Cisco策略路由(policy route)精解(转载)
原文:http://www.guanwei.org/post/Cisconetwork/07/Cisco-policy-route_8621.html
注:PBR以前是CISCO用来丢弃报文的一个主要手段。比如:设置set interface null 0,按CISCO说法这样会比ACL的deny要节省一些开销。这里我提醒:
interface null 0
no ip unreachable //加入这个命令
这样避免因为丢弃大量的报文而导致很多ICMP的不可达消息返回。
三层设备在转发数据包时一般都基于数据包的目的地址(目的网络进行转发),那么策略路由有什么特点呢?
1、可以不仅仅依据目的地址转发数据包,它可以基于源地址、数据应用、数据包长度等。这样转发数据包更灵活。
2、为QoS服务。使用route-map及策略路由可以根据数据包的特征修改其相关QoS项,进行为QoS服务。
3、负载平衡。使用策略路由可以设置数据包的行为,比如下一跳、下一接口等,这样在存在多条链路的情况下,可以根据数据包的应用不同而使用不同的链路,进而提供高效的负载平衡能力。
策 略路由影响的只是本地的行为,所以可能会引起“不对称路由”形式的流量。比如一个单位有两条上行链路A与B,该单位想把所有HTTP流量分担到A 链路,FTP流量分担到B链路,这是没有问题的,但在其上行设备上,无法保证下行的HTTP流量分担到A链路,FTP流量分担到B链路。
策略路由一般针对的是接口入(in)方向的数据包,但也可在启用相关配置的情况下对本地所发出的数据包也进行策略路由。
本文就策略路由的以下四个方面做相关讲解:
1、启用策略路由
2、启用Fast-Switched PBR
3、启用Local PBR
4、启用CEF-Switched PBR
启用策略路由:
开始配置route-map。使用route-map map-tag [permit | deny] [sequence-number]进入route-map的配置模式。
使 用match语句定义感兴趣的流量,如果不定义则指全部流量。match length min max and/or match ip address {access-list-number | name}[...access-list-number | name]
使用set命令设置数据包行为。
set ip precedence [number | name]
set ip next-hop ip-address [... ip-address]
set interface interface-type interface-number [... type number]
set ip default next-hop ip-address [... ip-address]
set default interface interface-type interface-number [... type ...number]
这 里要注意set ip next-hop与set ip default next-hop、set interface与set default interface这两对语句的区别,不含default的语句,是不查询路由表就转发数据包到下一跳IP或接口,而含有default的语句是先查询路 由表,在找不到精确匹配的路由条目时,才转发数据包到default语句指定的下一跳IP或接口。
进入想应用策略路由的接口。interface xxx
应用所定义的策略。注意必须在定义好相关的route-map后才能在接口上使用该route-map,在接口启用route-map策略的命令为:
ip policy route-map map-tag
启用Fast-Switched PBR
在Cisco IOS Release 12.0之前,策略路由只能通过“进程转发”来转发数据包,这样数据包的转发效率是非常低的,在不同的平台上,基本在每秒1000到10,000个数据 包。随着缓存转发技术的出现,Cisco实现了Fast-Switched PBR,大大提升了数据包的转发速度。启用方法即在接口中使用ip route-cache policy命令。
注意:Fast-switched PBR支持所有的match语句及大多数的set语句,但其有下面的两个限制:
不支持set ip default next-hop 与 set default interface命令。
如 果在route-cache中不存在set中指定的接口相关的项,那么仅在point-to-point时set interface命令才能够Fast-switched PBR。而且,在进行“进程转发”时,系统还会先查询路由条目查看该interface是不是一个合理的路径。而在fast switching时,系统不会对此进行检查。
启用Local PBR
默认情况下,路由器自身所产生的数据包不会被策略路由,如果想对路由器自身产生的数据包也进行策略路由,那么需要在全局模式下使用如下命令来启用:
ip local policy route-map map-tag
启用CEF-Switched PBR
在支持CEF的平台上,系统可以使用CEF-Switched PBR来提高PBR的转发速度,其转发速度比Fast-Switched PBR更快!只要你在启用PBR的路由器上启用了CEF,那么CEF-Switched PBR会自动启用。
注:ip route-cache policy仅仅适用于Fast-Switched PBR,在CEF-Switched PBR中并不需要,如果你在启用了CEF的路由器上使用PBR时,这个命令没有任何作用,系统会忽略此命令的存在。
PBR配置案例:
案例1:
路由器通过两条不同的链路连接至两ISP,对于从async 1接口进入的流量,在没有“精确路由”匹配的情况下,把源地址为1.1.1.1的数据包使用策略路由转发至6.6.6.6, 源地址为2.2.2.2的数据包转发至7.7.7.7,其它数据全部丢弃。
配置如下:
access-list 1 permit ip 1.1.1.1
access-list 2 permit ip 2.2.2.2
!
interface async 1
ip policy route-map equal-access
!
route-map equal-access permit 10
match ip address 1
set ip default next-hop 6.6.6.6
route-map equal-access permit 20
match ip address 2
set ip default next-hop 7.7.7.7
route-map equal-access permit 30
set default interface null0
案例2
在 路由器针对不同流量,修改其precedence bit,并设置下一跳地址。对于1.1.1.1产生的流量,设置precedence bit为priority,并设置其下一跳转发地址为3.3.3.3;对于2.2.2.2产生的流量,设置precedence bit为critical,并设置其下一跳转发地址为3.3.3.5。
配置如下:
access-list 1 permit ip 1.1.1.1
access-list 2 permit ip 2.2.2.2
!
interface ethernet 1
ip policy route-map Texas
!
route-map Texas permit 10
match ip address 1
set ip precedence priority
set ip next-hop 3.3.3.3
!
route-map Texas permit 20
match ip address 2
set ip precedence critical
set ip next-hop 3.3.3.5
route map的一些命令:
一 路由重发布相关
match命令可以和路由的再发布结合使用:
1.match interface {type number} […type number]:匹配指定的下一跳路由器的接口的路由2.match ip address {ACL number|name} […ACL number|name]:匹配ACL所指定的目标IP地址的路由
3.match ip next-hop {ACL number|name} […ACL number|name]:匹配ACL所指定的下一跳路由器地址的路由
4.match ip route-source {ACL number|name} […ACL number|name]:匹配ACL所指定的路由器所宣告的路由
5.match metric {metric-value}:匹配指定metric大小的路由
6.match route-type {internal|external[type-1|type-2]|level-1|level-2}:匹配指定的OSPF,EIGRP或IS-IS的路由类型的路由
7.match tag {tag-value} […tag-value]:匹配带有标签(tag)的路由
1.set level {level-1|level-2|level-1-2|stub-area|backbone}:设置IS-IS的Level,或OSPF的区域,匹配成功的路由将被再发布到该区域2.set metric {metric-value|bandwidth delay RELY load MTU}:为匹配成功的路由设置metric大小
3.set metric-type {internal|external|type-1|type-2}:为匹配成功的路由设置metric的类型,该路由将被再发布到OSPF或IS-IS 1
4.set next-hop {next-hop}:为匹配成功的路由指定下一跳地址
5.set tag {tag-value}:为匹配成功的路由设置标签
match命令还可以和策略路由一起使用:
1.match ip address {ACL number|name} […ACL number|name]:匹配ACL所指定的数据包的特征的路由2.match length {min} {max}:匹配层3的数据包的长度
1.set default interface {type number} […type number]:当不存在指向目标网络的显式路由(explicit route)的时候,为匹配成功的数据包设置出口接口2.set interface {type number} […type number]:当存在指向目标网络的显式路由的时候,为匹配成功的数据包设置出口接口
3.set ip default next-hop {ip-address} […ip-address]:当不存在指向目标网络的显式路由的时候,为匹配成功的数据包设置下一跳路由器地址
4.set ip precedence {precedence}:为匹配成功的IP数据包设置服务类型(Type of Service,ToS)的优先级
5.set ip tos {tos}:为匹配成功的数据包设置服务类型的字段的TOS位
route map是通过名字来标识的,每个route map都包含许可或拒绝操作以及一个序列号,序列号在没有给出的情况下默认是10,并且route map允许有多个陈述,如下:
Linus(config)#route-map Hagar 20Linus(config-route-map)#match ip address 111
Linus(config-route-map)#set metric 50
Linus(config-route-map)#route-map Hagar 15
Linus(config-route-map)#match ip address 112
Linus(config-route-map)#set metric 80
还可以允许删除个别陈述,
如下: Linus(config)#no route-map Hagar 15 在删除的时候要特别小心,假如你输入了no route-map Hegar而没有指定序列号,那么整个route map将被删除.并且如果在添加match和set语句的时候没有指定序列号的话,那么它们仅仅会修改陈述10.在匹配的时候,从上到下,如果匹配成功,将不再和后面的陈述进行匹配,指定操作将被执行
关于拒绝操作,是依赖于route map是使用再路由的再发布中还是策略路由中,
如果是在策略路由中匹配失败(拒绝),那么数据包将按正常方式转发;
如果是用于路由再发布,并且匹配失败(拒绝),那么路由将不会被再发布 如果数据包没有找到任何匹配,和ACL一样,route map末尾也有个默认的隐含拒绝所有的操作,如果是在策略路由中匹配失败(拒绝),那么数据包将按正常方式转发;如果是用于路由再发布,并且匹配失败(拒绝),那么路由将不会被再发布 如果route map的陈述中没有match语句,那么默认的操作是匹配所有的数据包和路由;
每个route map的陈述可能有多个match和set语句,如下:
! route-map Garfield permit 10match ip route-source 15
match interface Serial0
set metric-type type-1
set next-hop 10.1.2.3 !
基于策略的路由
基于策略的路由技术概述:
基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力,传统上,路由器用从路由协议派生出来的路由表,根据目的地址进行报文的转发。
基于策略的路由比传统路由强,使用更灵活,它使网络管理者不能够根据目的地址而且能够根据,报文大小,应用或IP源地址来选择转发路径。策略可以定义为通过多路由器的负载平衡或根据总流量在各线上进行转发的服务质量(QOS)。策略路由使网络管理者能根据它提供的机定一个报文采取的具体路径。而在当今高性能的网络中,这种选择的自由性是很需要的。
策略路由提供了这样一种机制:根据网络管理者制定的标准来进行报文的转发。策略路由用MATCH和SET语句实现路径的选择。
策略路由是设置在接收报文接口而不是发送接口。
基于源地址的策略路由
配置概述:
路由器A将192.1.1.1来的所有数据从接口S0发出,而将从192.1.1.2来的所有数据从接口S1发出。
路由器A定义几个二级接口作为测试点。路由器A和B配置RIP.在A的ETHERNET接口上应用IP策略路由图LAB1,为从192.168.1.1来的数据设置下一跳接口为S0,为从192..1.1.2来的数位设置下一跳接口为S1,所有其他的报文将用基于目的地址的路由。
路由器配置:
ROUTE A:Version 11.2
No service udp-small-servers
No service tcp-small-servers
Hostname routerA
Interface ethernet0
Ip address 192.1.1.1 255.255.255.0 secondary
Ip address 192.1.1.2 255.255.255.0 secondary
Ip address 192.1.1.3 255.255.255.0 secondary
Ip address 192.1.1.10 255.255.255.0
Ip policy route-map lab1
//策略路由应用于E0口
interface serial0
ip addr 150.1.1.1 255.255.255.0
interface serial1
ip addr 151.1.1.1 255.255.255.0
router rip
network 192.1.1.0
network 150.1.0.0
network 151.1.0.0
ip local policy route-map lab1
//使路由器策略路由本地产生报文
no ip classless
access-list 1 permit 192.1.1.1
access-list 2 permit 192.1.1.2
route-map lab1 permit 10
//定义策略路由图名称:LAB1,10为序号,用来标明被匹配的路由顺序。
Match ip address 1
//匹配地址为访问列表1
Set interface serial0
//匹配下一跳为S0
Route-map lab1 permit 20
Match ip address 2
Set interface serial1
Line con0
Line aux0
Line vty 0 4
Login
End
路由器B为标准配置略。
相关调试命令:
show ip policyshow router-map
debug ip policy
转载于:https://www.cnblogs.com/xiaoerlang/p/3323633.html
Cisco策略路由(policy route)精解(转载)相关推荐
- Cisco策略路由(policy route)精解
注:PBR以前是CISCO用来丢弃报文的一个主要手段.比如:设置set interface null 0,按CISCO说法这样会比ACL的deny要节省一些开销.这里我提醒: interface nu ...
- 网络管理必备工具软件精解(Windows版)---转载及个人见解
网络管理必备工具软件精解(Windows版) 出版社: 人民邮电出版社 作者: 刘晓辉 王淑江 出版日期:2006年3月 国标编号:ISBN 7-115-14546 条形码: 字数:899千字 印张: ...
- IIS负载均衡-Application Request Route详解第二篇:创建与配置Server Farm(转载)
IIS负载均衡-Application Request Route详解第二篇:创建与配置Server Farm 自从本系列发布之后,收到了很多的朋友的回复!非常感谢,同时很多朋友问到了一些问题,有些问 ...
- Hijackthis浏览器劫持日志精解_网络安全日志,还我蓝色天空(转载)
Hijackthis浏览器劫持日志精解 作者:网络安全日志( www.nslog.cn ) 日期:2006/9/29 ( 转载请保留此申明) 一.简介 H ...
- 换手率研究精解(转载)
换手率研究精解 2008-12-05 12:09 1.换手率的定义 所谓日换手率是指在某一个交易日中,某只股票当日的日成交量(成交股数)除以该股的流通股本,所谓的百分比日换手率是日成交量大小的另一种表 ...
- 项目实践精解:ASP.NET应用开发
前 言 作者从事软件设计开发工作十多年,最近才萌发了写书的想法.因为作者希望推广一种最有效的学习捷径,这就是Project-Driven Training,也就是用项目实践来带动理论学习的方法.基于此 ...
- 精解C++的switch语句
入门书籍对switch语句的介绍相对较浅,我也因此而产生了很多想当然的误解.为解惑而写了以下一小篇精解switch语句,相信会对很多朋友有所帮助,同时顺便补充一些相关知识. 先抛出个题目,见下程序: ...
- Linux 认证考试:精解Linux find命令的使用linuxfindnam
Linux认证考试:精解Linuxfind命令的使用 Linuxfind命令是用来查找文件时使用的命令,熟练使用这一命令可以帮助我们快速查找所需要的文件,分别可以有时间.用户组.文件权限以及附加操作参 ...
- 【精解】Exchange Server 2007群集连续复制
[精解]Exchange Server 2007群集连续复制 David物流公司去年新购置了Exchange2007服务器,但在使用中发现,由于服务器偶尔出现故障,导致公司暂时不能收到客户邮件问题严重 ...
- 项目实践精解:C#核心技术应用开发
前 言 学习任何技术都要从基础开始,这本书就是讲解C#核心技术的基础教材.读者如果简单调研一下就不难发现,市面上最多的就是这类C#基础类教材.那么,我们还有没有必要再多写一本没有特色.枯燥乏味的书呢? ...
最新文章
- 本地两台虚拟机构建NFS服务器和客户端
- jcreator编译多个java_java用JCreator怎么都编译不过去!
- useradd、adduser和userdel在使用时的注意事项
- iphone退款申请教程_如何下载下架的APP?买错应用怎么退款?学会这几招iPhone更好用...
- debian uefi legacy 区别_电脑硬盘格式有Legacy与UEFI,选择哪一个好?千万别选错了!...
- CUDA零拷贝内存(zerocopy memory)
- C程序设计语言现代方法14:预处理器
- 发送的消息无法订阅_微信服务号和订阅号的如何选择
- Hdu--5064(DP)
- Centos 上使用mmsh协议听猫扑网络电台 VLC播放器
- Win7旗舰版下安装SQL Server 2008总结
- openwrt reboot流程
- 在 Coq 中形式化 100 个定理
- ora00054 资源正忙
- 日语语法笔记【翻译】
- “算法”也有价值观?
- 内网渗透笔记——二层发现
- “耐克 Nike”被美国GBC代理,附问题答疑
- 颜色的三要素:色调,饱和度,和亮度。
- C learning_11 (数组和在内存存储的理解、数组越界、数组作为形参)