Cisco策略路由精解

1、Cisco策略路由(policy route)精解注:PBR以前是CISCO用來丟棄報(bào)文的一個(gè)主要手段。比如：設(shè)置set interface null 0，按CISCO說法這樣會比ACL的deny要節(jié)省一些開銷。這里我提醒： interface null 0no ip unreachable /加入這個(gè)命令這樣避免因?yàn)閬G棄大量的報(bào)文而導(dǎo)致很多ICMP的不可達(dá)消息返回。三層設(shè)備在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)一般都基于數(shù)據(jù)包的目的地址(目的網(wǎng)絡(luò)進(jìn)行轉(zhuǎn) 發(fā))，那么策略路由有什么特點(diǎn)呢？1、可以不僅僅依據(jù)目的地址轉(zhuǎn)發(fā)數(shù)據(jù)包，它可以基于源地址、數(shù)據(jù)應(yīng)用、 數(shù)據(jù)包長度等。這樣轉(zhuǎn)發(fā)數(shù)據(jù)包更靈活。2、為QoS服務(wù)。使用rou

2、te-map及策略路由可以根據(jù)數(shù)據(jù)包的特征修改其 相關(guān)QoS項(xiàng)，進(jìn)行為QoS服務(wù)。3、負(fù)載平衡。使用策略路由可以設(shè)置數(shù)據(jù)包的行為，比如下一跳、下一接 口等，這樣在存在多條鏈路的情況下，可以根據(jù)數(shù)據(jù)包的應(yīng)用不同而使用不同的 鏈路，進(jìn)而提供高效的負(fù)載平衡能力。策略路由影響的只是本地的行為，所以可能會引起“不對稱路由”形式的流 量。比如一個(gè)單位有兩條上行鏈路A與B，該單位想把所有HTTP流量分擔(dān)到A 鏈路，F(xiàn)TP流量分擔(dān)到B鏈路，這是沒有問題的，但在其上行設(shè)備上，無法保證 下行的HTTP流量分擔(dān)到A鏈路，F(xiàn)TP流量分擔(dān)到B鏈路。策略路由一般針對的是接口入(in)方向的數(shù)據(jù)包，但也可在啟用相關(guān)配置的

3、情況下對本地所發(fā)出的數(shù)據(jù)包也進(jìn)行策略路由。本文就策略路由的以下四個(gè)方面做相關(guān)講解：1、啟用策略路由2、啟用 Fast-Switched PBR3、啟用 Local PBR4、啟用 CEF-Switched PBR啟用策略路由：開始配置 route-map。使用 route-map map-tag permit | deny sequence-number進(jìn)入 route-map 的配置模式。使用match語句定義感興趣的流量，如果不定義則指全部流量。 match length min max and/or match ip address (access-list-number | name.

4、accessTist-number | name使用set命令設(shè)置數(shù)據(jù)包行為。set ip precedence number | nameset ip next-hop ip-address . ip-addressset interface interface-type interface-number . type number set ip default next-hop ip-address . ip-address set default interface interface-type interface-number .type .number這里要注意 set ip nex

5、t-hop 與 set ip default next-hop、set interface 與 set default interface 這兩對語句的區(qū)別，不含 default 的語句，是不查詢路由表就轉(zhuǎn)發(fā)數(shù)據(jù)包到下一跳IP或接口，而含有 default的語句是先查詢路由表，在找不到精確匹配的路由條目時(shí)，才轉(zhuǎn) 發(fā)數(shù)據(jù)包到default語句指定的下一跳IP或接口。進(jìn)入想應(yīng)用策略路由的接口。interface xxx應(yīng)用所定義的策略。注意必須在定義好相關(guān)的route-map后才能 在接口上使用該route-map,在接口啟用route-map策略的命令為：ip policy route-map

6、map-tag啟用 Fast-Switched PBR在Cisco IOS Release 12.0之前，策略路由只能通過“進(jìn)程轉(zhuǎn)發(fā)”來轉(zhuǎn)發(fā) 數(shù)據(jù)包，這樣數(shù)據(jù)包的轉(zhuǎn)發(fā)效率是非常低的，在不同的平臺上，基本在每秒1000 到10,000個(gè)數(shù)據(jù)包。隨著緩存轉(zhuǎn)發(fā)技術(shù)的出現(xiàn)，Cisco實(shí)現(xiàn)了 Fast-Switched PBR，大大提升了數(shù)據(jù)包的轉(zhuǎn)發(fā)速度。啟用方法即在接口中使用ip route-cache policy 命令。注意：Fast-switched PBR支持所有的match語句及大多數(shù)的set語句，但 其有下面的兩個(gè)限制：不支持 set ip default next-hop 與 set d

7、efault interface 命令。如果在route-cache中不存在set中指定的接口相關(guān)的項(xiàng)，那么 僅在 point-to-point 時(shí) set interface 命令才能夠 Fast-switched PBR。 而且，在進(jìn)行“進(jìn)程轉(zhuǎn)發(fā)”時(shí)，系統(tǒng)還會先查詢路由條目查看該 interface是不是一個(gè)合理的路徑。而在fast switching時(shí)，系統(tǒng)不會 對此進(jìn)行檢查。啟用 Local PBR默認(rèn)情況下，路由器自身所產(chǎn)生的數(shù)據(jù)包不會被策略路由，如果想對路由器 自身產(chǎn)生的數(shù)據(jù)包也進(jìn)行策略路由，那么需要在全局模式下使用如下命令來啟 用：ip local policy route-ma

8、p map-tag啟用 CEF-Switched PBR在支持CEF的平臺上，系統(tǒng)可以使用CEF-Switched PBR來提高PBR的轉(zhuǎn)發(fā) 速度，其轉(zhuǎn)發(fā)速度比Fast-Switched PBR更快！只要你在啟用PBR的路由器上啟 用了 CEF，那么CEF-Switched PBR會自動啟用。注：ip route-cache policy 僅僅適用于 Fast-Switched PBR,在 CEF-SwitchedPBR中并不需要，如果你在啟用了 CEF的路由器上使用PBR時(shí)，這個(gè)命令沒有任 何作用，系統(tǒng)會忽略此命令的存在。PBR配置案例：案例1 ：路由器通過兩條不同的鏈路連接至兩ISP，對于

9、從async 1接口進(jìn)入的流量，在 沒有“精確路由”匹配的情況下，把源地址為的數(shù)據(jù)包使用策略路由轉(zhuǎn) 發(fā)至,源地址為的數(shù)據(jù)包轉(zhuǎn)發(fā)至,其它數(shù)據(jù)全部丟棄。配置如下：access-list 1 permit ip access-list 2 permit ip !interface async 1ip policy route-map equal-access !route-map equal-access permit 10match ip address 1set ip default next-hop route-map equal-access permit 20match ip addres

10、s 2set ip default next-hop route-map equal-access permit 30set default interface null0案例2在路由器針對不同流量，修改其precedence bit，并設(shè)置下一跳地址。對于 產(chǎn)生的流量，設(shè)置precedence bit為priority，并設(shè)置其下一跳轉(zhuǎn)發(fā) 地址為；對于產(chǎn)生的流量，設(shè)置precedence bit為critical， 并設(shè)置其下一跳轉(zhuǎn)發(fā)地址為。配置如下：access-list 1 permit ip access-list 2 permit ip !interface ethernet 1ip

11、 policy route-map Texas !route-map Texas permit 10match ip address 1 set ip precedence priorityset ip next-hop route-map Texas permit 20match ip address 2set ip precedence criticalset ip next-hop 一個(gè) route map 由擁有相同 route-map 名的 route-map statements 集合構(gòu)成。 這些語句可以用permit和deny來標(biāo)識是否執(zhí)行策略路由。如果一個(gè)數(shù)據(jù)包所匹 配的sta

12、tement的標(biāo)準(zhǔn)是deny，則作為通常的目的地址路由來進(jìn)行轉(zhuǎn)發(fā)。如果 是permit，則所有其上的set命令被應(yīng)用。讓我們看一個(gè)demo：route-map demo permit 10match X Y Zmatch Aset Bset Croute-map demo permit 20match Qset Rroute-map demo permit 30任何與X、Y、Z匹配的數(shù)據(jù)包都執(zhí)行set B和C，如果沒有任何匹配， 也就不會執(zhí)行任何set命令。下面我們具體看一下命令：1、使用 route-map 命令創(chuàng)建 route mapRouter(config)#route-map per

13、mit|deny參數(shù) map-tag 指定了 route map 的名字參數(shù)permit和deny指定了如果條件匹配將執(zhí)行的動作參數(shù) sequence-number 用于區(qū)分每一個(gè) route map statement，不同的 statement擁有不同的sequence numbero通過這個(gè)參數(shù)你可以在一個(gè)route map 的特定位置插入或刪除一條route map statement,并且可以單獨(dú)的編輯它。一個(gè)route map可以包含多個(gè)route map statement，這些語句的執(zhí)行 順序像ACL 一樣是從上到下。對于一個(gè)路由，先匹配的先執(zhí)行。2、使用match route

14、 map命令定義檢查條件Router(config-route-map)#match (3、使用set route-map配置命令定義如果條件匹配后的行為Router(config-route-map)#set (一個(gè) route map 可以包含多個(gè) route map statement， 一個(gè) match 語句 可以包含多個(gè)條件。如果一個(gè)條件為真，則認(rèn)為這個(gè)條件匹配；然而，必須所有 的條件都匹配，才認(rèn)為這個(gè)route map statement匹配。序列號參數(shù)決定了進(jìn)行條件匹配的順序。只有序列號為10的語句沒有匹 配，才會檢查序列號為20的語句才被檢查。一個(gè)route map的最后默認(rèn)d

15、eny any。這個(gè)deny的使用結(jié)果依賴于這 個(gè)route map是怎樣使用的。如果一個(gè)數(shù)據(jù)包對于route map沒有匹配項(xiàng)，它會 按照正常的目的地址路由轉(zhuǎn)發(fā)。如果你想丟棄這個(gè)包，需要包含一個(gè)set語句路 由這個(gè)包到一個(gè)null接口。這條語句應(yīng)該被放在route map的最后。Match用來在route-map中執(zhí)行匹配的標(biāo)準(zhǔn)包括：1、IP訪問列表中的源和目的地址2、三層數(shù)據(jù)包長度1、標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表都可用來建立策略路由的匹配標(biāo)準(zhǔn)。要使用IP訪問列表來實(shí)現(xiàn)策略路由，可以使用match ip address命令：Router(config-route-map)#match ip a

16、ddress | .|如果定義了多個(gè)訪問控制列表，任何一個(gè)訪問列表被匹配都認(rèn)為這條語句被 匹配。2、使用match route map命令定義檢查條件Router(config-route-map)#match (3、使用set route-map配置命令定義如果條件匹配后的行為Router(config-route-map)#set (一個(gè) route map 可以包含多個(gè) route map statement, 一個(gè) match 語句 可以包含多個(gè)條件。如果一個(gè)條件為真，則認(rèn)為這個(gè)條件匹配；然而，必須所有 的條件都匹配，才認(rèn)為這個(gè)route map statement匹配。序列號參數(shù)決定

17、了進(jìn)行條件匹配的順序。只有序列號為10的語句沒有匹 配，才會檢查序列號為20的語句才被檢查。一個(gè)route map的最后默認(rèn)deny any。這個(gè)deny的使用結(jié)果依賴于這 個(gè)route map是怎樣使用的。如果一個(gè)數(shù)據(jù)包對于route map沒有匹配項(xiàng)，它會 按照正常的目的地址路由轉(zhuǎn)發(fā)。如果你想丟棄這個(gè)包，需要包含一個(gè)set語句路 由這個(gè)包到一個(gè)null接口。這條語句應(yīng)該被放在route map的最后。Match用來在route-map中執(zhí)行匹配的標(biāo)準(zhǔn)包括：1、IP訪問列表中的源和目的地址2、三層數(shù)據(jù)包長度1、標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表都可用來建立策略路由的匹配標(biāo)準(zhǔn)。要使用IP訪問列表來實(shí)現(xiàn)

18、策略路由，可以使用match ip address命令：Router(config-route-map)#match ip address | .|如果定義了多個(gè)訪問控制列表，任何一個(gè)訪問列表被匹配都認(rèn)為這條語句被 匹配。2、使用match route map命令定義檢查條件Router(config-route-map)#match (3、使用set route-map配置命令定義如果條件匹配后的行為Router(config-route-map)#set (一個(gè) route map 可以包含多個(gè) route map statement, 一個(gè) match 語句 可以包含多個(gè)條件。如果一個(gè)條

19、件為真，則認(rèn)為這個(gè)條件匹配；然而，必須所有 的條件都匹配，才認(rèn)為這個(gè)route map statement匹配。序列號參數(shù)決定了進(jìn)行條件匹配的順序。只有序列號為10的語句沒有匹 配，才會檢查序列號為20的語句才被檢查。一個(gè)route map的最后默認(rèn)deny any。這個(gè)deny的使用結(jié)果依賴于這 個(gè)route map是怎樣使用的。如果一個(gè)數(shù)據(jù)包對于route map沒有匹配項(xiàng)，它會 按照正常的目的地址路由轉(zhuǎn)發(fā)。如果你想丟棄這個(gè)包，需要包含一個(gè)set語句路 由這個(gè)包到一個(gè)null接口。這條語句應(yīng)該被放在route map的最后。Match用來在route-map中執(zhí)行匹配的標(biāo)準(zhǔn)包括：1、IP訪

20、問列表中的源和目的地址2、三層數(shù)據(jù)包長度1、標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表都可用來建立策略路由的匹配標(biāo)準(zhǔn)。要使用IP訪問列表來實(shí)現(xiàn)策略路由，可以使用match ip address命令：Router(config-route-map)#match ip address | .|如果定義了多個(gè)訪問控制列表，任何一個(gè)訪問列表被匹配都認(rèn)為這條語句被 匹配。2、match length命令用來基于三層包長度來建立匹配。Router(config-route-map)#match length參數(shù) 定義了三層包的最大和最小長度。當(dāng)一個(gè)包的長度在這兩個(gè)值之間， 匹配成立?？梢允褂胢atch length命令來

21、區(qū)分傳輸類型，例如：交互數(shù)據(jù)包和文件傳 輸數(shù)據(jù)包，文件傳輸數(shù)據(jù)包往往比較大。Set可以使用一系列的set命令來定義當(dāng)匹配語句滿足時(shí)，數(shù)據(jù)包如何通過 路由器進(jìn)行轉(zhuǎn)發(fā)。1、 set ip next-hop2、set interface3、set ip default next-hop4、set ip default interface5、set ip tos6、set ip precedence一些set命令只影響路由表里有明顯路由的數(shù)據(jù)包；其他的set命令只影響 路由表里沒有明顯路由的數(shù)據(jù)包。下面我們來仔細(xì)看一下：Router (config-route-map) #set ip next-hop .Set ip next hop命令設(shè)定流出端口的數(shù)據(jù)包的下一跳地址。這個(gè)地址必須是鄰接路由器的ip地址。如果配置了多個(gè)接口，則使用第一 個(gè)相關(guān)的可用接口。這個(gè)命令將影響所有的數(shù)據(jù)包類型并且一直使用。Router (config-route-map) #set interface .Set interface命令為數(shù)據(jù)包設(shè)定出向端口。參數(shù)指定接口的類型和編號。 如果定義了多個(gè)接口，則使用第一個(gè)被發(fā)現(xiàn)的up接口。有時(shí)，路由表可能不包含到一個(gè)數(shù)據(jù)包目的地址的明顯的路由(例如：廣播 包或者目的地址未知的數(shù)據(jù)包)，這種情況下，命令將不影響到這些數(shù)據(jù)包或者 說命令忽略這些數(shù)據(jù)包。Router(