查看完整版本: 策略路由的设置

策略路由的设置

策略路由怎么配置。。。

具体设置如下： 192.168.0.1 ,admin，密码输入：admin， 篇文章以宽带路由器D-Link的di-740p型号，默认管理地址为192.168.0.1，管理端口是8080。

将一台计算机的ip地址和路由器管理地址设置在同一网段，例如192.168.0.2，打开192.168.0.2计算机的浏览器，在地址栏输入“http：//192.168.0.1:8080”后按回车键即出现用户登陆提示窗口，输入宽带路由器说明书中的默认管理账户和密码进入设置界面。

为了让路由器能够自动拨号，我们还需要将ADSL账号集成到路由器中。

点击上方的“首页”标签，然后点击作变的“WAN”，在PPP over Ethernet处看到设置ADSL账号的地方，输入自己申请的ADSL账号和密码后保存设置。

现在到“系统状态”标签中的“系统信息”处察看联网状态，在WAN端可以清晰地看到ADSL拨号获得的网络信息。

设置完ADSL账号后，我们就可以通过宽带路由器上网了，不过为了更好的管理和提高安全性还需要进行如下操作：点击“首页”标签，然后在左边选择“DHCP”，在DHCP服务器可进入的ip范围处设置ip地址范围，保存后宽带路由器就具备自动分配ip地址的功能了。

防止乱下bt

默认设置所有连接到路由器的计算机都是受到保护的，也就是说处于内网中，使用bt等p2p软件会受到一定的影响。我们可以用“进阶设定”标签中的“DMZ”来设置宣告的主机。在这里设置的主机就暴露在网络中，一方面可以无所顾虑地使用bt下载软件和建立iis、ftp服务器等，而另一方面也暴露在黑客与病毒面前，因此该计算机的安全性工作一定要做好。（如果仅仅是为了使用bt等p2p软件而对主机进行宣告的话则是非常不明智的，其实我们可以使用upnp功能来解决内网不能使用p2p软件的问题。方法是点击路由器设置界面的“工具”标签下的“其他项目”，然后将upnp设定为“启动”即可。）

进入宽带路由器设置界面中的过滤器标签，我们可以对数据报的来源及地址进行多种项目的过滤，包括ip地址、url信息、mac地址以及区域信息等。

设置“激活”ip地址过滤，然后在ip地址范围内处输入ip地址，如192.168.0.111。“埠范围”处实际上填写的是端口信息，由于bt下载使用的是6881到6889端口，所以我们在这里进行过滤即可。“协议”选择tcp，“排程”设置该过滤生效的时间（禁止时间看实际情况而定）。

服务和安全两不误

计算机暴露在internet上黑客和病毒就有可能利用漏洞攻击计算机，其实我们可以通过设置虚拟服务器来解决这个问题。

登陆到宽带路由器设置界面。选择进阶设置界面中的虚拟服务器标签。将虚拟服务器设置激活，输入相关的虚拟服务器信息即可。例如我们要容许192.168.0.112这台计算机提供ftp服务，但又希望让其他端口得到路由器的保护的话，可以仅仅将ftp服务进行虚拟即可。个人ip地址设置为192.168.0.112，协议模式是tcp（ftp服务使用tcp协议），个人端口21（ftp使用21端口）。另外在“排成”处可以设置该虚拟服务生效的时间段。

tp-link路由器配置指南

对路由器进行基本配置，使电脑通过路由器实现共享上网，过程相对来说比较容易实现；这篇文档下面的内容，主要讲述如下几部分：

1， 收集并判断信息，为配置路由器做准备；

2， 进入路由器管理界面，对路由器进行配置；

3， 配置过程简单的故障定位排除！

1， 置路由器前的准备工作（如果你对你自己的连接方式清楚，可以直接跳到第2点）

第一个需要确认的就是您的“宽带接入方式”是怎样的？

当然，最简捷的办法就是给您的ISP（互联网服务提供商）打个电话咨询一下；也可以通过您购买路由器以前的网络连接方式进行快速判断。

常见的硬件连接方式有下面几种：

1， 电话线 —> ADSL MODEM —> 电脑

2，双绞线（以太网线）—> 电脑

3，有线电视（同轴电缆）—> Cable MODEM —> 电脑

4，光纤 —> 光电转换器 —> 代理服务器 —> PC

ADSL / VDSL PPPoE ：电脑上运行第三方拨号软件如Enternet300或WinXP 系统自带的拨号程序，填入ISP提供的账号和密码，每次上网前先要拨号；

或者您的ADSL MODEM 已启用路由功能，填入了ISP提供的账号和密码，拨号的动作交给 MODEM 去做；（这种宽带接入方式典型的比如南方电信提供的“ 网络快车 ”）

静态IP ：ISP提供给您固定的IP地址、子网掩码、默认网关、DNS ；

动态IP ：电脑的TCP/IP属性设置为“自动获取IP地址”，每次启动电脑即可上网；（这种宽带接入方式典型的比如深圳“天威视讯”）

802.1X+静态IP ：ISP提供固定的IP地址，专用拨号软件，账号和密码 ；

802.1X+动态IP ：ISP提供专用拨号软件，账号和密码；

WEB认证 ：每次上网之前，打开IE浏览器，先去ISP指定的主页，填入ISP提供的用户名密码，通过认证以后才可以进行其他得上网操作；

（上面的黑体字就是您的宽带接入方式，接入方式和硬件连接方式并不是固定搭配的）

上面提到的这些连接认证方式只是普及率比较高的一些宽带接入方式，当然还会有其他的拓扑连接以及认证方式的存在；所以，当您不能肯定自己的宽带方式的时候，最好向ISP咨询：自己装的宽带接入，IP地址是静态的还是动态的？认证使用的协议是PPPoE、802.1X还是WEB认证？当上面的两个问题有了答案，就可以对路由器进行配置了；

二楼说的好详细呀！
兄弟是那个公司的？

晕                                          n"lW

网吧用这个比较多，一般两个WAN口，一个接网通，一个接电信，访问网通网络上的服务器走WAN1，访问电信网络上的服务器走WAN2，这就是基于目的的。

基于源的倒很少听说，我觉得有两种，一种是设置好一部分PC走WAN1，另一部分PC走WAN2，这样根据源IP地址选路；另一种可能的理解是负载均衡，根据当时的流量来配置从哪个端口出去

感谢楼主分享。

可能是负载均衡，根据当时的流量来配置从哪个端口出去

您可以定义自己的规则来进行数据包的路由而不仅仅由目的地地址所决定。在这里
　　怎么使用基于策略路由的办法来解决这一问题。
　　　　在具体的应用中，基于策略的路由有：
　　　　☆ 基于源IP地址的策略路由
　　　　☆ 基于数据包大小的策略路由
　　　　☆ 基于应用的策略路由
　　　　☆ 通过缺省路由平衡负载
　　　　这里，讲述了第一种情况的路由策略。
　　举例
　　　　在这个例子中，防火墙的作用是：把10.0.0.0/8内部网地址翻译成可路由的172.16
　　.255.0/24子网地址。
　　　　　　　　　　　
　　　　下面的防火墙配置是为了完整性而加进去的，它不是策略路由配置所必需的。在这
　　里的防火墙可以被其它类似的产品代替，如PIX或其它类似防火墙设备。这里的防火墙的
　　配置如下：
　　　　!
　　　　ip nat pool net-10 172.16.255.1 172.16.255.254 prefix-length 24
　　　　ip nat inside source list 1 pool net-10
　　　　!
　　　　interface Ethernet0
　　　　　ip address 172.16.20.2 255.255.255.0
　　　　　ip nat outside
　　　　!
　　　　interface Ethernet1
　　　　　ip address 172.16.39.2 255.255.255.0
　　　　　ip nat inside
　　　　!
　　　　router eigrp 1
　　　　　redistribute static
　　　　　network 172.16.0.0
　　　　　default-metric 10000 100 255 1 1500
　　　　!
　　　　ip route 172.16.255.0 255.255.255.0 Null0
　　　　Access-list 1 permit 10.0.0.0 0.255.255.255
　　　　!
　　　　end
　　　　在我们的例子中，Cisco WAN路由器上运行策略路由来保证从10.0.0.0/8网络来的I
　　P数据包被发送到防火墙去。配置中定义了两条net-10策略规则。第一条策略就定义了从
　　10.0.0.0/8网络来的IP数据包被发送到防火墙去（我们很快会看到这里的配置有问题）
　　。而第二条规则允许所有的其它数据包能按正常路由。这里的Cisco WAN路由器的配置如
　　下：
　　　　!
　　　　interface Ethernet0/0
　　　　　ip address 172.16.187.3 255.255.255.0
　　　　　no ip directed-broadcast
　　　　!
　　　　interface Ethernet0/1
　　　　　ip address 172.16.39.3 255.255.255.0
　　　　　no ip directed-broadcast
　　　　!
　　　　interface Ethernet3/0
　　　　　ip address 172.16.79.3 255.255.255.0
　　　　　no ip directed-broadcast
　　　　　ip policy route-map net-10
　　　　!
　　　　router eigrp 1
　　　　　network 172.16.0.0
　　　　!
　　　　access-list 110 permit ip 10.0.0.0 0.255.255.255 172.16.36.0 0.0.0.255
　　　access-list 111 permit ip 10.0.0.0 0.255.255.255 any
　　　　!
　　　　route-map net-10 permit 10

　　　　　match ip address 111
　　　　　set interface Ethernet0/1
　　　　!
　　　　route-map net-10 permit 20
　　　　!
　　　　end
　　　　我们可以这样测试我们所做的配置。在名为Cisco-1的路由器10.1.1.1上发送ping命
　　令到Internet上的一个主机（这里就是192.1.1.1主机）。要查看名为Internet Router
　　的路由器上的情况，我们在特权命令模式下执行debug ip packet 101 detail命令。（
　　其中，在此路由器上有access-list 101 permit icmp any any配置命令）。下面是输出
　　结果：
　　　　Results of ping from Cisco-1 to 192.1.1.1/internet taken from Internet_R
　　outer:
　　　　Pakcet never makes it to Internet_Router
　　　　正如您所看到的：数据包没有到达Internet_Router路由器。下面的在Cisco WAN路
　　由器上的debug命令给出了原因：
　　　　Debug commands run from Cisco_WAN_Router:
　　　　"debug ip policy"
　　　　2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match
　　　　2d15h: IP: route map net-10, item 10, permit
　　　　2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100,
　　policy routed
　　　　2d15h: IP: Ethernet3/0 to Ethernet0/1 192.1.1.1
　　　　这里，数据包确实匹配了net-10策略图中的第一条规则。但为什么还是没有达到预
　　期的目的呢？用"debug arp"来看一下。
　　　　"debug arp"
　　　　2d15h: IP ARP: sent req src 172.16.39.3 0010.7bcf.5b02,
　　　　　　　　　　　　　　　　dst 192.1.1.1 0000.0000.0000 Ethernet0/1
　　　　2d15h: IP ARP rep filtered src 192.1.1.1 00e0.b064.243d, dst 172.16.39.3
　　0010.7bcf.5b02
　　　　　　　　　wrong cable, interface Ethernet0/1
　　　　debug arp的输出给出了原因。路由器努力完成它被指示要做的动作，而且试图把数
　　据包发向Ethernet0/1接口，但失败了。这要求路由器为目的地址192.1.1.1执行地址解
　　析协议操作，当执行该任务时，路由器知道了目的地址不处于该接口。接下来，路由器
　　发生封装错误。所以，最后数据包不能到达192.1.1.1。
　　　　我们怎样避免这个问题呢？修改路由图使防火墙地址为下一跳。
　　　　Config changed on Cisco_WAN_Router:
　　　　!
　　　　route-map net-10 permit 10
　　　　　match ip address 111

　　　　set ip next-hop 172.16.39.2
　　　　!
　　修改后，在Internet Router上运行同样的命令：debug ip packet 101 detail。这时，
　　数据包可以按配置前进。我们也能看到数据包被防火墙翻译成了172.16.255.1。192.1.
　　1.1主机的回应：
　　　　Results of ping from Cisco_1 to 192.1.1.1/internet taken from Internet_R

　　outer:
　　　　2d15h: IP: s=172.16.255.1 (Ethernet1), d=192.1.1.1 (Serial0), g=192.1.1.
　　1, len 100, forward
　　　　2d15h: ICMP type=8, code=0
　　　　2d15h:
　　　　2d15h: IP: s=192.1.1.1 (Serial0), d=172.16.255.1 (Ethernet1), g=172.16.2
　　0.2, len 100, forward
　　　　2d15h: ICMP type=0, code=0
　　　　2d15h:
　　　　在Cisco WAN路由器上执行debug ip policy命令后，我们可以看到数据包被传递到
　　了防火墙，172.16.39.2：
　　　　Debug commands run from Cisco_WAN_Router:
　　　　"debug ip policy"
　　　　2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match
　　　　2d15h: IP: route map net-10, item 20, permit
　　　　2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100,
　　policy routed
　　　　2d15h: IP: Ethernet3/0 to Ethernet0/1 172.16.39.2

我觉得有两种，一种是设置好一部分PC走WAN1，另一部分PC走WAN2，这样根据源IP地址选路；另一种可能的理解是负载均衡，根据当时的流量来配置从哪个端口出去

学到了~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1、更改末端路由的 lan端口使其也上层路由在不同的网段
2、末端路由wan端口配置成上层路由的ip

路由上配置个 做个访问控制列表 因为如果DNS设置成网管的IP 也就是对其的信任 所以肯定就会通过了 也就是通常称为 拒绝信任选信任的一种情况 默认拒绝 但决绝和信任同时存在 取信任

NAT？ 你说清楚啊 我还以为是大设备呢 NAT也能做吧 这个不清楚了 因为你没有说清楚 到底是什么情况

怎样设置路由器？

宽带路由器也是一种共享上网设备，同路由式ADSL Modem相似，它也具有“路由”的功能，可以取代代理服务器的位置而成为客户机的“网关”。客户机就通过这个“网关”来上网。而且，多数宽带路由器上面还带有4口或者5口交换机，客户机只要把网线插在宽带路由器的交换机口中，再进行简单的配置就可以上网了。它的组网方式如图1所示。

图1
宽带路由器支持多种Internet接入方式的共享，例如ADSL、FTTB+LAN（光纤到楼＋局域网到户）、闭路线宽带（即Cable Modem）、普通56Kbps Modem拨号上网等。不过，对于ADSL接入方式，它只支持以太式ADSL Modem。

下面，我们依旧以Windows 2000平台为基础，以ASUS（华硕）AAM6000EV非路由以太式ADSL Modem和TP-Link（普瑞尔）TL-R400宽带路由器为例，来讲解宽带路由器共享ADSL的方法（其他品牌的宽带路由器在设置界面上会有所不同，但需要设置的地方和具体设置内容几乎都是相同的）。

首先，确保ADSL Modem工作正常，即我们已经能够通过它上网。然后，我们切断计算机和ADSL Modem的电源，把TL-R400宽带路由器连接进来。

图2
TL-R400宽带路由器如图2所示，它是专门针对家庭用户和小型办公室而开发的共享上网设备。它集成了4口10/100Mbps交换机，用于连接需要上网的用户计算机。而背面板上的WAN口，则是用来连接ADSL Modem等网络接入设备的。首先，我们把随AAM6000EV附送的那条直通式双绞线连接Modem的RJ-45口和TL-R400的WAN口（原来这条直通式双绞线是用来连接Modem和计算机的），然后，再用直通式双绞线连接计算机上网卡的RJ-45口和TL-R400的交换机口（LAN口）。连接好以后，接通Modem和TL-R400的电源，开启计算机。

一、宽带路由器的配置

现在，我们要对TL-R400宽带路由器进行简单的配置，让它能够代替计算机进行自动拨号。

图3
同大多数以太式ADSL Modem一样，TL-R400宽带路由器也具有一个IP地址，且采用Web页管理方式。我们可以在IE浏览器地址栏中输入“[url]http://xxx.xxx.xxx.xxx[/url]”进入管理页面来对它进行设置。TL-R400出厂时默认的IP地址是“192.168.123.254”，子网掩码为“255.255.255.0”。我们要注意，现在直接在计算机的IE浏览器地址栏中输入“ [url]http://192.168.123.254[/url] ”是无法访问管理页面的，道理很简单：IP地址要处于同一个网段才可以进行访问。于是我们首先要修改计算机本地连接的IP地址。

图4
在系统桌面上鼠标右击“网上邻居”图标，在弹出的快捷菜单中选择“属性”项，弹出的“网络和拨号连接”对话框。在该对话框中选中“本地连接”，再鼠标右击，在弹出的菜单中选择“属性”项，进入“本地连接 属性”对话框。在该对话框中，选择“Internet协议（TCP/IP)”项，点击“属性”按钮，进入“TCP/IP属性”对话框。在该对话框中，将IP地址设置为“192.168.123.x”(x为1～253的自然数）（例如本例中的“192.168.123.200”），同时将网关设置为“192.168.123.254”（图3）。连续两次“确定”后，设置立即生效。现在，我们可以在IE地址栏中输入“ [url]http://192.168.123.254[/url] ”进入TL-R400的管理页面了。

图5
在出现的登陆页面左侧登录框输入默认密码“admin”进入管理页面。在管理页面左侧的菜单中，选择“Primary Setup”（主要设置）项，出现如图4所示的对话框。在该对话框中，显示有TL-R400的默认IP地址以及WAN（广域网）的类型，默认为“Dynamic IP Address”（动态IP地址）。点击“Change”（更改）按钮，进入图5所示对话框，在该对话框中，我们需要点选“PPP over Ethernet”来将WAN类型更改为“PPPoE”（局域网上的点对点协议），这是因为ADSL拨号采用的是该协议。点选后，点击“Save”按钮进入下一步的对话框。在这里，我们需要设定ADSL的账号和密码（即ISP提供给你的ADSL用户名和密码），以后，拨号的任务就交给TL-R400了。填写完毕，我们需要保存设置。不过且慢！！我们仔细思考网上数据传送到用户计算机的过程，是从Internet→ADSL Modem→宽带路由器→本机，而前面我们已经看到为了访问宽带路由器，我们必须将本地连接的IP地址段和宽带路由器的IP地址段统一起来才行，那么，进而联想到ADSL Modem——ASUS AAM6000EV以太式ADSL Modem的默认私有IP地址是“192.168.1.1”（多数以太式ADSL Modem出厂默认IP地址都是“192.168.1.1”），子网掩码为“255.255.255.0”。很显然，和“192.168.254.x”不在一个网段上，也就是说，这时TL-R400是无法访问ADSL Modem的，数据也无法传送。只有当ADSL Modem、宽带路由器、本地连接三者的IP地址段统一的时候，才能实现互访和数据传输！所以，我们还需要将TL-R400的IP地址进行修改，我们建议将IP地址修改成与ADSL Modem同网段,例如本例的“192.168.1.2”，子网掩码“255.255.255.0”（图6）。最后点击“Save”按钮保存设置，并点击“Reboot”立即重新启动TL-R400宽带路由器使设置生效。

图6
二、客户机的配置

当TL-R400重新启动后，会弹出一个显示有“System is restarted Please reconnect manually”（系统已重启，请手动连接）字样的对话框让我们重新连接管理页面。这时你再次在IE地址栏中输入“ [url]http://192.168.123.254[/url] ”已无法访问该管理页面了，因为TL-R400的IP地址段已经做了修改，和现有本地连接的IP地址又不在一个段上了。所以现在我们需要重新配置客户机。

图7
进入图4所示对话框，在这里，将IP地址修改为“192.168.1.x”（x为3～255的自然数）（本例中为“192.168.1.3），子网掩码依旧是“255.255.255.0”。由于TL-R400现在取代了以前的代理服务器，起到一个“网关”的作用，所以这里我们将“网关”设置为TL-R400的IP地址“192.168.1.2”。由于采用的是“网关”式共享，那么客户机的DNS服务器也应该指向“网关”，即“192.168.1.2”（图7）（关于这一点，我们在用SyGate共享组网时已提及）。

三、宽带路由器拨号连接Internet

现在，ADSL Modem、宽带路由器、本地连接的私有IP地址都处在同一个网段下，能够实现数据传送了。
在IE地址栏中输入“ [url]http://192.168.1.2[/url] ”，然后输入管理密码进入TL-R400管理页面，点击右下角的“Connect”按钮进行拨号连接。等待约5秒钟后，连接成功，同时TL-R400将显示获得的公有IP地址、ISP的DNS服务器地址等信息（图8）。

图8
现在客户机可以上网了。打开IE，输入网址——Go!!

以后要上网时，只要将ADSL Modem和TL-R400的电源打开，TL-R400就会自动拨号并连接上Internet。这时计算机登录后，就可以直接上网了，无须任何额外的操作。如果不想上网了，关闭TL-R400的电源即可。
TL-R400支持4台计算机共享上网，如果多于4台计算机，可以再加一个集线器（或交换机），组网方式如图9。

图9

【路由式ADSL共享的优缺点】

可能有的读者会说，我又不要共享上网，路由不路由无所谓。的确，如果对于单机上网的用户来说，路由与否，似乎并不是很重要，但对于需要共享的用户来说，路由与否，的确有着比较直观的差异。最后我们再总结一下路由模式的利弊，大家可依据自己的实际情况决定是否采用路由方式。

优点

1.组网方便，且不需要单独一台计算机作为代理服务器，可以降低损耗并节约电费^__^。

2.一次设置后，计算机开机便可上网，无须在安装拨号软件进行拨号，非常方便省事。

3.所有计算机都不暴露在公网中，相对比较安全。如果开启了宽带路由器的防火墙功能，上网安全将得到进一步的保障！

缺点

1.所有计算机都没有公有IP地址了，暴露在外的是路由式ADSL Modem或宽带路由器。某些需要公有IP地址的应用（例如点对点信息共享，如P2P；各种服务器架设，例如流媒体服务器、邮件服务器等)需要靠端口映射来实现。尽管多数ADSL Modem和宽带路由器支持端口映射，但还是需要单独设置，显得不那么方便。

2.支持的共享计算机数量有限，比不上采用单独的代理服务器/网关计算机的共享方式。一般路由式ADSL Modem能够稳定地支持到5～12台，而能够稳定地支持60台计算机共享的宽带路由器（不带交换机，还需要单独购买交换机或者集线器）则需要2000多元，价格并不便宜。

路由上配置个 做个访问控制列表 因为如果DNS设置成网管的IP 也就是对其的信任 所以肯定就会通过了 也就是通常称为 拒绝信任选信任的一种情况 默认拒绝 但决绝和信任同时存在 取信任

NAT？ 你说清楚啊 我还以为是大设备呢 NAT也能做吧 这个不清楚了 因为你没有说清楚 到底是什么情况

广义上讲是的，电信用的是最基本的访问控制列表禁用的方式，它可以屏蔽网站，但说它能过滤关键字是假的，过滤关键字只能从搜索引擎和浏览器设置上做文章，没有任何网络物理设备有这个功能。“迷惑协议”是防止被定IP和端口过滤的一种解决办法，它用的端口号和协议号是不固定的，随机产生，这样即使有访问控制列表也很难控制

略路由是一种路由规划，它可以使数据包按照用户指定的策略进行转发。对于某些管理目的，如QoS需求或VPN拓扑结构，要求某些路由必须经过特定的路径，就可以使用策略路由。例如，一个策略可以指定从某个网络发出的数据包只能转发到某个特定的接口。