PBR(策略路由)的幾種使用方式.doc

【簡 介】PBR（策略路由）以前是CISCO用來丟棄報文的一個主要手段。比如：設置set interface null 0，按CISCO說法這樣會比ACL的deny要節(jié)省一些開銷。注:PBR（策略路由）以前是CISCO用來丟棄報文的一個主要手段。比如：設置set interface null 0，按CISCO說法這樣會比ACL的deny要節(jié)省一些開銷。這里我提醒： interface null 0 no ip unreachable/加入這個命令 這樣避免因為丟棄大量的報文而導致很多ICMP的不可達消息返回。 三層設備在轉(zhuǎn)發(fā)數(shù)據(jù)包時一般都基于數(shù)據(jù)包的目的地址（目的網(wǎng)絡進行轉(zhuǎn)發(fā)），那么策略路由有什么特點呢？ 1、可以不僅僅依據(jù)目的地址轉(zhuǎn)發(fā)數(shù)據(jù)包，它可以基于源地址、數(shù)據(jù)應用、數(shù)據(jù)包長度等。這樣轉(zhuǎn)發(fā)數(shù)據(jù)包更靈活。 2、為QoS服務。使用route-map及策略路由可以根據(jù)數(shù)據(jù)包的特征修改其相關(guān)QoS項，進行為QoS服務。 3、負載平衡。使用策略路由可以設置數(shù)據(jù)包的行為，比如下一跳、下一接口等，這樣在存在多條鏈路的情況下，可以根據(jù)數(shù)據(jù)包的應用不同而使用不同的鏈路，進而提供高效的負載平衡能力。 策略路由影響的只是本地的行為，所以可能會引起“不對稱路由”形式的流量。比如一個單位有兩條上行鏈路A與B，該單位想把所有HTTP流量分擔到A鏈路，F(xiàn)TP流量分擔到鏈路，這是沒有問題的，但在其上行設備上，無法保證下行的HTTP流量分擔到鏈路，F(xiàn)TP流量分擔到鏈路。 策略路由一般針對的是接口入(in)方向的數(shù)據(jù)包，但也可在啟用相關(guān)配置的情況下對本地所發(fā)出的數(shù)據(jù)包也進行策略路由。 本文就策略路由的以下四個方面做相關(guān)講解： 、啟用策略路由 、啟用Fast-Switched PBR 、啟用Local PBR 、啟用CEF-Switched PBR 啟用策略路由： 開始配置route-map。使用route-map map-tag permit deny sequence-number進入route-map的配置模式。 使用match語句定義感興趣的流量，如果不定義則指全部流量。match length min maxand/ormatch ip address access-list-number name.access-list-number name 使用set命令設置數(shù)據(jù)包行為。 set ip precedence number name set ip next-hop ip-address . ip-address set interface interface-type interface-number . type number set ip default next-hop ip-address . ip-address set default interface interface-type interface-number . type .number 這里要注意set ip next-hop與set ip default next-hop、set interface與set default interface這兩對語句的區(qū)別，不含default的語句，是不查詢路由表就轉(zhuǎn)發(fā)數(shù)據(jù)包到下一跳IP或接口，而含有default的語句是先查詢路由表，在找不到精確匹配的路由條目時，才轉(zhuǎn)發(fā)數(shù)據(jù)包到default語句指定的下一跳IP或接口。 進入想應用策略路由的接口。interface xxx 應用所定義的策略。注意必須在定義好相關(guān)的route-map后才能在接口上使用該route-map,在接口啟用route-map策略的命令為： ip policy route-map map-tag 啟用Fast-Switched PBR 在Cisco IOS Release 12.0之前，策略路由只能通過“進程轉(zhuǎn)發(fā)”來轉(zhuǎn)發(fā)數(shù)據(jù)包，這樣數(shù)據(jù)包的轉(zhuǎn)發(fā)效率是非常低的，在不同的平臺上，基本在每秒1000到10,000個數(shù)據(jù)包。隨著緩存轉(zhuǎn)發(fā)技術(shù)的出現(xiàn)，Cisco實現(xiàn)了Fast-Switched PBR，大大提升了數(shù)據(jù)包的轉(zhuǎn)發(fā)速度。啟用方法即在接口中使用ip route-cache policy命令。 注意：Fast-switched PBR支持所有的match語句及大多數(shù)的set語句，但其有下面的兩個限制： 不支持set ip default next-hop 與 set default interface命令。 如果在route-cache中不存在set中指定的接口相關(guān)的項，那么僅在point-to-point時set interface命令才能夠Fast-switched PBR。而且，在進行“進程轉(zhuǎn)發(fā)”時，系統(tǒng)還會先查詢路由條目查看該interface是不是一個合理的路徑。而在fast switching時，系統(tǒng)不會對此進行檢查。啟用Local PBR 默認情況下，路由器自身所產(chǎn)生的數(shù)據(jù)包不會被策略路由，如果想對路由器自身產(chǎn)生的數(shù)據(jù)包也進行策略路由，那么需要在全局模式下使用如下命令來啟用： ip local policy route-map map-tag 啟用CEF-Switched PBR 在支持CEF的平臺上，系統(tǒng)可以使用CEF-Switched PBR來提高PBR的轉(zhuǎn)發(fā)速度，其轉(zhuǎn)發(fā)速度比Fast-Switched PBR更快！只要你在啟用PBR的路由器上啟用了CEF，那么CEF-Switched PBR會自動啟用。 注：ip route-cache policy僅僅適用于Fast-Switched PBR，在CEF-Switched PBR中并不需要，如果你在啟用了CEF的路由器上使用PBR時，這個命令沒有任何作用，系統(tǒng)會忽略此命令的存在。 PBR配置案例： 案例1： 路由器通過兩條不同的鏈路連接至兩ISP，對于從async 1接口進入的流量，在沒有“精確路由”匹配的情況下，把源地址為的數(shù)據(jù)包使用策略路由轉(zhuǎn)發(fā)至, 源地址為的數(shù)據(jù)包轉(zhuǎn)發(fā)至，其它數(shù)據(jù)全部丟棄。 配置如下： access-list 1 permit ip access-list 2 permit ip ! interface async 1 ip policy route-map equal-access ! route-map equal-access permit 10 match ip address 1 set ip default next-hop route-map equal-access permit 20 match ip address 2 set ip default next-hop route-map equal-access permit 30 set default interface null0 案例2 在路由器針對不同流量，修改其precedence bit，并設置下一跳地址。對于產(chǎn)生的流量，設置precedence bit為priority，并設置其下一跳轉(zhuǎn)發(fā)地址為；對于產(chǎn)生的流量，設置precedence bit為critical，并設置其下一跳轉(zhuǎn)發(fā)地址為。 配置如下： access-list 1 permit ip access-list 2 permit ip ! interface ethernet 1 ip policy route-map Texas ! route-map Texas permit 10