策略路由(PBR).

思科CCNP认证PBR策略路由与BGP协议详解本⽂讲述了思科CCNP认证PBR策略路由与BGP协议。

分享给⼤家供⼤家参考，具体如下：PBR——策略路由定义：通过流量策略来执⾏选路的⼀种转发⼿段。

控制层⾯——给路由的转发做指导数据层⾯——在路由表中找到路由的出接⼝或者下⼀跳传统的路由表转发只能通过数据的⽬标地址做策略。

策略路由可以根据源地址、⽬的地址、源端⼝、⽬的端⼝、协议、TOS等流量特征来做决策提供路由——灵活性⾼，但速度慢，需要⼀个⼀个抓，操作相对⿇烦。

路由表与策略路由的关系：策略路由是先于路由表执⾏的，策略路由没有捕获的流量依然会去执⾏路由表。

两种配置：1：接⼝下配置access-list 100 permit ip host 1.1.1.1 any //⽤ACL捕获流量route-map pbr permit 10 //定义route-mapnatch ip address 10 //调⽤被ACL捕获的流量set ip next-hop 10.1.1.1 //设置下⼀跳int f0/1ip policy route-map pbr //接⼝下调⽤只能捕获该接⼝的⼊接⼝流量做策略（不能处理本路由器产⽣的流量）。

2：全局配置access-list 100 permit ip host 1.1.1.1 any //⽤ACL捕获流量route-map pbr permit 10 //定义route-mapmatch ip address 10 //调⽤被ACL捕获的流量set ip next-hop 10.1.1.1 //设置下⼀跳ip local policy route-map pbr能够捕获所有接⼝⼊接⼝流量以及本路由器产⽣的流量（源地址是本路由器地址）3：策略路由的冗余设置route-map pbr permit 10match ip address 1ip next-hop verify-availability 10.1.24.2 1 track 1 //track 成功则本条⽣效，track失败则执⾏下⼀条set语句track ip next-hop 10.1.34.3track 1 ip sla 1 //定义⼀个track监控sla的探测结果ip sla 1 //定义⼀个slaip icmp-echo 10.1.12.1 source-ip 10.4.4.4 //设置其探针ip sla schedule 1 life forever start-time now //设置sla 1的执⾏时间4：default 语句在route-map的set ip default这个位置输⼊，定义被捕获的流量为先查路由表。

一：PBR的功能介绍1:PBR可以用于路由重新分配。

基于PBR我们可以在重新分配路由时有选择的重分配。

(当然还有其它手段passive-interface，distribute-list，还有route-map实现)。

一般来说,PBR是通过路由映射来配置的(route-map)。

2:影响下一跳。

PBR在大规模边界网关协议BGP的运行中，是一个最必不可少的工具。

传统的路由策略来自由路由协议计算出来的路由表。

路由器只能根据报文的目的地址进行数据转发，不能提供有差别的服务。

基于策略的路由可以基于数据包的源地址，甚至是源地址,目的地址，源端口，目的端口，四层协议以及报文大小，应用或者其它策略来选择转发路径。

3:设置优先级。

PBR还可以给予外出数据包设置IP优先级位，这样方便了QOS策略。

网络管理员可以根据实际工作的需要，灵活设置PBR机制，实现比传统路由协议更强的路由控制能力。

4:负载平衡。

使用PBR策略路由设置数据包的行为，比如下一跳，出接口等，这样在存在多条链路的情况下，可以根据数据包的应用不同而使用不同的链路，进而提供高效的负载平衡能力。

二：PBR的特点：PBR影响的只是本地的行为，不会干预其它路由器的选路行为，当可以通过设置优先级位来用于其它路由器配置策略。

当路由器进行数据转发时，路由器根据预先设置的策略对数据包进行匹配，如果匹配到一条PBR，就根据该条策略指定的路由进行转发；如果没有匹配到任何策略，就根据路由表的内容对报文进行转发。

常用的PBR配置命令如下所示：route-map map-tag { permit |deny} [sequence number] [定义PBR] match ip address acl-id[匹配ACL-id定义的流量]match length min-byte max-byte[匹配报文大小为min-byte到max-byte 大小的流量]set ip next-hop ip-address [设置数据包下一条地址]set ip default next-hop ip-address [设置数据包下一条地址]set ip precedence [number|name] [设置IP数据包优先级]set interface slot/number[设置出接口]set default interface slot/number [设置出接口]ip policy route-map map-tag [在接口下应用PBR]ip local policy route-map map-tag [对本地路由器产生的数据包执行PBR]说明：这里要注意set ip next-hop与set ip default next-hop、set interface 与set default interface这两对语句的区别，不含default的语句，是不查询路由表就转发数据包到下一跳IP或接口，而含有default的语句是先查询路由表，在找不到精确匹配的pbr策略路由条目时，才转发数据包到default语句指定的下一跳IP或接口。

PBR(基于策略的路由)通常我们在路由器上启用动态路由协议动态地学习网络拓扑，这样我们可能会遇到这样的安全问题，当一台非授权的网络设备接入网络，并发布路由协议更新时，有可能会使网络内的设备动态的产生错误的路由条目，从而造成数据包的丢失或者被路由到了错误的地方。

本文就来为大家介绍基于策略的路由(PBR)PBR(基于策略的路由)概述基于策略的路由(PBR)是一种灵活的数据包路由转发机制。

通过在路由器上应用策略路由，使路由器根据路由映射（route-map）决定经过路由器的数据包如何处理。

路由映射决定了一个数据包的下一跳转发路由器。

在路由器上应用策略路由，必须要指定策略路由使用的路由映射（route-map），并且要创建路由映射。

一个路由映射由很多条策略组成，每个策略都定义了1个或多个匹配规则和对应操作。

一个接口应用策略路由后，将对该接口收到的所有包进行检查，不符合路由映射中所定义的数据包将会被按照正常路由转发进行处理，符合路由映射中的策略的数据包，就按照策略中定义的操作进行处理。

策略路由主要应用在企业路由表复杂或者需要对路由进行控制的情况下，特别是当企业网络出口有两条，需要对不同服务和应用或者不同客户端的路由进行控制时，当然企业内部运行两个网络或者更多的网络时也经常要用到路由策略；另外，策略路由除了应用在非正常的路由选路之外，它还可以用来防止病毒或黑客的攻击，使用条件语句将病毒或攻击的特征码匹配出来，然后再指定一个安全策略（如使用黑洞路由）将攻击阻断.黑洞路由是对动态路由选择协议的一个补充。

黑洞路由可以将不想要的流量转发到一个称为null0的接口中去。

我们可以建立一条或一些静态路由，将精确匹配这些路由的流量丢弃。

和ACL不同的是，Cisco IOS的所有交换过程，包括CEF，都能处理黑洞路由，而不降低性能。

需要注意的是，PBR技术不支持配置了PBR的路由器始发流量和到达该路由器的流量。

PBR(基于策略的路由)实例解析下面我们就以一个试验来描述策略路由的阻断流量的功能。

【简介】PBR（策略路由）以前是CISCO用来丢弃报文的一个主要手段。

比如：设置set interface null 0，按CISCO说法这样会比ACL的deny要节省一些开销。

注:PBR（策略路由）以前是CISCO用来丢弃报文的一个主要手段。

比如：设置set interface null 0，按CISCO说法这样会比ACL的deny要节省一些开销。

这里我提醒：interface null 0no ip unreachable//加入这个命令这样避免因为丢弃大量的报文而导致很多ICMP的不可达消息返回。

三层设备在转发数据包时一般都基于数据包的目的地址（目的网络进行转发），那么策略路由有什么特点呢？1、可以不仅仅依据目的地址转发数据包，它可以基于源地址、数据应用、数据包长度等。

这样转发数据包更灵活。

2、为QoS服务。

使用route-map及策略路由可以根据数据包的特征修改其相关QoS项，进行为QoS服务。

3、负载平衡。

使用策略路由可以设置数据包的行为，比如下一跳、下一接口等，这样在存在多条链路的情况下，可以根据数据包的应用不同而使用不同的链路，进而提供高效的负载平衡能力。

策略路由影响的只是本地的行为，所以可能会引起“不对称路由”形式的流量。

比如一个单位有两条上行链路A与B，该单位想把所有HTTP流量分担到A链路，FTP流量分担到Ｂ链路，这是没有问题的，但在其上行设备上，无法保证下行的HTTP流量分担到Ａ链路，FTP流量分担到Ｂ链路。

策略路由一般针对的是接口入(in)方向的数据包，但也可在启用相关配置的情况下对本地所发出的数据包也进行策略路由。

本文就策略路由的以下四个方面做相关讲解：１、启用策略路由２、启用Fast-Switched PBR３、启用Local PBR４、启用CEF-Switched PBR启用策略路由：开始配置route-map。

使用route-map map-tag [permit deny] [sequence-number]进入route-map的配置模式。

策略路由（PBR）配置原理：PBR依据策略进行路由，而不是路由协议，目前支持的策略有：IP报文大小，源IP 地址，本例使用源IP地址过程：路由器R1只配置策略不配置路由，R2配置路由目的:PC1可以PING通PC2，PC2也可以PING通PC1，但PC2却PING不通R1的S1/1端口和F0/0端口，路由器R1没有192.168.2.0路由配置好各接口IP定义ACLR1(config)#ip access-list standard net1设置需要进行策略路由的源地址R1(config-std-nacl)#permit 192.168.0.10 255.255.255.255定义route-map，名为pbrR1(config)#route-map pbr permit 10设定源地址R1(config-route-map)#match ip address net1设置下一跳地址R1(config-route-map)#set ip next-hop 192.168.1.2进入源地址的路由器接口R1(config)#interface fastEthernet 0/0绑定route-mapR1(config-if)#ip policy route-map pbr路由器R2的配置添加静态路由R2(config)#ip route 192.168.0.0 255.255.255.0 192.168.1.1测试：查看路由R1#show ip routeC 192.168.0.0/24 is directly connected, FastEthernet0/0 C 192.168.1.0/24 is directly connected, Serial1/1没有到192.168.2.0的路由R2#show ip routeS 192.168.0.0/24 [1/0] via 192.168.1.1C 192.168.1.0/24 is directly connected, Serial1/0C 192.168.2.0/24 is directly connected, FastEthernet0/0检查所应用的策略路由R1#show ip policyInterface Route mapFa0/0 pbrR1#show route-maproute-map pbr, permit, sequence 10Match clauses:ip address (access-lists): net1Set clauses:ip next-hop 192.168.1.2Policy routing matches: 35 packets, 4180 bytes。

PBR策略路由policy-based routing用 route-map 调用 match ACL 做 set比传统路由能力更强优于路由表强制性的经过路由器的流量进行控制1.应用于入站方向的数据包2.本地路由器产生的流量不仅能根据数据源地址执行策略而且协议类型、报文大小长度、应用或IP源地址针对DATA IP流量匹配与不匹配没有干掉不干掉access-list 1 permit 192.168.1.0 0.0.0.255 //学生网段access-list 2 permit 192.168.2.0 0.0.0.255 //老师网段//0.0.0.255表示匹配的是数据否则不加就变成匹配网段route-map test permit 10matchip add 1set ip next-hop ISP1吓一跳route-map test permit 20matchip add 2setip int f0/1int f0/0 //入接口上应用route-mapip policy route-map test只要做了PBR 优先级高于传统路由强制set设定分组的吓一跳IP 必须为直连IPset ip next-hop ip-address[IP-A、IP-B] //优选第一个A、第一个down掉跳转第二个B setint f0/0相似ip route...对端IP/出接口接口下入方向的流量对入接口的流量生效，对本地始发的流量无效(config-if)#ip policy route-map map-tag（name)全局下对本地始发流量生效（本地路由器产生的流量）(config)#ip local policy route-map map-tag场景1PBR ACL匹配走PBR 不匹配查找路由表setip next-hop 192.168.13.1 192.168.23.2 debugipicmp场景2：检测下一跳可达性借助CDP查看下一跳存活性不适用加上一条set ip next-hop verify-availability//需借助CDP 同一个route-map的路由器下都要配置当R1CDP表被抹去的时候 GW切换到R2access-list 1 deny anyint s0/0ip access-group 1 in //模拟R1接口失效不接收route-map test per 10setip next-hop 10.1.1.2 10.2.2.2setip next-hop verify-availabilityclearcdp tableshcdpnei场景3：不需要借助CDP执行本地PBR设备要CISCO设备CISCO IOS IP SLAs端到端可达性（感觉不到对端down了）ICMP UDP TCP DHCP HTTP检测接口：SLA定义sla monitor 分别对应2个track对象ipsla monitor responder //增强命令ipsla monitor 1 //创建monitor 1type echo protocol ipicmpEcho 10.1.1.2 source-ipaddr 10.1.1.1(source-interface f1/0) timeout 3000 frequency 10// icmp echo协议目的源超时时间频率源去ping目的ipsla monitor schedule 1 life forever start-time now//设置立即启动一直生效track 1 rtr 1 reachability //绑定到track对象上可进行调用下一跳access-list 1 permit anyroute-map test permit 10matchip add 1set ip next-hop verify-availability 10.1.1.2 10 track 1 //跟踪10.1.1.2检测setip next-hop verify-availability 10.2.2.2 20 track 2//解释分别关联2个SLA当track1成立时进入接口的数据包强制扔给R1当R1挂掉或接口失效或接口配置ACL干掉了报文会自动切换到R2场景4不是本地直连的下一跳IP递归下一跳本地要有路由去往远端网络下下一跳才可使用access-list 1 permit anyroute-map PBR permit 10matchip add 1set ip next-hop 10.2.2.2 //流量进入强制送这里10.2.2.2set ip next-hop recursive 10.1.12.2//当上面接口down 流量切换到递归地址查找下面的路由表---------ip route 10.1.12.0 255.255.255.0 10.1.1.2//设置到递归下一跳10.1.12.2的静态路由ip route 0.0.0.0 0.0.0.0 int s0/0 //最后往这送: 路由挂掉 route-map失效优先传统下一跳当挂掉切换到递归下一跳传统的路由进行转发没有路由丢弃set ip default next-hop 1.1.1.1优先级高于默认路由低于静态(明细)路由ip route 1.1.1.0 255.255.255.0 10.1.23.3。

路由策略（route-policy）和策略路由（PBR）1.路由策略功能：路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变⽹络流量所经过的路径。

匹配形式：⼀个路由策略中包含N（N>=1）个节点（Node），也就是多个route-policy 10，20，30.........路由进⼊路由策略后，当路由与该节点的所有If-match⼦句都匹配成功后，进⼊匹配模式选择，不再匹配其他节点。

当路由与该节点的任意⼀个If-match⼦句匹配失败后，进⼊下⼀节点。

如果和所有节点都匹配失败，路由信息将被拒绝通过，（也就是说route-policy 末尾是隐含拒绝）。

路由策略中If-match⼦句中匹配的6种过滤器：1.访问控制列表ACL（Access Control List），只⽀持基本ACL；ACL是将报⽂中的⼊接⼝、源或⽬的地址、协议类型、源或⽬的端⼝号作为匹配条件的过滤器。

2.地址前缀列表（IP Prefix List）；地址前缀列表将源地址、⽬的地址和下⼀跳的地址前缀作为匹配条件的过滤器。

路由按索引号从⼩到⼤依次检查各个节点是否匹配，任意⼀个节点匹配成功，将不再检查其他节点。

若所有节点都匹配失败，路由信息将被过滤。

如果地址前缀列表不与路由策略中if-match语句配合使⽤，地址前缀列表中⾄少配置⼀个节点的匹配模式是permit，否则所有路由将都被过滤。

当IP地址为0.0.0.0时表⽰通配地址，表⽰掩码长度范围内的所有路由都被Permit或Deny。

3.AS路径过滤器（AS_Path Filter）；4.团体属性过滤器（Community Filter）；5.扩展团体属性过滤器和RD属性过滤器（Extcommunity Filter）；6.RD属性过滤器（Route Distinguisher Filter）。

配置任务：配置过滤器（6种）-----配置route-policy-----if-match-----apply-----配置路由策略⽣效时间（可选）2.策略路由策略路由PBR（Policy-Based Routing）是⼀种依据⽤户制定的策略进⾏路由选择的机制。

CISCO 策略路由（PBR）配置实例时间:2010-02-17 22:56来源:未知作者:admin 点击: 142次策略路由选择可以选择修改下一跳地址以及标记数据包来提供不通的网络服务。

PBR一般用于修改基于源地址的下一跳地址。

推荐实现方式：PBR给于外发IP数据包标记IP优先位，这样方便了实施QoS策略。

一般来说，PBR是通过路由映射来配置的。

看个详细配置实例，你策略路由选择可以选择修改下一跳地址以及标记数据包来提供不通的网络服务。

PBR一般用于修改基于源地址的下一跳地址。

推荐实现方式：PBR给于外发IP数据包标记IP优先位，这样方便了实施QoS策略。

一般来说，PBR是通过路由映射来配置的。

看个详细配置实例，你会更加明白：定义了两个访问列表：10和20，经过配置使来自网络192.168.1.0/24的数据包的下一跳地址改为192.168.100.1；使来自 192.168.2.0/24的数据包的下一跳地址改为192.168.100.2.其他源始发的数据包正常路由。

命令如下：My3377(config)#access-list 10 permit 192.168.1.0 //用访问控制列表先抓取路由My3377(config)#access-list 20 permit 192.168.2.0My3377(config)#route-map nexthop permit 10 //起个名字My3377(config-route-map)#match ip address 10 //匹配一个列表My3377(config-route-map)#set ip next-hop 192.168.100.1 //设置一个策略My3377(config-route-map)#exitMy3377(config)#route-map nexthop permit 20My3377(config-route-map)#match ip address 20My3377(config-route-map)#set ip next-hop 192.168.100.2My3377(config-route-map)#exitMy3377(config)#route-map nexthop permit 30My3377(config)#int s2/1My3377(config-if)#ip policy route-map nexthop //接口下调用My3377(config-if)#exit。

策略路由PBR命令详解1 命令汇总1. set ip next-hop{ ip-address [...ip-address] | recursive ip-address }允许写多个下一跳IP，但这些IP必须是直连路由器的接口IP如果定义了多个下一跳IP，则当第一个下一跳关联的本地出接口DOWN掉，则自动切换到下一个next-hop recursive next-hop（递归下一跳）特性突破了传统下一跳必须是直连路由器下一跳接口IP的限制。

Recursive next-hop可以不是直连网络，只要路由表中有相关的路由可达即可。

一般recursive next-hop不可达，数据将交由路由处理（一般就被默认路由匹配走了）如果在一个route-map列表的同一个序列中同时使用ip next-hop及ip next-hop recursive，则ip next-hop 有效。

如果ip next-hop 挂了，则启用ip next-hop recursive，如果ip next-hop recursive和ip next-hop 都挂了，则丢给路由表处理。

注意：一个route-map序列，只允许配置一个ip next-hop recursive2. set ip next-hop verify-availability [ next-hop-address sequence track object ]检测下一跳的可达性，默认是关闭的Sequence of next hops. The acceptable range is from 1 to 65535.此条命令可以下列方式使用：●在PBR环境下使用CDP检测下一跳IP可达性（不加后面的可选参数）使用该特性可能会一定程度上降低设备性能，另外必须保证自己以及邻居路由器接口CDP都是开启的，最后过程交换及CEF都支持该特性，但dCEF不支持。

该特性借助设备的CDP表来判断下一跳的可达性，如果本端开启了该特性，next-hop设备不支持CDP，则切换至下一个next-hop，如果没，则跳过PBR如果本端没开启该特性，那么数据包要么被成功策略路由，要么永远无法正常路由出去（被丢弃）如果仅仅想检测部分next-hop设备的可达性，则可以配置不同的route-map条目，来选择性的使用该特性（同一个route-map）。

策略路由（Policy-Based Routing, PBR）允许网络管理员根据数据包的特定属性（如源地址、目的地址、端口号或协议类型）来控制数据包的转发路径，而不是仅仅依赖传统的基于目的IP地址的路由表。

策略路由的配置格式在不同的路由器和网络设备上可能有所不同，但一般遵循以下基本格式：1. 定义分类器（Classifier）：分类器用于匹配特定的数据流。

它可以基于多种参数，如源地址、目的地址、端口号、协议类型等来识别数据包。

classifier <match-criteria>-<match-criteria>` 是匹配数据流的规则，可以包括多种条件组合。

2. 定义动作（Action）：动作定义了当数据包匹配分类器规则时应该执行的操作，通常是指定一条新的下一跳路由或更改数据包的某些属性。

action <next-hop|route-map|policy>-<next-hop>` 是指定的下一跳地址。

-<route-map>` 是指向另一个路由映射表的引用，用于进一步处理数据包。

-<policy>` 是指向另一个策略路由的引用。

3. 应用策略：将定义好的策略应用到特定的接口上。

interface <interface-type> <interface-number>ip policy <classifier-name>-<interface-type>` 和<interface-number>` 指定了要应用策略的接口。

-<classifier-name>` 是前面定义的分类器的名称。

例如，一个策略路由的配置可能如下所示：classifier type ip match source-address A mask Baction log prefix "PBR-Match"action next-hop Cip policy classifier PBR-Matchinterface GigabitEthernet0/0ip policy PBR-Match这个例子中，所有源地址为A且子网掩码为B的数据包都会被标记并通过下一跳C转发。