!\r\ninterface FastEthernet0/0\r\n no ip address\r\n no ip directed-broadcast\r\n ip policy route-map celue                (这里)\r\n pppoe-client Dialer 0\r\n!\r\ninterface FastEthernet0/1\r\n no ip address\r\n no ip directed-broadcast\r\n ip policy route-map celue                (这里)\r\n pppoe-client Dialer 1\r\n!\r\ninterface FastEthernet0/2\r\n ip address 192.168.1.1 255.255.255.0\r\n no ip directed-broadcast\r\n ip policy route-map celue                (这里)\r\n ip nat inside\r\n\r\n!\r\nip route default Dialer0\r\nip route default Dialer1\r\n!\r\nchinese\r\n!\r\nip access-list standard DL0\r\n permit 192.168.1.0 255.255.255.0\r\n!\r\nip access-list standard DL1\r\n permit 192.168.1.0 255.255.255.0\r\n!\r\nip access-list extended kz1                        (这里)\r\n deny   ip 192.168.1.254 255.255.255.255 any        (这里)\r\n permit ip any any                                (这里)\r\n\r\n!\r\nroute-map celue 10 deny        (这里)\r\n match ip address kz1           (这里)        \r\n!\r\nip nat inside source list DL0 interface Dialer0\r\nip nat inside source list DL1 interface Dialer1\r\n!\r\nRouter_config#\r\n----------------------------\r\n\r\n为什么这样子限制出来的策略路由，192.168.1.254的电脑还是可以上网。也就是说策略路由怎么就不生效呢？

qintel

ip access-list extended kz1                        (这里)\r\ndeny   ip 192.168.1.254 255.255.255.255 any        (这里)\r\npermit ip any any                                (这里)\r\n你这是FW还是R，默认规则是允许的禁止的。你把permit ip any any 去了试试

qintel

你用的是HW的R？控制一台IP不能上网，不用作策略路由的，只用access-list就可以实现了。

qintel

这是一个sim软件给出的例子，供参考。\r\n1．基本访问列表\r\n[RouterC]firewall enable\r\n[RouterC]firewall default permit\r\n\r\n[RouterC]acl 10\r\n[RouterC-acl-10]rule normal deny source 10.65.1.1\r\n[RouterC-acl-10]rule normal permit source any\r\n[RouterC]int s0\r\n[RouterC-Serial0]firewall packet-filter 10 inbound\r\n[RouterC-Serial0]quit\r\n[RouterC]display acl\r\n\r\n如果不行，可将此帖子转到华三的技术论坛上，这方面的问题，到那里问好。\n\n[ 本帖最后由 qintel 于 2006-6-21 14:20 编辑 ]

yjd333

原帖由 qintel 于 2006-6-21 14:17 发表\r\n你用的是HW的R？控制一台IP不能上网，不用作策略路由的，只用access-list就可以实现了。

\r\n是的。。用访问控制可以实现。。关键是现在要学会怎么用策略路由\r\n\r\n哦这个不是华为的是d-link路由。