一、策略路由
1. 路由策略與策略路由
- 路由策略是對路由信息本身的參數進行修改、控制等,最終影響路由表的生成,說白了路由策略就是告訴設備怎麼學,一般與BGP結合使用比較多。
- 策略路由PBR,策略基於路由重點在路由,就是通過策略控制數據包的轉發方向。也有人把策略路由稱之爲一個複雜的靜態路由。
- 一般來講,策略路由是先於路由表執行的。即設備在轉發報文時,首先將報文與策略路由的匹配規則進行比較。若符合匹配條件,則按策略路由進行轉發;如果報文無法匹配策略路由的條件,再按照普通路由進行轉發。
- 策略路由在轉化層面不如路由表。原因是匹配的東西過多,底層芯片處理支持有限。使用原則是能不用就不用。如果出現非目的地址的轉發策略,果斷用。
2. 策略路由的特點
- 傳統的路由錶轉發只能通過數據的目標地址做決策;策略路由可以根據源地址、目的地址、源端口、目的端口、協議、TOS等流量特徵來做策略提供路由,靈活性高。
- 爲QoS服務。使用route-map及策略路由可以根據數據包的特徵修改其相關QoS項,進行爲QoS服務。
- 負載均衡。使用策略路由可以設置數據包的行爲,比如下一跳、下一接口等,這樣在存在多條鏈路的情況下,可以根據數據包的應用不同而使用不同的鏈路,進而提供高效的負載均衡能力。
- 策略路由PBR默認只對穿越流量生效,不能處理本路由器產生流量
3.策略路由的配置
3.1 接口下配置
接口下只能捕獲該接口的入接口流量做策略(不能處理本路由器產生流量)
R1(config)#access-list 100 permit ip host 1.1.1.1 any //用ACL捕獲流量
R1(config)#route-map pbr permit 10 //定義route-map
R1(config-route-map)#match ip add 100 //調用被ACL捕獲的流量
R1(config-route-map)#set ip next-hop 10.1.1.1 //設置下一跳
R1(config-route-map)#exit
R1(config)#int f0/0
R1(config-if)#ip policy route-map pbr //接口下調用
3.2 全局配置
能夠捕獲所有入接口流量以及本路由器產生的流量(源地址是本路由器流量)
R1(config)#access-list 100 permit ip host 1.1.1.1 any //用ACL捕獲流量
R1(config)#route-map pbr permit 10 //定義route-map
R1(config-route-map)#match ip add 100 //調用被ACL捕獲的流量
R1(config-route-map)#set ip next-hop 10.1.1.1 //設置下一跳
R1(config-route-map)#exit
R1(config)#ip local policy route-map pbr //全局下調用
3.3 策略路由的冗餘設置
R1(config)#route-map PBR permit 10
R1(config-route-map)#set ip next-hop verify-availability 10.1.24.2 1 track 1 //設置track監控,若track監控成功,執行該語句;若失敗,則轉爲執行下條語句
R1(config-route-map)#set ip next-hop 10.1.34.3
R1(config-route-map)#exit
R1(config)#ip local policy route-map PBR
R1(config)#track 1 ip sla 1 //定義一個track監控 sla的探測結果
R1(config-track)#ip sla 1 //定義一個sla
R1(config-ip-sla)#icmp-echo 10.1.12.1 source-ip 10.4.4.4 //設置其探針
R1(config)#ip sla schedule 1 life forever start-time now //設置sla 1的執行時間
3.4 default語句
在route-map的set ip default這個位置輸入,定義爲被捕獲的流量先查路由表,如果能精確匹配(如果抓的爲10.5.5.5,路由表中有10.5.5.5/24這不叫精確匹配;如果10.5.5.5/32則叫精確匹配)就執行路由表;如果不能則執行策略路由。
sex ip next-hop和set ip default next-hop命令十分相似,但操作順序完全不同。set ip next-hop命令使得路由器首先檢查策略路由,不符合策略後使用路由表進行數據包轉發處理;set ip default next-hop命令使得路由器首先檢查路由表,若發現沒有明確路由則使用策略路由進行數據包轉發處理。
R1(config)#access-list 100 permit ip host 1.1.1.1 any //用ACL捕獲流量
R1(config)#route-map pbr permit 10 //定義route-map
R1(config-route-map)#match ip add 100 //調用被ACL捕獲的流量
R1(config-route-map)#set ip default next-hop 10.1.1.1 //設置下一跳
R1(config-route-map)#exit
R1(config)#int f0/0
R1(config-if)#ip policy route-map pbr //接口下調用
3.5 爲流量打ToS標記
R1(config)#route-map PBR permit 10
R1(config-route-map)#match ip address 1
R1(config-route-map)#set ip precedence priority //設置隊列優先級(優先出接口)
二、路由策略
在控制層面抓取流量後,對流量進行修改編輯,最終影響設備路由表的生成,從而控制選路
1.抓取流量的列表
1.1 ACL訪問控制列表
專用於限制數據層面流量;也可用於抓取控制層面的流量,但因爲不匹配子網掩碼,故將無法精確的抓取控制層面流量
1.2 prefix-list前綴列表
用於專用於抓取控制層面流量;規則是自上而下逐一匹配,上條匹配按上條執行,不再查看下條;末尾隱含拒絕所有
R1(config)#ip prefix-list xxx permit 1.1.1.0/24 ge 26 le 28 允許1.1.1.0/24掩碼範圍在26到28位之間
R1(config)#ip prefix-list xxx seq 6 permit 2.2.2.0/24 還可以利用序號插入
R1(config)#ip prefix-list xxx permit 0.0.0.0/0 le 32 允許所有
2. 路由策略工具
2.1 distribute-list分發列表
- 在控制層面流量的進或出接口上,限制路由條目的發送和接收。本身並沒有過濾功能,需藉助ACL或者前綴列表抓取流量。
- 在DV性協議中,在in和out方向均可實施;
- 在LS協議中,僅僅在in方向實施,並且不能過濾LSA,僅僅阻止該路由加表;
- 在重發布過程中(將A協議重發布到B協議時),進入B協議,使用out+A協議
R1(config)#ip prefix-list a deny 2.2.2.0/24 R1(config)#ip prefix-list a permit 0.0.0.0/0 le 32 R1(config)#router rip R1(config-router)#distribute-list prefix a out s1/0
2.2 route-map路由鏡像
功能性非常強的策略列表,可以用來過濾路由也可用來調整路由的屬性,自身具備過濾功能;其末尾隱含拒絕所有,故需創建一個空表,用於允許所有。需配合ACL或前綴列表使用
R1(config)#access-list 1 permit 2.2.2.0 0.0.0.255
R1(config)#route-map a deny 10
R1(config-route-map)#match ip address 1
R1(config-route-map)#exit
R1(config)#route-map permit 20
R1(config-route-map)#exit
R1(config)#router ospf 110
R1(config-router)#redistribute rip subnets route-map a
2.3 OSPF filter-list
只能針對三類LSA,並且在所有ABR上都需配置,需配合前綴列表使用
R1(config)#ip prefix-list a deny 2.2.2.0/24
R1(config)#ip prefix-list a permit 0.0.0.0/0 le 32
R1(config)#router ospf 110
R1(config-router)#area 0 filter-list prefix a in
BGP相關路由策略下次寫吧。