使用PBR实现策略路由
Junier PBR配置
Juniper 防火墙策略路由PBR配置手册目录一、网络拓扑图二、建立extended acl三、配置match group四、配置action group五、配置policy六、配置policy binding七、配置访问策略要求:1、默认路由走电信;2、源地址为192.168.1.10的pc访问电信1.0.0.0/8的地址,走电信,访问互联网走网通。
二、建立extended acl1、选择network---routing---pbr---extended acl list,点击new添加:Extended acl id:acl编号Sequence No:条目编号源地址:192.168.1.10/32目的地址:1.0.0.0/8Protocol:选择为any端口号选择为:1-65535点击ok2、点击add seg No.再建立一条同样的acl,但protocol为icmp,否则在trace route的时候仍然走默认路由:3、建立目的地址为0.0.0.0的acl:切记添加一条协议为icmp的acl,命令行:set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 protocol icmp entry 20set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 protocol icmp entry 20三、配置match group:1、network---routing---pbr---match group,点击add:Match group的作用就是关联acl按照同样的方法将两个acl 进行关联:命令行:set match-group name group_10set match-group group_10 ext-acl 10 match-entry 10 set match-group name group_20set match-group group_20 ext-acl 20 match-entry 10四、配置action group1、network---routing---pbr---action group,点击add:在这里指定下一跳接口和地址。
策略路由(PBR).
R1(config)#route-map PBR permit 10 R1(config-route-map)#match length 64 100 R1(config-route-map)#set interface Serial0/0/0 R1(config)#route-map PBR permit 20 R1(config-route-map)#match length 101 1000 R1(config-route-map)#set interface Serial0/0/1 R1(config)#interface GigabitEthernet0/0 R1(config-if)#ip policy route-map PBR R1(config)#ip local policy route-map PBR R1# show ip policy Interface Route map local PBR Gi0/0 PBR
5
谢谢!
6
•
路由器不仅能够根据目的地址而且能够根据协议类型、数据包大
小、应用或IP源Biblioteka 址来转发数据包。•策略路由的策略由路由映射图来定义。
2
PBR逻辑操作流程
进入数据包
入接口有应用 route map?
No
Yes
匹配route map陈述后, 行为是deny ? No
Yes
正常转发数据包
R1
匹配route map陈述后, 行为是 permit?
Yes
执行相应的set命 令
3
route-map 定义策略和应用策略
Router(config)#
route-map map-tag [permit | deny] [sequence-number]
思科CCNP认证PBR策略路由与BGP协议详解
思科CCNP认证PBR策略路由与BGP协议详解本⽂讲述了思科CCNP认证PBR策略路由与BGP协议。
分享给⼤家供⼤家参考,具体如下:PBR——策略路由定义:通过流量策略来执⾏选路的⼀种转发⼿段。
控制层⾯——给路由的转发做指导数据层⾯——在路由表中找到路由的出接⼝或者下⼀跳传统的路由表转发只能通过数据的⽬标地址做策略。
策略路由可以根据源地址、⽬的地址、源端⼝、⽬的端⼝、协议、TOS等流量特征来做决策提供路由——灵活性⾼,但速度慢,需要⼀个⼀个抓,操作相对⿇烦。
路由表与策略路由的关系:策略路由是先于路由表执⾏的,策略路由没有捕获的流量依然会去执⾏路由表。
两种配置:1:接⼝下配置access-list 100 permit ip host 1.1.1.1 any //⽤ACL捕获流量route-map pbr permit 10 //定义route-mapnatch ip address 10 //调⽤被ACL捕获的流量set ip next-hop 10.1.1.1 //设置下⼀跳int f0/1ip policy route-map pbr //接⼝下调⽤只能捕获该接⼝的⼊接⼝流量做策略(不能处理本路由器产⽣的流量)。
2:全局配置access-list 100 permit ip host 1.1.1.1 any //⽤ACL捕获流量route-map pbr permit 10 //定义route-mapmatch ip address 10 //调⽤被ACL捕获的流量set ip next-hop 10.1.1.1 //设置下⼀跳ip local policy route-map pbr能够捕获所有接⼝⼊接⼝流量以及本路由器产⽣的流量(源地址是本路由器地址)3:策略路由的冗余设置route-map pbr permit 10match ip address 1ip next-hop verify-availability 10.1.24.2 1 track 1 //track 成功则本条⽣效,track失败则执⾏下⼀条set语句track ip next-hop 10.1.34.3track 1 ip sla 1 //定义⼀个track监控sla的探测结果ip sla 1 //定义⼀个slaip icmp-echo 10.1.12.1 source-ip 10.4.4.4 //设置其探针ip sla schedule 1 life forever start-time now //设置sla 1的执⾏时间4:default 语句在route-map的set ip default这个位置输⼊,定义被捕获的流量为先查路由表。
PBR (policy-Based routing,策略路由)总结
一:PBR的功能介绍1:PBR可以用于路由重新分配。
基于PBR我们可以在重新分配路由时有选择的重分配。
(当然还有其它手段passive-interface,distribute-list,还有route-map实现)。
一般来说,PBR是通过路由映射来配置的(route-map)。
2:影响下一跳。
PBR在大规模边界网关协议BGP的运行中,是一个最必不可少的工具。
传统的路由策略来自由路由协议计算出来的路由表。
路由器只能根据报文的目的地址进行数据转发,不能提供有差别的服务。
基于策略的路由可以基于数据包的源地址,甚至是源地址,目的地址,源端口,目的端口,四层协议以及报文大小,应用或者其它策略来选择转发路径。
3:设置优先级。
PBR还可以给予外出数据包设置IP优先级位,这样方便了QOS策略。
网络管理员可以根据实际工作的需要,灵活设置PBR机制,实现比传统路由协议更强的路由控制能力。
4:负载平衡。
使用PBR策略路由设置数据包的行为,比如下一跳,出接口等,这样在存在多条链路的情况下,可以根据数据包的应用不同而使用不同的链路,进而提供高效的负载平衡能力。
二:PBR的特点:PBR影响的只是本地的行为,不会干预其它路由器的选路行为,当可以通过设置优先级位来用于其它路由器配置策略。
当路由器进行数据转发时,路由器根据预先设置的策略对数据包进行匹配,如果匹配到一条PBR,就根据该条策略指定的路由进行转发;如果没有匹配到任何策略,就根据路由表的内容对报文进行转发。
常用的PBR配置命令如下所示:route-map map-tag { permit |deny} [sequence number] [定义PBR] match ip address acl-id[匹配ACL-id定义的流量]match length min-byte max-byte[匹配报文大小为min-byte到max-byte 大小的流量]set ip next-hop ip-address [设置数据包下一条地址]set ip default next-hop ip-address [设置数据包下一条地址]set ip precedence [number|name] [设置IP数据包优先级]set interface slot/number[设置出接口]set default interface slot/number [设置出接口]ip policy route-map map-tag [在接口下应用PBR]ip local policy route-map map-tag [对本地路由器产生的数据包执行PBR]说明:这里要注意set ip next-hop与set ip default next-hop、set interface 与set default interface这两对语句的区别,不含default的语句,是不查询路由表就转发数据包到下一跳IP或接口,而含有default的语句是先查询路由表,在找不到精确匹配的pbr策略路由条目时,才转发数据包到default语句指定的下一跳IP或接口。
pbr(策略路由)的几种使用方式
【简介】PBR(策略路由)以前是CISCO用来丢弃报文的一个主要手段。
比如:设置set interface null 0,按CISCO说法这样会比ACL的deny要节省一些开销。
注:PBR(策略路由)以前是CISCO用来丢弃报文的一个主要手段。
比如:设置set interface null 0,按CISCO说法这样会比ACL的deny要节省一些开销。
这里我提醒:interface null 0no ip unreachable//加入这个命令这样避免因为丢弃大量的报文而导致很多ICMP的不可达消息返回。
三层设备在转发数据包时一般都基于数据包的目的地址(目的网络进行转发),那么策略路由有什么特点呢?1、可以不仅仅依据目的地址转发数据包,它可以基于源地址、数据应用、数据包长度等。
这样转发数据包更灵活。
2、为QoS服务。
使用route-map及策略路由可以根据数据包的特征修改其相关QoS项,进行为QoS服务。
3、负载平衡。
使用策略路由可以设置数据包的行为,比如下一跳、下一接口等,这样在存在多条链路的情况下,可以根据数据包的应用不同而使用不同的链路,进而提供高效的负载平衡能力。
策略路由影响的只是本地的行为,所以可能会引起“不对称路由”形式的流量。
比如一个单位有两条上行链路A与B,该单位想把所有HTTP流量分担到A链路,FTP流量分担到B链路,这是没有问题的,但在其上行设备上,无法保证下行的HTTP流量分担到A链路,FTP流量分担到B链路。
策略路由一般针对的是接口入(in)方向的数据包,但也可在启用相关配置的情况下对本地所发出的数据包也进行策略路由。
本文就策略路由的以下四个方面做相关讲解:1、启用策略路由2、启用Fast-Switched PBR3、启用Local PBR4、启用CEF-Switched PBR启用策略路由:开始配置route-map。
使用route-map map-tag [permit deny] [sequence-number]进入route-map的配置模式。
LAB配置策略路由PBR
05
lab配置策略路由pbr总结
实验收获
深入理解了策略路由PBR的实现原理
01
通过配置策略路由,可以实现数据包根据特定规则进行路由,
提升了网络的灵活性和可扩展性。
学会了Lab配置方法
02
在实验中采用Lab配置方式,可以更加直观地展示网络设备的
配置过程,提高配置效率。
掌握VPC的配置和调试技巧
03
通过实验,熟悉了VPC的配置和调试技巧,可以更好地应对复
杂网络场景。
实验不足之处
实验过程中没有考虑到负载均衡的问题
在实验过程中,没有对负载均衡进行详细的研究和配置,导致网络设备在高负载 时可能出现性能瓶颈。
实验环境与实际场景的差异
由于实验环境的限制,实验中使用的网络拓扑和设备型号可能与实际场景存在差 异,影响实验结果的可推广性。
交换机
02
Cisco 3750,具备高性能、灵活性和可扩展性,支持二层和三
层功能。
PC机
03
运行Windows或Linux操作系统的计算机,用于网络配置和测
试。
02
策略路由基本概念
什么是策略路由
策略路由是一种网络路由技术,它可以根据不同的路由策略 将数据包从一个网络转发到另一个网络。
策略路由可以根据数据包的目的地址、源地址、传输协议等 因素来选择不同的路由路径,从而实现更加灵活和智能的路 由控制。
未来改进方向
完善负载均衡的配置
在未来的实验中,可以深入研究负载均衡的配置方法,实现网络设备的负载均衡,提高网 络设备的性能表现。
丰富实验环境和拓扑
可以尝试使用更多种类的网络设备和应用场景,丰富实验环境和拓扑,提高实验结果的可 推广性。
神州数码策略路由(PBR)配置
VRF ID: 0
S
192.168.0.0/24
C
192.168.1.0/24
C
192.168.2.0/24
第五步:测试
[1,0] via 192.168.1.1
!返回的数据包的路由
is directly connected, Serial1/0
is directly connected, FastEthernet0/0
Router-A#no debug all
七、 注意事项和排错
1. 注意是源地址匹配的路由 2. 绑定在源数据包的接口上
八、 配置序列
Router-A#sh run Building configuration...
Current configuration: ! !version 1.3.2E service timestamps log date service timestamps debug date no service password-encryption ! hostname Router-A ! ! ! ! ! ! ! interface FastEthernet0/0
Hale Waihona Puke 六、 实验步骤第一步:参照实验三,配置所有接口地址和 PC 地址,并测试连通性 第二步:配置路由器 A
Router-A_config#ip access-list standard net1
!定义 ACL
Router-A_config_std_nacl#permit 192.168.0.10 255.255.255.255 !设置需要进行策略路由的源地址
实验三十九、策略路由(PBR)配置
一、 实验目的
1. 掌握策略路由的配置 2. 理解策略路由的原理
路由策略
策略路由PBR:policy base routing 。
基于策略的路由,控制数据包实验目的:了解策略路由的应用实验拓扑:实验环境:整个Top属于OSPF area0,R1上的环回口1.1.1.1,R5上的环回口192.168.1.5和192.168.1.6,控制192.168.1.5走R3-R4-R1,控制192.168.1.6走R3-R2-R1实验配置:在R3上查看OSPF路由表,发现到1.1.1.1的路由有两条路查看配置之前1.5和1.6的路径R3:配置ACL配置策略路由,让1.5从R4走,让1.6从R2走在R5上tracert发现没有效果,在模拟器上做策略路由是没有效果的如何控制次优路径,避免环路的产生实验目的:了解route-policy的应用,了解import-route的应用实验原理:ISIS中通过tag标记来标识路由,并通过route-policy来拒绝tag,控制次优路径;ospf中通过更改cost值来控制次优路径。
实验现象:R1上只有3.3.3.3的网段为负载均衡,其他网段路由表中只有一条路由(通过route-policy 拒绝tag来控制次优路径);R3上只有1.1.1.1网段为负载均衡,其他网段路由表中只有一条路由(通过route-policy 更改cost值来控制次优路径)实验拓扑:实验环境:R1、R2、R4之间运用ISIS协议,R2、R3、R4之间运用OSPF协议。
R2和R4为level-1-2实验配置:配置基础命令:R1:配置ISIS配置ip地址,并把每个接口加入isis查看路由表R2:配置ISIS配置OSPF配置IP地址,接口g0/0/1属于ospf,其余接口属于ISIS配置完成后查看路由表,能从OSPF和ISIS学习到所有的路由条目R3:3.3.3.3作为外部路由引入配置策略路由配置ospf配置IP地址查看路由表R4:配置ISIS配置OSPF配置IP地址,G0/0/0属于OSPF,其余接口属于ISIS配置完成后查看路由表,能从OSPF和ISIS学习到所有的路由条目配置策略需要双向引入:在R2上ospf中引入isis,并做策略i-2-o;isis中引入ospf,并做策略o-2-i在R4上ospf中引入isis,并做策略i-2-o;isis中引入ospf,并做策略o-2-i配置ACL,2000作用于192.168.12.0网段的次优路径(R3上查看),2001作用于192.168.23.0网段的次优路径(R1上查看),2002作用于2.2.2.2的次优路径(R3上查看)Acl指的是对端的ip地址,若4.4.4.4控制次优路径,必须在R2上配置查看R1的路由表在没配置route-policy之前,查看R3的路由表,发现出现了次优路径。
LAB配置策略路由PBR
测试法
在配置策略路由之前和之后,分别进行网络性能测试,比较测试结果
以验证配置的效果。
结果展示与分析
性能提升
负载均衡
安全增强
灵活控制
通过策略路由的配置,网络性能 得到显著提升,响应时间缩短, 吞吐量增加。
策略路由可以实现网络流量的负 载均衡,提高网络资源利用率, 降低单台服务器的负载。
通过策略路由,可以实现网络流 量的安全控制,有效防范网络攻 击,增强网络安全性能。
网络拓扑
Lab环境
实验环境包括两个汇聚层交换机、两个接入层交换机、两个汇聚层路由器和 一个核心路由器。
网络拓扑结构
核心路由器通过汇聚层路由器与两个汇聚层交换机相连,每个汇聚层交换机 下面连接两个接入层交换机,每个接入层交换机下面连接三个PC,共计24个 PC。
02
lab配置
配置物理接口
1 2
连接性
lab配置策略路由pbr
xx年xx月xx日
目 录
• 实验环境及网络拓扑 • lab配置 • pbr实验 • 策略路由实验 • 结果验证与分析 • 总结与展望
01
实验环境及网络拓扑
实验环境
CentOS
操作系统采用CentOS,需要安装所需的网络管理工具和命 令行工具。
Vmware ESXi
虚拟化平台使用Vmware ESXi,创建虚拟机并配置网络连接 。
设备配置
网络连接配置:配置各设备之间的网络连接关系,包 括IP地址、子网掩码、网关等。
pbr配置流程
确定路由策略
明确数据包的源、目的地址和传输协议,以及相 应的路由策略。
配置策略路由
根据路由策略,配置数据包转发的下一跳地址或 传输协议。
策略路由(PBR)配置
策略路由(PBR)配置原理:PBR依据策略进行路由,而不是路由协议,目前支持的策略有:IP报文大小,源IP 地址,本例使用源IP地址过程:路由器R1只配置策略不配置路由,R2配置路由目的:PC1可以PING通PC2,PC2也可以PING通PC1,但PC2却PING不通R1的S1/1端口和F0/0端口,路由器R1没有192.168.2.0路由配置好各接口IP定义ACLR1(config)#ip access-list standard net1设置需要进行策略路由的源地址R1(config-std-nacl)#permit 192.168.0.10 255.255.255.255定义route-map,名为pbrR1(config)#route-map pbr permit 10设定源地址R1(config-route-map)#match ip address net1设置下一跳地址R1(config-route-map)#set ip next-hop 192.168.1.2进入源地址的路由器接口R1(config)#interface fastEthernet 0/0绑定route-mapR1(config-if)#ip policy route-map pbr路由器R2的配置添加静态路由R2(config)#ip route 192.168.0.0 255.255.255.0 192.168.1.1测试:查看路由R1#show ip routeC 192.168.0.0/24 is directly connected, FastEthernet0/0 C 192.168.1.0/24 is directly connected, Serial1/1没有到192.168.2.0的路由R2#show ip routeS 192.168.0.0/24 [1/0] via 192.168.1.1C 192.168.1.0/24 is directly connected, Serial1/0C 192.168.2.0/24 is directly connected, FastEthernet0/0检查所应用的策略路由R1#show ip policyInterface Route mapFa0/0 pbrR1#show route-maproute-map pbr, permit, sequence 10Match clauses:ip address (access-lists): net1Set clauses:ip next-hop 192.168.1.2Policy routing matches: 35 packets, 4180 bytes。
PBR 策略路由policy-based routing
PBR策略路由policy-based routing用 route-map 调用 match ACL 做 set比传统路由能力更强优于路由表强制性的经过路由器的流量进行控制1.应用于入站方向的数据包2.本地路由器产生的流量不仅能根据数据源地址执行策略而且协议类型、报文大小长度、应用或IP源地址针对DATA IP流量匹配与不匹配没有干掉不干掉access-list 1 permit 192.168.1.0 0.0.0.255 //学生网段access-list 2 permit 192.168.2.0 0.0.0.255 //老师网段//0.0.0.255表示匹配的是数据否则不加就变成匹配网段route-map test permit 10matchip add 1set ip next-hop ISP1吓一跳route-map test permit 20matchip add 2setip int f0/1int f0/0 //入接口上应用route-mapip policy route-map test只要做了PBR 优先级高于传统路由强制set设定分组的吓一跳IP 必须为直连IPset ip next-hop ip-address[IP-A、IP-B] //优选第一个A、第一个down掉跳转第二个B setint f0/0相似ip route...对端IP/出接口接口下入方向的流量对入接口的流量生效,对本地始发的流量无效(config-if)#ip policy route-map map-tag(name)全局下对本地始发流量生效(本地路由器产生的流量)(config)#ip local policy route-map map-tag场景1PBR ACL匹配走PBR 不匹配查找路由表setip next-hop 192.168.13.1 192.168.23.2 debugipicmp场景2:检测下一跳可达性借助CDP查看下一跳存活性不适用加上一条set ip next-hop verify-availability//需借助CDP 同一个route-map的路由器下都要配置当R1CDP表被抹去的时候 GW切换到R2access-list 1 deny anyint s0/0ip access-group 1 in //模拟R1接口失效不接收route-map test per 10setip next-hop 10.1.1.2 10.2.2.2setip next-hop verify-availabilityclearcdp tableshcdpnei场景3:不需要借助CDP执行本地PBR设备要CISCO设备CISCO IOS IP SLAs端到端可达性(感觉不到对端down了)ICMP UDP TCP DHCP HTTP检测接口:SLA定义sla monitor 分别对应2个track对象ipsla monitor responder //增强命令ipsla monitor 1 //创建monitor 1type echo protocol ipicmpEcho 10.1.1.2 source-ipaddr 10.1.1.1(source-interface f1/0) timeout 3000 frequency 10// icmp echo协议目的源超时时间频率源去ping目的ipsla monitor schedule 1 life forever start-time now//设置立即启动一直生效track 1 rtr 1 reachability //绑定到track对象上可进行调用下一跳access-list 1 permit anyroute-map test permit 10matchip add 1set ip next-hop verify-availability 10.1.1.2 10 track 1 //跟踪10.1.1.2检测setip next-hop verify-availability 10.2.2.2 20 track 2//解释分别关联2个SLA当track1成立时进入接口的数据包强制扔给R1当R1挂掉或接口失效或接口配置ACL干掉了报文会自动切换到R2场景4不是本地直连的下一跳IP递归下一跳本地要有路由去往远端网络下下一跳才可使用access-list 1 permit anyroute-map PBR permit 10matchip add 1set ip next-hop 10.2.2.2 //流量进入强制送这里10.2.2.2set ip next-hop recursive 10.1.12.2//当上面接口down 流量切换到递归地址查找下面的路由表---------ip route 10.1.12.0 255.255.255.0 10.1.1.2//设置到递归下一跳10.1.12.2的静态路由ip route 0.0.0.0 0.0.0.0 int s0/0 //最后往这送: 路由挂掉 route-map失效优先传统下一跳当挂掉切换到递归下一跳传统的路由进行转发没有路由丢弃set ip default next-hop 1.1.1.1优先级高于默认路由低于静态(明细)路由ip route 1.1.1.0 255.255.255.0 10.1.23.3。
PBR实验
路由综合实验:PBR的部署实施一、实验目的:(1)掌握PBR的配置并实现路由选路(2)深入理解PBR的原理(3)结合ACL理解路由器的体系结构及选路原理(4)体会高级路由控制在实际工程中的应用二、拓扑结构:三、实验步骤(1)链路配置:对照拓扑图依次对R1、R2、R3、R4作链路配置,配置完毕查看接口状态.注意:对R2、R3的S0/1配置100的cost值,S0/2配置200的cost值,构建备份链路。
本实验的直接目的是使R1的172.16.1.0网段与R4的4.4.4.4互访时经过192.168.2.4网段,即通过备份链路来通信,途径192.168.2.6和192.168.2.5。
实验中用ping来模拟二者的互访过程。
R2(config)#inter s0/1R2(config-if)#ip ospf cost 100R2(config)#inter s0/2R2(config-if)#ip ospf cost 200R1(config)#do show ip inter brInterface IP-Address OK? Method Status Protocol Serial0/0 192.168.1.1 YES NVRAM up up Serial0/1 unassigned YES NVRAM administratively down downSerial0/2 unassigned YES NVRAM administratively down down Serial0/3 unassigned YES NVRAM administratively down down Ethernet1/0 172.16.1.10 YES NVRAM up up Ethernet1/1 172.16.2.20 YES NVRAM up up Ethernet1/2 unassigned YES NVRAM administratively down down Ethernet1/3 unassigned YES NVRAM administratively down down (2)配置OSPF路由:依照拓扑图对路由器进行多区域的OSPF路由配置R1(config)#router ospf 1R1(config-router)#router-id 192.168.1.1R1(config-router)#network 172.16.1.0 0.0.0.255 a 1R1(config-router)#network 172.16.2.0 0.0.0.255 a 1R1(config-router)#network 192.168.1.0 0.0.0.3 a 1R1(config-router)#passive-inter e1/0R1(config-router)#passive-inter e1/1R2(config)#router ospf 1R2(config-router)#router-id 192.168.2.5R2(config-router)#network 192.168.1.0 0.0.0.3 a 1R2(config-router)#network 192.168.2.0 0.0.0.3 a 0R2(config-router)#network 192.168.2.4 0.0.0.3 a 0R3(config)#router ospf 1R3(config-router)#router-id 192.168.3.1R3(config-router)#network 192.168.2.0 0.0.0.3 a 0R3(config-router)#network 192.168.2.4 0.0.0.3 a 0R3(config-router)#network 192.168.3.0 0.0.0.3 a 2R4(config)#router ospf 1R4(config-router)#router-id 4.4.4.4R4(config-router)#network 4.4.4.0 0.0.0.255 a 2R4(config-router)#network 3.3.3.0 0.0.0.255 a 2R4(config-router)#network 192.168.3.0 0.0.0.3 a 2R1(config-router)#passive-inter lo 10R1(config-router)#passive-inter lo 20配置完毕查看路由表:R1(config)#do show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static routeGateway of last resort is not set3.0.0.0/32 is subnetted, 1 subnetsO IA 3.3.3.3 [110/193] via 192.168.1.2, 00:25:30, Serial0/04.0.0.0/32 is subnetted, 1 subnetsO IA 4.4.4.4 [110/193] via 192.168.1.2, 00:25:30, Serial0/0172.16.0.0/24 is subnetted, 2 subnetsC 172.16.1.0 is directly connected, Ethernet1/0C 172.16.2.0 is directly connected, Ethernet1/1192.168.1.0/30 is subnetted, 1 subnetsC 192.168.1.0 is directly connected, Serial0/0192.168.2.0/30 is subnetted, 2 subnetsO IA 192.168.2.0 [110/128] via 192.168.1.2, 00:27:37, Serial0/0O IA 192.168.2.4 [110/264] via 192.168.1.2, 00:27:37, Serial0/0192.168.3.0/30 is subnetted, 1 subnetsO IA 192.168.3.0 [110/192] via 192.168.1.2, 00:25:51, Serial0/0(3)分别在R2和R3的S0/0上配置实施PBRR2(config)#access-list 101 permit icmp 172.16.1.0 0.0.0.255 host 4.4.4.4 R2(config)#route-map NET-go permit 10//定义一个NET-go的route-mapR2(config)#match ip address 101//匹配ACL101定义的IP包R2(config)#set ip next-hop 192.168.2.6//指定匹配ACL101的IP包的下一跳 R2(config)#interface Serial0/0R2(config-if)#ip policy route-map NET-go//将PBR应用到接口上查看PBR配置:R2(config)#do show ip policyInterface Route mapSerial0/0 NET-goR3(config)#access-list 101 permit icmp host 4.4.4.4 172.16.1.0 0.0.0.255 R3(config)#route-map NET-back permit 10R3(config)#match ip address 101R3(config)#set ip next-hop 192.168.2.5R3(config)#interface Serial0/0R3(config-if)#ip policy route-map NET-back查看PBR配置:R3#show ip policyInterface Route mapSerial0/0 NET-back(4)调试配置后的运行结果:在R1上采用带源172.16.1.10 ping 4.4.4.4来调试,并用以下方法之一查看结果:①trace route 4.4.4.4 source 172.16.1.10(需要IOS版本支持)②在R2和R3上查看debug 信息R1#ping 4.4.4.4 sour 172.16.1.10Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 4.4.4.4, timeout is 2 seconds:Packet sent with a source address of 172.16.1.10!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 124/148/172 ms在R2和R3上查看debug 信息:R2#debug ip policyPolicy routing debugging is onR2#*Mar 1 00:01:15.291: IP: s=172.16.1.10 (Serial0/0), d=4.4.4.4, len 100, FIB policy match*Mar 1 00:01:15.291: IP: s=172.16.1.10 (Serial0/0), d=4.4.4.4, g=192.168.2.6, len 100, FIB policy routed*Mar 1 00:01:15.435: IP: s=172.16.1.10 (Serial0/0), d=4.4.4.4, len 100, FIB policy match*Mar 1 00:01:15.435: IP: s=172.16.1.10 (Serial0/0), d=4.4.4.4, g=192.168.2.6, len100, FIB policy routed*Mar 1 00:01:15.635: IP: s=172.16.1.10 (Serial0/0), d=4.4.4.4, len 100, FIB policy match*Mar 1 00:01:15.635: IP: s=172.16.1.10 (Serial0/0), d=4.4.4.4, g=192.168.2.6, len 100, FIB policy routed*Mar 1 00:01:15.771: IP: s=172.16.1.10 (Serial0/0), d=4.4.4.4, len 100, FIB policy matchR2#*Mar 1 00:01:15.771: IP: s=172.16.1.10 (Serial0/0), d=4.4.4.4, g=192.168.2.6, len 100, FIB policy routed*Mar 1 00:01:15.883: IP: s=172.16.1.10 (Serial0/0), d=4.4.4.4, len 100, FIB policy match*Mar 1 00:01:15.883: IP: s=172.16.1.10 (Serial0/0), d=4.4.4.4, g=192.168.2.6, len 100, FIB policy routedR3#debug ip policyPolicy routing debugging is onR3#*Mar 1 00:01:12.319: IP: s=4.4.4.4 (Serial0/0), d=172.16.1.10, len 100, FIB policy match*Mar 1 00:01:12.319: IP: s=4.4.4.4 (Serial0/0), d=172.16.1.10, g=192.168.2.5, len 100, FIB policy routed*Mar 1 00:01:12.499: IP: s=4.4.4.4 (Serial0/0), d=172.16.1.10, len 100, FIB policy match*Mar 1 00:01:12.499: IP: s=4.4.4.4 (Serial0/0), d=172.16.1.10, g=192.168.2.5, len 100, FIB policy routed*Mar 1 00:01:12.687: IP: s=4.4.4.4 (Serial0/0), d=172.16.1.10, len 100, FIB policy match*Mar 1 00:01:12.687: IP: s=4.4.4.4 (Serial0/0), d=172.16.1.10, g=192.168.2.5, len 100, FIB policy routed*Mar 1 00:01:12.839: IP: s=4.4.4.4 (Serial0/0), d=172.16.1.10, len 100, FIB policy matchR3#*Mar 1 00:01:12.839: IP: s=4.4.4.4 (Serial0/0), d=172.16.1.10, g=192.168.2.5, len 100, FIB policy routed*Mar 1 00:01:12.943: IP: s=4.4.4.4 (Serial0/0), d=172.16.1.10, len 100, FIB policy match*Mar 1 00:01:12.943: IP: s=4.4.4.4 (Serial0/0), d=172.16.1.10, g=192.168.2.5, len 100, FIB policy routed拓展调试:①在R1上采用带源172.16.1.10 ping 3.3.3.3来调试R1#ping 3.3.3.3 sour 172.16.1.10Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:Packet sent with a source address of 172.16.1.10!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 108/137/220 msdebug信息:R2#*Mar 1 00:05:58.355: IP: s=172.16.1.10 (Serial0/0), d=3.3.3.3, len 100, FIB policy rejected(no match) - normal forwarding*Mar 1 00:05:58.579: IP: s=172.16.1.10 (Serial0/0), d=3.3.3.3, len 100, FIB policy rejected(no match) - normal forwarding*Mar 1 00:05:58.683: IP: s=172.16.1.10 (Serial0/0), d=3.3.3.3, len 100, FIB policy rejected(no match) - normal forwarding*Mar 1 00:05:58.839: IP: s=172.16.1.10 (Serial0/0), d=3.3.3.3, len 100, FIB policy rejected(no match) - normal forwarding*Mar 1 00:05:58.931: IP: s=172.16.1.10 (Serial0/0), d=3.3.3.3, len 100, FIB policy rejected(no match) - normal forwardingR3#*Mar 1 00:05:55.439: IP: s=3.3.3.3 (Serial0/0), d=172.16.1.10, len 100, FIB policy rejected(no match) - normal forwarding*Mar 1 00:05:55.607: IP: s=3.3.3.3 (Serial0/0), d=172.16.1.10, len 100, FIB policy rejected(no match) - normal forwarding*Mar 1 00:05:55.711: IP: s=3.3.3.3 (Serial0/0), d=172.16.1.10, len 100, FIB policyrejected(no match) - normal forwarding*Mar 1 00:05:55.863: IP: s=3.3.3.3 (Serial0/0), d=172.16.1.10, len 100, FIB policy rejected(no match) - normal forwarding*Mar 1 00:05:55.947: IP: s=3.3.3.3 (Serial0/0), d=172.16.1.10, len 100, FIB policy rejected(no match) - normal forwarding②在R1上采用带源172.16.2.20 ping 4.4.4.4来调试R1#ping 4.4.4.4 source 172.16.2.20Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 4.4.4.4, timeout is 2 seconds:Packet sent with a source address of 172.16.2.20!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 144/203/244 ms debug信息:R2#*Mar 1 00:10:44.651: IP: s=172.16.2.20 (Serial0/0), d=4.4.4.4, len 100, FIB policy rejected(no match) - normal forwarding*Mar 1 00:10:44.915: IP: s=172.16.2.20 (Serial0/0), d=4.4.4.4, len 100, FIB policy rejected(no match) - normal forwarding*Mar 1 00:10:45.107: IP: s=172.16.2.20 (Serial0/0), d=4.4.4.4, len 100, FIB policy rejected(no match) - normal forwarding*Mar 1 00:10:45.299: IP: s=172.16.2.20 (Serial0/0), d=4.4.4.4, len 100, FIB policy rejected(no match) - normal forwarding*Mar 1 00:10:45.515: IP: s=172.16.2.20 (Serial0/0), d=4.4.4.4, len 100, FIB policy rejected(no match) - normal forwardingR3#*Mar 1 00:10:41.719: IP: s=4.4.4.4 (Serial0/0), d=172.16.2.20, len 100, FIB policy rejected(no match) - normal forwarding*Mar 1 00:10:41.983: IP: s=4.4.4.4 (Serial0/0), d=172.16.2.20, len 100, FIB policy rejected(no match) - normal forwarding*Mar 1 00:10:42.151: IP: s=4.4.4.4 (Serial0/0), d=172.16.2.20, len 100, FIB policy rejected(no match) - normal forwarding*Mar 1 00:10:42.391: IP: s=4.4.4.4 (Serial0/0), d=172.16.2.20, len 100, FIB policy rejected(no match) - normal forwarding*Mar 1 00:10:42.587: IP: s=4.4.4.4 (Serial0/0), d=172.16.2.20, len 100, FIB policy rejected(no match) - normal forwarding四、技术要点总结:PBR主要用于基于流或源的路由选择,是路由器转发层面的行为。
CISCO 策略路由(PBR)配置实例
CISCO 策略路由(PBR)配置实例时间:2010-02-17 22:56来源:未知作者:admin 点击: 142次策略路由选择可以选择修改下一跳地址以及标记数据包来提供不通的网络服务。
PBR一般用于修改基于源地址的下一跳地址。
推荐实现方式:PBR给于外发IP数据包标记IP优先位,这样方便了实施QoS策略。
一般来说,PBR是通过路由映射来配置的。
看个详细配置实例,你策略路由选择可以选择修改下一跳地址以及标记数据包来提供不通的网络服务。
PBR一般用于修改基于源地址的下一跳地址。
推荐实现方式:PBR给于外发IP数据包标记IP优先位,这样方便了实施QoS策略。
一般来说,PBR是通过路由映射来配置的。
看个详细配置实例,你会更加明白:定义了两个访问列表:10和20,经过配置使来自网络192.168.1.0/24的数据包的下一跳地址改为192.168.100.1;使来自 192.168.2.0/24的数据包的下一跳地址改为192.168.100.2.其他源始发的数据包正常路由。
命令如下:My3377(config)#access-list 10 permit 192.168.1.0 //用访问控制列表先抓取路由My3377(config)#access-list 20 permit 192.168.2.0My3377(config)#route-map nexthop permit 10 //起个名字My3377(config-route-map)#match ip address 10 //匹配一个列表My3377(config-route-map)#set ip next-hop 192.168.100.1 //设置一个策略My3377(config-route-map)#exitMy3377(config)#route-map nexthop permit 20My3377(config-route-map)#match ip address 20My3377(config-route-map)#set ip next-hop 192.168.100.2My3377(config-route-map)#exitMy3377(config)#route-map nexthop permit 30My3377(config)#int s2/1My3377(config-if)#ip policy route-map nexthop //接口下调用My3377(config-if)#exit。
lab:配置策略规划路由pbr
实验6-3:配置策略路由(P B R )【实验目的】:在本次实验中,你将使策略路由(P B R )最大化的控制数据包的处理。
在完成本次实验之后,你需要完成下列任务:• 配置策略路由(PBR )【实验拓扑】:P2PP2MPF0/0 . 2.1 F0/0F0/0 .2.1 F0/0.3 F0/0F0/0 .4S1/0 .3S1/0 .4S1/1 .1.2 S1/1OSPFS1/0S1/0S1/0S1/0FR 123 1 102 – 201 1 103 – 301 1 104 – 401 2 201 – 102 2 203 – 302 2 204 – 402 3 301 – 1033 302 – 203 3 304 – 403 4 401 – 104 4 402 – 204 4 403 - 3044RIP v2注意:图中x为所在机架编号,y为路由器编号。
【实验帮助】:如果出现任何问题,可以向在值的辅导老师提出并请求提供帮助。
【命令列表】:【任务一】:配置PBR配置PRB实验的目的是为了展示能够在配置任意路径中的作用,而不是路由器正常的路由选择过程。
这个实验的目的是假设你想控制源地址为内部路由器(PxR3和PxR4)环回接口的数据包。
通常,数据包从PxR3的环回接口,走出你的实验机架,首先到达PxR1,然后是骨干路由器。
类似,数据从PxR3的环回接口,走回你的实验机架,首先到达PxR2然后是骨干路由器。
在这个实验中,你需要强制源地址为PxR3的环回接口的数据包先通过PxR1然后到达PxR2,最后达到骨干路由器。
源地址为PxR4的环回接口的数据包先通过PxR2,然后到达PxR1,最后达到骨干路由器。
实验过程:第一步:在OSPF路由配置模式下删除重分布列表。
因此BBR2将不会拥有你的环回接口路由。
第二步:在两个边界路由器上,创建一个ACL 2去匹配直接连接的内路路由器的环回接口。
P1R1#show access-listsStandard IP access list 1Standard IP access list 2P1R1#第三步:在边界路由器上,PxR1和PxR2上,创建一个Route-map。
基于策略路由PBR技术介绍
9
apply子句的配置
操作 设置报文的优先级
Apply子句配置命令(PBR视图下) apply ip-precedence { type | value }
设置报文的发送接口
设置报文的下一跳
设置报文缺省发送接 口 设置报文缺省下一跳
[Router] policy-based-route policy-name [ deny | permit ] node node-number
配置if-match子句
[Router-pbr-aaa] if-match { 匹配规则 }
配置apply子句
[Router-pbr-aaa] apply { 动作 }
显示PBR的统计信息
[Router] display ip policy-based-route statistics
11
目录
PBR概述 PBR配置与查看 PBR的应用
基于源地址的PBR应用
[RTA] policy-based-route aaa permit node 5 [RTA-pbr-aaa-5] if-match acl 3101 [RTA-pbr-aaa-5] apply output-interface serial 2/0 [RTA] policy-based-route aaa permit node 10 [RTA-pbr-aaa-10] if-match acl 3102 [RTA-pbr-aaa-10] apply output-interface serial 2/1 [RTA-GigabitEthernet0/0]ip policy-based-route aaa
DCN-ROUTE-009-策略路由(PBR)v1.2
20
转发策略
set default interface
RouterA配置: 第一步,配置接口IP地址: config# interface FastEthernet0/0 config_if# ip address 10.1.1.1 255.255.255.0 config# interface FastEthernet0/1 config_if# ip address 20.1.1.1 255.255.255.0 config# interface FastEthernet0/2 config_if# ip address 192.168.1.1 255.255.255.0 第二步,配置到LOOPBACK0的静态路由 config# ip route 172.168.0.0 255.255.255.0 10.1.1.2 config# ip route 172.168.0.0 255.255.255.0 20.1.1.2
14
匹配举例—Route-map演示 匹配举例—Route-map演示
Route-map demo permit 10 Match x Set a Route-map demo permit 20 Match y Set b RouБайду номын сангаасe-map demo permit 30
15
匹配举例—“demo”的解释 匹配举例—“demo”的解释
If (x matches) then set a Else If y matches then set b Else Set nothing
策略路由PBR命令详解
策略路由PBR命令详解1 命令汇总1. set ip next-hop{ ip-address [...ip-address] | recursive ip-address }允许写多个下一跳IP,但这些IP必须是直连路由器的接口IP如果定义了多个下一跳IP,则当第一个下一跳关联的本地出接口DOWN掉,则自动切换到下一个next-hop recursive next-hop(递归下一跳)特性突破了传统下一跳必须是直连路由器下一跳接口IP的限制。
Recursive next-hop可以不是直连网络,只要路由表中有相关的路由可达即可。
一般recursive next-hop不可达,数据将交由路由处理(一般就被默认路由匹配走了)如果在一个route-map列表的同一个序列中同时使用ip next-hop及ip next-hop recursive,则ip next-hop 有效。
如果ip next-hop 挂了,则启用ip next-hop recursive,如果ip next-hop recursive和ip next-hop 都挂了,则丢给路由表处理。
注意:一个route-map序列,只允许配置一个ip next-hop recursive2. set ip next-hop verify-availability [ next-hop-address sequence track object ]检测下一跳的可达性,默认是关闭的Sequence of next hops. The acceptable range is from 1 to 65535.此条命令可以下列方式使用:●在PBR环境下使用CDP检测下一跳IP可达性(不加后面的可选参数)使用该特性可能会一定程度上降低设备性能,另外必须保证自己以及邻居路由器接口CDP都是开启的,最后过程交换及CEF都支持该特性,但dCEF不支持。
该特性借助设备的CDP表来判断下一跳的可达性,如果本端开启了该特性,next-hop设备不支持CDP,则切换至下一个next-hop,如果没,则跳过PBR如果本端没开启该特性,那么数据包要么被成功策略路由,要么永远无法正常路由出去(被丢弃)如果仅仅想检测部分next-hop设备的可达性,则可以配置不同的route-map条目,来选择性的使用该特性(同一个route-map)。
Lab配置策略路由PBR
案例二:云服务提供商的流量优化
总结词
利用PBR策略,提高云服务提供商的网络 性能和用户体验。
VS
详细描述
云服务提供商需要为用户提供高效、稳定 的网络服务。通过PBR策略,可以根据用 户需求和网络状况动态调整流量路径,优 化网络资源利用率。同时,可以识别并隔 离异常流量,减少对正常业务的影响,提 高用户满意度。
挑战
随着网络规模的扩大和复杂度的提升,PBR 的部署和维护难度逐渐增加,需要解决一系 列技术和管理难题。
THANKS
谢谢您的观看
02
03
配置动作
根据匹配条件,配置相应的动作,如 重定向目的IP地址、重定向端口、修改 TTL值等。
验证配置
测试连通性
01
通过ping命令或其他工具测试网络的连通性,确保配
置正确。
检查路由表
02 查看设备的路由表,确保策略路由和PBR规则已正确
应用。
监控流量
03
使用抓包工具或网络监控工具,监控经过策略路由和
PBR简介
01
02
03
PBR(Policy-Based Routing) 是一种路由策略技术,它允许管 理员根据特定的策略和条件来控 制数据包的路由路径。
PBR可以根据源IP地址、目的IP 地址、应用协议、端口号等条件 来制定路由策略,实现更加灵活 和细粒度的路由控制。
PBR可以与传统的路由协议(如 BGP、OSPF等)结合使用,提 供更加智能和高效的路由选择。
PBR规则的数据包,确保规则生效。
03
Lab配置策略路由PBR的案例分 析
案例一:企业网络流量管理
总结词
通过PBR策略,优化企业网络流量,提高网络性能。
PBR(基于策略的路由)
PBR(基于策略的路由)通常我们在路由器上启用动态路由协议动态地学习网络拓扑,这样我们可能会遇到这样的安全问题,当一台非授权的网络设备接入网络,并发布路由协议更新时,有可能会使网络内的设备动态的产生错误的路由条目,从而造成数据包的丢失或者被路由到了错误的地方。
本文就来为大家介绍基于策略的路由(PBR)PBR(基于策略的路由)概述基于策略的路由(PBR)是一种灵活的数据包路由转发机制。
通过在路由器上应用策略路由,使路由器根据路由映射(route-map)决定经过路由器的数据包如何处理。
路由映射决定了一个数据包的下一跳转发路由器。
在路由器上应用策略路由,必须要指定策略路由使用的路由映射(route-map),并且要创建路由映射。
一个路由映射由很多条策略组成,每个策略都定义了1个或多个匹配规则和对应操作。
一个接口应用策略路由后,将对该接口收到的所有包进行检查,不符合路由映射中所定义的数据包将会被按照正常路由转发进行处理,符合路由映射中的策略的数据包,就按照策略中定义的操作进行处理。
策略路由主要应用在企业路由表复杂或者需要对路由进行控制的情况下,特别是当企业网络出口有两条,需要对不同服务和应用或者不同客户端的路由进行控制时,当然企业内部运行两个网络或者更多的网络时也经常要用到路由策略;另外,策略路由除了应用在非正常的路由选路之外,它还可以用来防止病毒或黑客的攻击,使用条件语句将病毒或攻击的特征码匹配出来,然后再指定一个安全策略(如使用黑洞路由)将攻击阻断.黑洞路由是对动态路由选择协议的一个补充。
黑洞路由可以将不想要的流量转发到一个称为null0的接口中去。
我们可以建立一条或一些静态路由,将精确匹配这些路由的流量丢弃。
和ACL不同的是,Cisco IOS的所有交换过程,包括CEF,都能处理黑洞路由,而不降低性能。
需要注意的是,PBR技术不支持配置了PBR的路由器始发流量和到达该路由器的流量。
PBR(基于策略的路由)实例解析下面我们就以一个试验来描述策略路由的阻断流量的功能。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
使用PBR实现策略路由
实
验
报
告
一、实验目标:
1、掌握如何配置使用PBR实现基于源地址的策略路由;
2、掌握如何配置使用PBR实现基于业务类型的策略路由。
二、实验组网图:
三、实验目的:
在路由器上配置双出口,并配置基于源地址的PBR,对PCA和PCB发出的报文通过不同的接口转发;再配置基于报文大小的PBR,对于PC发出的不同大小的报文经不同的出口进行转发。
四、实验过程:
实验任务:PBR基本配置
1、建立物理连接
按照实验组网图进行连接,并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。
如果配置不符合要求,请在用户模式下擦除设备中的配置文件,然后重启设备以使系统采用缺省的配置参数进行初始化。
以上步骤可能会用到以下命令:
<RTA> display version
<RTA> reset saved-configuration
<RTA> reboot
2、IP地址配置
IP地址列表
(按上表所示在PC及路由器上配置IP地址)
3、路由配置
在RTA 、RTB上配置OSPF单区域。
RTA的配置命令:
[RTA]ospf
[RTA-ospf-1]area 0
[RTA-ospf-1-area-0.0.0.0]network 192.168.0.0 0.0.0.255
[RTA-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.3
[RTA-ospf-1-area-0.0.0.0]network 192.168.1.4 0.0.0.3
RTB的配置命令:
[RTB]ospf
[RTB-ospf-1]area 0
[RTB-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[RTB-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.3
[RTB-ospf-1-area-0.0.0.0]network 192.168.1.4 0.0.0.3
配置完成后,查看路由表,结果如下图:
因为GE0/1接口带宽大于S5/0接口带宽,所以在路由表中,到路由192.168.2.0/24的出接口是GE0/1。
4、配置基于源地址的PBR
配置OSPF后,去往网络192.168.2.0/24的所有报文都从接口GE0/1发送。
通过配置基于源地址的PBR,可以使路由器对来自特定源的报文从指定接口发送。
在RTA上配置PBR,将来自PCA(192.168.0.2)的报文从接口S5/0转发,其它报文经普通路由转发。
请在下面填入配置RTA的命令:
[RTA]acl number 3000
[RTA-acl-adv-3000]rule permit ip source 192.168.0.2 0
[RTA]policy-based-route abc permit node 5
[RTA-pbr-abc-5]if-match acl 3000
[RTA-pbr-abc-5]apply output-interface Serial 5/0
[RTA-GigabitEthernet0/0]ip policy-based-route abc
配置完成后,在PCA上用Ping命令来发送到网络
192.168.2.0/24的报文,结果如下图:
为了观察PBR的效果,在RTA的G0/0上取消快速转发功能,并使用命令display ip policy-based-route statistics查看是否有报文被PBR所转发。
可以看到,PBR起了作用。
如果反复多次执行命令display ip policy-based-route statistics,还可以看到被转发的报文数量在不断增长。
5、配置基于报文大小的PBR
配置了基于源地址的PBR后,来自PCA的所有数据流都经由RTA的接口S5/0发送。
如果要想实现较大报文经由接口G0/1发送,则可以配置基于报文大小的PBR。
在RTA上配置PBR,将大于100字节,小于1500字节的报文从接口G0/1转发,其它报文经普通路由转发。
请在下面填入配置RTA 的命令:
[RTA]policy-based-route abc permit node 3
[RTA-pbr-abc-3]if-match packet-length 100 1500
[RTA-pbr-abc-3] apply ip-address next-hop 192.168.1.2
配置完成后,在PCA上用Ping命令来发送大小为300字节的报文到网络192.168.2.0/24,如下所示:
同时,在RTA上用命令display ip policy-based-route statistics 查看报文匹配PBR的统计信息。
如下所示:
可以看到,较大的报文匹配到了节点3,被转发到了下一跳192.168.1.2,也就是从接口G0/1转发出去。
如果反复多次执行命令display ip policy-based-route statistics,还可以看到匹配节点3而被转发的报文数量在不断增长。