Cisco | 利用 ZBF 做流量控制

一、拓扑

要求：

1. R1、R3 分别以 R2 为网关，实现路由可达，其中 R2 的地址都为 254，R1、R3 都为 1。
2. R1、R3 上分别开启 telnet 登录功能，使 R1、R3 可以互相登录。
3. 实现 R1 可以 telnet 到 R3 上，但不能通过 icmp 方式访问 R3。
4. 实现 R3 可以通过 icmp 访问 R1，但不能 telnet 到 R1 上。

二、配置

1.基本 IP 地址配置（省略）。

2.配置

⑴配置 zone

⑵将 zone 和接口关联

当路由器上配置完 zone，并将接口关联到 zone 后，不同 zone 之间是不能通信的，现用 R1 访问 R3，结果如下：

明显可以看到 R1 不能访问 R3，同样 R3 也不能访问 R1。

⑶配置策略完成 R1 到 R3 的单向通

①配置 ACL，用于放行 R1 对 R3 的 telnet

②配置 class map

③配置 policy‐map

④配置 zone‐pair

⑷配置策略完成 R3 到 R1 的单向通

①配置 ACL

②配置 class‐map

③配置 policy‐map

④配置 zone‐pair

三、测试

1.R1 到 R3 的访问

①R1 通过 telnet 访问 R3

②R1 通过 icmp 访问 R3

2.R3 到 R1 的访

①R3 通过 telnet 访问 R1

②R3 通过 icmp 访问 R1

从上面的测试中，可以看到，在 R2 上配置 ZBF，使流量实现了单向通。