PBR(策略路由)的幾種使用方式.doc

【簡(jiǎn) 介】PBR（策略路由）以前是CISCO用來(lái)丟棄報(bào)文的一個(gè)主要手段。比如：設(shè)置set interface null 0，按CISCO說(shuō)法這樣會(huì)比ACL的deny要節(jié)省一些開銷。注:PBR（策略路由）以前是CISCO用來(lái)丟棄報(bào)文的一個(gè)主要手段。比如：設(shè)置set interface null 0，按CISCO說(shuō)法這樣會(huì)比ACL的deny要節(jié)省一些開銷。這里我提醒： interface null 0 no ip unreachable/加入這個(gè)命令 這樣避免因?yàn)閬G棄大量的報(bào)文而導(dǎo)致很多ICMP的不可達(dá)消息返回。 三層設(shè)備在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)一般都基于數(shù)據(jù)包的目的地址（目的網(wǎng)絡(luò)進(jìn)行轉(zhuǎn)發(fā)），那么策略路由有什么特點(diǎn)呢？ 1、可以不僅僅依據(jù)目的地址轉(zhuǎn)發(fā)數(shù)據(jù)包，它可以基于源地址、數(shù)據(jù)應(yīng)用、數(shù)據(jù)包長(zhǎng)度等。這樣轉(zhuǎn)發(fā)數(shù)據(jù)包更靈活。 2、為QoS服務(wù)。使用route-map及策略路由可以根據(jù)數(shù)據(jù)包的特征修改其相關(guān)QoS項(xiàng)，進(jìn)行為QoS服務(wù)。 3、負(fù)載平衡。使用策略路由可以設(shè)置數(shù)據(jù)包的行為，比如下一跳、下一接口等，這樣在存在多條鏈路的情況下，可以根據(jù)數(shù)據(jù)包的應(yīng)用不同而使用不同的鏈路，進(jìn)而提供高效的負(fù)載平衡能力。 策略路由影響的只是本地的行為，所以可能會(huì)引起“不對(duì)稱路由”形式的流量。比如一個(gè)單位有兩條上行鏈路A與B，該單位想把所有HTTP流量分擔(dān)到A鏈路，F(xiàn)TP流量分擔(dān)到鏈路，這是沒(méi)有問(wèn)題的，但在其上行設(shè)備上，無(wú)法保證下行的HTTP流量分擔(dān)到鏈路，F(xiàn)TP流量分擔(dān)到鏈路。 策略路由一般針對(duì)的是接口入(in)方向的數(shù)據(jù)包，但也可在啟用相關(guān)配置的情況下對(duì)本地所發(fā)出的數(shù)據(jù)包也進(jìn)行策略路由。 本文就策略路由的以下四個(gè)方面做相關(guān)講解： 、啟用策略路由 、啟用Fast-Switched PBR 、啟用Local PBR 、啟用CEF-Switched PBR 啟用策略路由： 開始配置route-map。使用route-map map-tag permit deny sequence-number進(jìn)入route-map的配置模式。 使用match語(yǔ)句定義感興趣的流量，如果不定義則指全部流量。match length min maxand/ormatch ip address access-list-number name.access-list-number name 使用set命令設(shè)置數(shù)據(jù)包行為。 set ip precedence number name set ip next-hop ip-address . ip-address set interface interface-type interface-number . type number set ip default next-hop ip-address . ip-address set default interface interface-type interface-number . type .number 這里要注意set ip next-hop與set ip default next-hop、set interface與set default interface這兩對(duì)語(yǔ)句的區(qū)別，不含default的語(yǔ)句，是不查詢路由表就轉(zhuǎn)發(fā)數(shù)據(jù)包到下一跳IP或接口，而含有default的語(yǔ)句是先查詢路由表，在找不到精確匹配的路由條目時(shí)，才轉(zhuǎn)發(fā)數(shù)據(jù)包到default語(yǔ)句指定的下一跳IP或接口。 進(jìn)入想應(yīng)用策略路由的接口。interface xxx 應(yīng)用所定義的策略。注意必須在定義好相關(guān)的route-map后才能在接口上使用該route-map,在接口啟用route-map策略的命令為： ip policy route-map map-tag 啟用Fast-Switched PBR 在Cisco IOS Release 12.0之前，策略路由只能通過(guò)“進(jìn)程轉(zhuǎn)發(fā)”來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包，這樣數(shù)據(jù)包的轉(zhuǎn)發(fā)效率是非常低的，在不同的平臺(tái)上，基本在每秒1000到10,000個(gè)數(shù)據(jù)包。隨著緩存轉(zhuǎn)發(fā)技術(shù)的出現(xiàn)，Cisco實(shí)現(xiàn)了Fast-Switched PBR，大大提升了數(shù)據(jù)包的轉(zhuǎn)發(fā)速度。啟用方法即在接口中使用ip route-cache policy命令。 注意：Fast-switched PBR支持所有的match語(yǔ)句及大多數(shù)的set語(yǔ)句，但其有下面的兩個(gè)限制： 不支持set ip default next-hop 與 set default interface命令。 如果在route-cache中不存在set中指定的接口相關(guān)的項(xiàng)，那么僅在point-to-point時(shí)set interface命令才能夠Fast-switched PBR。而且，在進(jìn)行“進(jìn)程轉(zhuǎn)發(fā)”時(shí)，系統(tǒng)還會(huì)先查詢路由條目查看該interface是不是一個(gè)合理的路徑。而在fast switching時(shí)，系統(tǒng)不會(huì)對(duì)此進(jìn)行檢查。啟用Local PBR 默認(rèn)情況下，路由器自身所產(chǎn)生的數(shù)據(jù)包不會(huì)被策略路由，如果想對(duì)路由器自身產(chǎn)生的數(shù)據(jù)包也進(jìn)行策略路由，那么需要在全局模式下使用如下命令來(lái)啟用： ip local policy route-map map-tag 啟用CEF-Switched PBR 在支持CEF的平臺(tái)上，系統(tǒng)可以使用CEF-Switched PBR來(lái)提高PBR的轉(zhuǎn)發(fā)速度，其轉(zhuǎn)發(fā)速度比Fast-Switched PBR更快！只要你在啟用PBR的路由器上啟用了CEF，那么CEF-Switched PBR會(huì)自動(dòng)啟用。 注：ip route-cache policy僅僅適用于Fast-Switched PBR，在CEF-Switched PBR中并不需要，如果你在啟用了CEF的路由器上使用PBR時(shí)，這個(gè)命令沒(méi)有任何作用，系統(tǒng)會(huì)忽略此命令的存在。 PBR配置案例： 案例1： 路由器通過(guò)兩條不同的鏈路連接至兩ISP，對(duì)于從async 1接口進(jìn)入的流量，在沒(méi)有“精確路由”匹配的情況下，把源地址為的數(shù)據(jù)包使用策略路由轉(zhuǎn)發(fā)至, 源地址為的數(shù)據(jù)包轉(zhuǎn)發(fā)至，其它數(shù)據(jù)全部丟棄。 配置如下： access-list 1 permit ip access-list 2 permit ip ! interface async 1 ip policy route-map equal-access ! route-map equal-access permit 10 match ip address 1 set ip default next-hop route-map equal-access permit 20 match ip address 2 set ip default next-hop route-map equal-access permit 30 set default interface null0 案例2 在路由器針對(duì)不同流量，修改其precedence bit，并設(shè)置下一跳地址。對(duì)于產(chǎn)生的流量，設(shè)置precedence bit為priority，并設(shè)置其下一跳轉(zhuǎn)發(fā)地址為；對(duì)于產(chǎn)生的流量，設(shè)置precedence bit為critical，并設(shè)置其下一跳轉(zhuǎn)發(fā)地址為。 配置如下： access-list 1 permit ip access-list 2 permit ip ! interface ethernet 1 ip policy route-map Texas ! route-map Texas permit 10