思科Cisco路由怎么基于策略配置下面的防火墙配置是为了完整性而加进去的，它不是策略路由配置所必需的。在这里的防火墙可以被其它类似的产品代替，如PIX或其它类似防火墙设备。这里的防火墙的配置如下：access-list1permit10.0.0.00.255.255.255ipnatpoolnet-10172.16.255.1172.16.255.254prefix-length24ipnatinsidesourcelist1poolnet-10interfaceEthernet0ipaddress172.16.20.2255.255.255.0ipnatoutsideinterfaceEthernet1ipaddress172.16.39.2255.255.255.0ipnatinsideroutereigrp1network172.16.0.0default-metric1000010025511500iproute172.16.255.0255.255.255.0Null0end在我们的例子中，CiscoWAN路由器上运行策略路由来保证从10.0.0.0/8网络来的IP数据包被发送到防火墙去。配置中定义了两条net-10策略规则。第一条策略就定义了从10.0.0.0/8网络来的IP数据包被发送到防火墙去(我们很快会看到这里的配置有问题)。而第二条规则允许所有的其它数据包能按正常路由。这里的CiscoWAN路由器的配置如下：interfaceEthernet0/0ipaddress172.16.187.3255.255.255.0interfaceEthernet0/1ipaddress172.16.39.3255.255.255.0interfaceEthernet3/0ipaddress172.16.79.3255.255.255.0ippolicyroute-mapnet-10routereigrp1network172.16.0.0access-list110permitip10.0.0.00.255.255.255172.16.36.00.0.0.255access-list111permitip10.0.0.00.255.255.255anyroute-mapnet-10permit10matchipaddress111setinterfaceEthernet0/1route-mapnet-10permit20end我们可以这样测试我们所做的配置。在名为Cisco-1的路由器10.1.1.1上发送ping命令到Internet上的一个主机(这里就是192.1.1.1主机)。要查看名为InternetRouter的路由器上的情况，我们在特权命令模式下执行debugippacket101detail命令。(其中，在此路由器上有access-list101permiticmpanyany配置命令)。下面是输出结果：ResultsofpingfromCisco-1to192.1.1.1/internettakenfromInternet_Router:PakcetnevermakesittoInternet_Router正如您所看到的：数据包没有到达Internet_Router路由器。下面的在CiscoWAN路由器上的debug命令给出了原因：DebugcommandsrunfromCisco_WAN_Router:"debugippolicy"2d15h:IP:s=10.1.1.1(Ethernet3/0),d=192.1.1.1,len100,policymatch2d15h:IP:routemapnet-10,item10,permit2d15h:IP:s=10.1.1.1(Ethernet3/0),d=192.1.1.1(Ethernet0/1),len100,policyrouted2d15h:IP:Ethernet3/0toEthernet0/1192.1.1.1这里，数据包确实匹配了net-10策略图中的第一条规则。但为什么还是没有达到预期的目的呢?用"debugarp"来看一下。"debugarp"2d15h:IPARP:sentreqsrc172.16.39.30010.7bcf.5b02,dst192.1.1.10000.0000.0000Ethernet0/12d15h:IPARPrepfilteredsrc192.1.1.100e0.b064.243d,dst172.16.39.30010.7bcf.5b02wrongcable,interfaceEthernet0/1debugarp的输出给出了原因。路由器努力完成它被指示要做的动作，而且试图把数据包发向Ethernet0/1接口，但失败了。