问题描述
　　您可以定义自己规则来进行数据包而不仅仅由目地地址所决定在这里
　　您可以学到如何使用基于策略办法来解决这问题
　　在具体应用中基于策略路由有:
　　☆ 基于源IP地址策略路由
　　☆ 基于数据包大小策略路由
　　☆ 基于应用策略路由
　　☆ 通过缺省路由平衡负载
　　这里讲述了第种情况路由策略
　　举例
　　在这个例子中作用是:把10.0.0.0/8内部网地址翻译成可路由172.16
　　.255.0/24子网地址
　　　　　　　　　
　　下面配置是为了完整性而加进去它不是策略路由配置所必需在这
　　里防火墙可以被其它类似产品代替如PIX或其它类似防火墙设备这里防火墙
　　配置如下:
　　!
　　ip nat pool net-10 172.16.255.1 172.16.255.254 prefix-length 24
　　ip nat inside source list 1 pool net-10
　　!
　　erface Ethernet0
　　　ip address 172.16.20.2 255.255.255.0
　　　ip nat outside
　　!
　　erface Ethernet1
　　　ip address 172.16.39.2 255.255.255.0
　　　ip nat inside
　　!
　　router eigrp 1
　　　redistribute
　　　network 172.16.0.0
　　　default-metric 10000 100 255 1 1500
　　!
　　ip route 172.16.255.0 255.255.255.0 Null0
　　access-list 1 permit 10.0.0.0 0.255.255.255
　　!
　　end
　　在我们例子中 WAN路由器上运行策略路由来保证从10.0.0.0/8网络来I
　　P数据包被发送到防火墙去配置中定义了两条net-10策略规则第条策略就定义了从
　　10.0.0.0/8网络来IP数据包被发送到防火墙去(我们很快会看到这里配置有问题)
　　而第 2条规则允许所有其它数据包能按正常路由这里 WAN路由器配置如
　　下:
　　!
　　erface Ethernet0/0
　　　ip address 172.16.187.3 255.255.255.0
　　　no ip directed-broadcast
　　!
　　erface Ethernet0/1
　　　ip address 172.16.39.3 255.255.255.0
　　　no ip directed-broadcast
　　!
　　erface Ethernet3/0
　　　ip address 172.16.79.3 255.255.255.0
　　　no ip directed-broadcast
　　　ip policy route-map net-10
　　!
　　router eigrp 1
　　　network 172.16.0.0
　　!
　　access-list 110 permit ip 10.0.0.0 0.255.255.255 172.16.36.0 0.0.0.255
　　access-list 111 permit ip 10.0.0.0 0.255.255.255 any
　　!
　　route-map net-10 permit 10
　　　match ip address 111
　　　 erface Ethernet0/1
　　!
　　route-map net-10 permit 20
　　!
　　end
　　我们可以这样测试我们所做配置在名为Cisco-1路由器10.1.1.1上发送ping命
　　令到Internet上个主机(这里就是192.1.1.1主机)要查看名为Internet Router
　　路由器上情况我们在特权命令模式下执行debug ip packet 101 detail命令(
　　其中在此路由器上有access-list 101 permit icmp any any配置命令)下面是输出
　　结果:
　　Results of ping from Cisco-1 to 192.1.1.1/ernet taken from Internet_R
　　outer:
　　Pakcet never makes it to Internet_Router
　　正如您所看到:数据包没有到达Internet_Router路由器下面在Cisco WAN路
　　由器上debug命令给出了原因:
　　Debug commands run from Cisco_WAN_Router:
　　"debug ip policy"
　　2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match
　　2d15h: IP: route map net-10, item 10, permit
　　2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100,
　　policy routed
　　2d15h: IP: Ethernet3/0 to Ethernet0/1 192.1.1.1
　　这里数据包确实匹配了net-10策略图中第条规则但为什么还是没有达到预
　　期目呢？用"debug arp"来看下
　　"debug arp"
　　2d15h: IP ARP: sent req src 172.16.39.3 0010.7bcf.5b02,
　　　　　　　　　　　　　　dst 192.1.1.1 0000.0000.0000 Ethernet0/1
　　2d15h: IP ARP rep filtered src 192.1.1.1 00e0.b064.243d, dst 172.16.39.3
　　0010.7bcf.5b02
　　　　　　　wrong cable, erface Ethernet0/1
　　debug arp输出给出了原因路由器努力完成它被指示要做动作而且试图把数
　　据包发向Ethernet0/1接口但失败了这要求路由器为目地址192.1.1.1执行地址解
　　析操作当执行该任务时路由器知道了目地址不处于该接口接下来路由器
　　发生封装所以最后数据包不能到达192.1.1.1
　　我们怎样避免这个问题呢？修改路由图使防火墙地址为下跳
　　Config changed _disibledevent=192.1.1.1 (Ethernet0/1), len 100,
　　policy routed
　　2d15h: IP: Ethernet3/0 to Ethernet0/1 172.16.39.2