思科Cisco策略路由詳細(xì)介紹

時(shí)間：2024-11-01 04:42:51 思科認(rèn)證我要投稿

相關(guān)推薦

思科Cisco策略路由詳細(xì)介紹

　　思科策略路由怎么配置呢?下面yjbys為大家就策略路由的以下四個(gè)方面做相關(guān)講解，配置Cisco策略的朋友可以參考下

　　注:PBR以前是CISCO用來(lái)丟棄報(bào)文的一個(gè)主要手段。比如：設(shè)置set interface null 0，按CISCO說(shuō)法這樣會(huì)比ACL的deny要節(jié)省一些開銷。這里我提醒：

　　interface null 0

　　no ip unreachable　//加入這個(gè)命令

　　這樣避免因?yàn)閬G棄大量的報(bào)文而導(dǎo)致很多ICMP的不可達(dá)消息返回。

　　三層設(shè)備在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)一般都基于數(shù)據(jù)包的目的地址(目的網(wǎng)絡(luò)進(jìn)行轉(zhuǎn)發(fā))，那么策略路由有什么特點(diǎn)呢?

　　1、可以不僅僅依據(jù)目的地址轉(zhuǎn)發(fā)數(shù)據(jù)包，它可以基于源地址、數(shù)據(jù)應(yīng)用、數(shù)據(jù)包長(zhǎng)度等。這樣轉(zhuǎn)發(fā)數(shù)據(jù)包更靈活。

　　2、為QoS服務(wù)。使用route-map及策略路由可以根據(jù)數(shù)據(jù)包的特征修改其相關(guān)QoS項(xiàng)，進(jìn)行為QoS服務(wù)。

　　3、負(fù)載平衡。使用策略路由可以設(shè)置數(shù)據(jù)包的行為，比如下一跳、下一接口等，這樣在存在多條鏈路的情況下，可以根據(jù)數(shù)據(jù)包的應(yīng)用不同而使用不同的鏈路，進(jìn)而提供高效的負(fù)載平衡能力。

　　策略路由影響的只是本地的行為，所以可能會(huì)引起“不對(duì)稱路由”形式的流量。比如一個(gè)單位有兩條上行鏈路A與B，該單位想把所有HTTP流量分擔(dān)到A 鏈路，F(xiàn)TP流量分擔(dān)到B鏈路，這是沒有問(wèn)題的，但在其上行設(shè)備上，無(wú)法保證下行的HTTP流量分擔(dān)到A鏈路，F(xiàn)TP流量分擔(dān)到B鏈路。

　　策略路由一般針對(duì)的是接口入(in)方向的數(shù)據(jù)包，但也可在啟用相關(guān)配置的情況下對(duì)本地所發(fā)出的數(shù)據(jù)包也進(jìn)行策略路由。

　　本文就策略路由的以下四個(gè)方面做相關(guān)講解：

　　1、啟用策略路由

　　2、啟用Fast-Switched PBR

　　3、啟用Local PBR

　　4、啟用CEF-Switched PBR

　　啟用策略路由：

　　開始配置route-map。使用route-map map-tag [permit | deny] [sequence-number]進(jìn)入route-map的配置模式。

　　使用match語(yǔ)句定義感興趣的流量，如果不定義則指全部流量。match length min max　and/or　match ip address {access-list-number | name}[...access-list-number | name]

　　使用set命令設(shè)置數(shù)據(jù)包行為。

　　set ip precedence [number | name]

　　set ip next-hop ip-address [... ip-address]

　　set interface interface-type interface-number [... type number]

　　set ip default next-hop ip-address [... ip-address]

　　set default interface interface-type interface-number [... type ...number]

　　這里要注意set ip next-hop與set ip default next-hop、set interface與set default interface這兩對(duì)語(yǔ)句的區(qū)別，不含default的語(yǔ)句，是不查詢路由表就轉(zhuǎn)發(fā)數(shù)據(jù)包到下一跳IP或接口，而含有default的語(yǔ)句是先查詢路由表，在找不到精確匹配的路由條目時(shí)，才轉(zhuǎn)發(fā)數(shù)據(jù)包到default語(yǔ)句指定的下一跳IP或接口。

　　進(jìn)入想應(yīng)用策略路由的接口。interface xxx

　　應(yīng)用所定義的策略。注意必須在定義好相關(guān)的route-map后才能在接口上使用該route-map,在接口啟用route-map策略的命令為：

　　ip policy route-map map-tag

　　啟用Fast-Switched PBR

　　在Cisco IOS Release 12.0之前，策略路由只能通過(guò)“進(jìn)程轉(zhuǎn)發(fā)”來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包，這樣數(shù)據(jù)包的轉(zhuǎn)發(fā)效率是非常低的，在不同的平臺(tái)上，基本在每秒1000到10,000個(gè)數(shù)據(jù) 包。隨著緩存轉(zhuǎn)發(fā)技術(shù)的出現(xiàn)，Cisco實(shí)現(xiàn)了Fast-Switched PBR，大大提升了數(shù)據(jù)包的轉(zhuǎn)發(fā)速度。啟用方法即在接口中使用ip route-cache policy命令。

　　注意：Fast-switched PBR支持所有的match語(yǔ)句及大多數(shù)的set語(yǔ)句，但其有下面的兩個(gè)限制：

　　不支持set ip default next-hop 與 set default interface命令。

　　如果在route-cache中不存在set中指定的接口相關(guān)的項(xiàng)，那么僅在point-to-point時(shí)set interface命令才能夠Fast-switched PBR。而且，在進(jìn)行“進(jìn)程轉(zhuǎn)發(fā)”時(shí)，系統(tǒng)還會(huì)先查詢路由條目查看該interface是不是一個(gè)合理的路徑。而在fast switching時(shí)，系統(tǒng)不會(huì)對(duì)此進(jìn)行檢查。

　　啟用Local PBR

　　默認(rèn)情況下，路由器自身所產(chǎn)生的數(shù)據(jù)包不會(huì)被策略路由，如果想對(duì)路由器自身產(chǎn)生的數(shù)據(jù)包也進(jìn)行策略路由，那么需要在全局模式下使用如下命令來(lái)啟用：

　　ip local policy route-map map-tag

　　啟用CEF-Switched PBR

　　在支持CEF的平臺(tái)上，系統(tǒng)可以使用CEF-Switched PBR來(lái)提高PBR的轉(zhuǎn)發(fā)速度，其轉(zhuǎn)發(fā)速度比Fast-Switched PBR更快!只要你在啟用PBR的路由器上啟用了CEF，那么CEF-Switched PBR會(huì)自動(dòng)啟用。

　　注：ip route-cache policy僅僅適用于Fast-Switched PBR，在CEF-Switched PBR中并不需要，如果你在啟用了CEF的路由器上使用PBR時(shí)，這個(gè)命令沒有任何作用，系統(tǒng)會(huì)忽略此命令的存在。

　　PBR配置案例：

　　案例1：

　　路由器通過(guò)兩條不同的鏈路連接至兩ISP，對(duì)于從async 1接口進(jìn)入的流量，在沒有“精確路由”匹配的情況下，把源地址為1.1.1.1的數(shù)據(jù)包使用策略路由轉(zhuǎn)發(fā)至6.6.6.6, 源地址為2.2.2.2的數(shù)據(jù)包轉(zhuǎn)發(fā)至7.7.7.7，其它數(shù)據(jù)全部丟棄。

　　配置如下：

　　access-list 1 permit ip 1.1.1.1

　　access-list 2 permit ip 2.2.2.2

　　interface async 1

　　ip policy route-map equal-access

　　route-map equal-access permit 10

　　match ip address 1

　　set ip default next-hop 6.6.6.6

　　route-map equal-access permit 20

　　match ip address 2

　　set ip default next-hop 7.7.7.7

　　route-map equal-access permit 30

　　set default interface null0

　　案例2

　　在路由器針對(duì)不同流量，修改其precedence bit，并設(shè)置下一跳地址。對(duì)于1.1.1.1產(chǎn)生的流量，設(shè)置precedence bit為priority，并設(shè)置其下一跳轉(zhuǎn)發(fā)地址為3.3.3.3;對(duì)于2.2.2.2產(chǎn)生的流量，設(shè)置precedence bit為critical，并設(shè)置其下一跳轉(zhuǎn)發(fā)地址為3.3.3.5。

　　配置如下：

　　access-list 1 permit ip 1.1.1.1

　　access-list 2 permit ip 2.2.2.2

　　interface ethernet 1

　　ip policy route-map Texas

　　route-map Texas permit 10

　　match ip address 1

　　set ip precedence priority

　　set ip next-hop 3.3.3.3

　　route-map Texas permit 20

　　match ip address 2

　　set ip precedence critical

　　set ip next-hop 3.3.3.5

　　==============分割線===============

　　route map和ACL很類似,它可以用于路由的再發(fā)布和策略路由,還經(jīng)常使用在BGP中.策略路由(policy route)實(shí)際上是復(fù)雜的靜態(tài)路由,靜態(tài)路由是基于數(shù)據(jù)包的目標(biāo)地址并轉(zhuǎn)發(fā)到指定的下一跳路由器,策略路由還利用和擴(kuò)展IP ACL鏈接,這樣就可以提供更多功能的過(guò)濾和分類

　　route map的一些命令:

　　一路由重發(fā)布相關(guān)

　　match命令可以和路由的再發(fā)布結(jié)合使用:

　　代碼如下:

　　1.match interface {type number} […type number]:匹配指定的下一跳路由器的接口的路由

　　2.match ip address {ACL number|name} […ACL number|name]:匹配ACL所指定的目標(biāo)IP地址的路由

　　3.match ip next-hop {ACL number|name} […ACL number|name]:匹配ACL所指定的下一跳路由器地址的路由

　　4.match ip route-source {ACL number|name} […ACL number|name]:匹配ACL所指定的路由器所宣告的路由

　　5.match metric {metric-value}:匹配指定metric大小的路由

　　6.match route-type {internal|external[type-1|type-2]|level-1|level-2}:匹配指定的OSPF,EIGRP或IS-IS的路由類型的路由

　　7.match tag {tag-value} […tag-value]:匹配帶有標(biāo)簽(tag)的路由

　　set命令也可以和路由的再發(fā)布一起使用:

　　代碼如下:

　　1.set level {level-1|level-2|level-1-2|stub-area|backbone}:設(shè)置IS-IS的Level,或OSPF的區(qū)域,匹配成功的路由將被再發(fā)布到該區(qū)域

　　2.set metric {metric-value|bandwidth delay RELY load MTU}:為匹配成功的路由設(shè)置metric大小

　　3.set metric-type {internal|external|type-1|type-2}:為匹配成功的路由設(shè)置metric的類型,該路由將被再發(fā)布到OSPF或IS-IS 1

　　4.set next-hop {next-hop}:為匹配成功的路由指定下一跳地址

　　5.set tag {tag-value}:為匹配成功的路由設(shè)置標(biāo)簽

　　二策略路由相關(guān)

　　match命令還可以和策略路由一起使用:

　　代碼如下:

　　1.match ip address {ACL number|name} […ACL number|name]:匹配ACL所指定的數(shù)據(jù)包的特征的路由

　　2.match length {min} {max}:匹配層3的數(shù)據(jù)包的長(zhǎng)度

　　set命令也可以和策略路由一起使用:

　　代碼如下:

　　1.set default interface {type number} […type number]:當(dāng)不存在指向目標(biāo)網(wǎng)絡(luò)的顯式路由(explicit route)的時(shí)候,為匹配成功的數(shù)據(jù)包設(shè)置出口接口

　　2.set interface {type number} […type number]:當(dāng)存在指向目標(biāo)網(wǎng)絡(luò)的顯式路由的時(shí)候,為匹配成功的數(shù)據(jù)包設(shè)置出口接口

　　3.set ip default next-hop {ip-address} […ip-address]:當(dāng)不存在指向目標(biāo)網(wǎng)絡(luò)的顯式路由的時(shí)候,為匹配成功的數(shù)據(jù)包設(shè)置下一跳路由器地址

　　4.set ip precedence {precedence}:為匹配成功的IP數(shù)據(jù)包設(shè)置服務(wù)類型(Type of Service,ToS)的優(yōu)先級(jí)

　　5.set ip tos {tos}:為匹配成功的數(shù)據(jù)包設(shè)置服務(wù)類型的字段的TOS位

　　Configuring Route Maps

　　route map是通過(guò)名字來(lái)標(biāo)識(shí)的,每個(gè)route map都包含許可或拒絕操作以及一個(gè)序列號(hào),序列號(hào)在沒有給出的情況下默認(rèn)是10,并且route map允許有多個(gè)陳述,如下:

　　代碼如下:

　　Linus(config)#route-map Hagar 20

　　Linus(config-route-map)#match ip address 111

　　Linus(config-route-map)#set metric 50

　　Linus(config-route-map)#route-map Hagar 15

　　Linus(config-route-map)#match ip address 112

　　Linus(config-route-map)#set metric 80

　　盡管先輸入的是20,后輸入的是15,IOS將把15放在20之前.

　　還可以允許刪除個(gè)別陳述,

　　如下: Linus(config)#no route-map Hagar 15 在刪除的時(shí)候要特別小心,假如你輸入了no route-map Hegar而沒有指定序列號(hào),那么整個(gè)route map將被刪除.并且如果在添加match和set語(yǔ)句的時(shí)候沒有指定序列號(hào)的話,那么它們僅僅會(huì)修改陳述10.在匹配的時(shí)候,從上到下,如果匹配成功,將不再和后面的陳述進(jìn)行匹配,指定操作將被執(zhí)行

　　關(guān)于拒絕操作,是依賴于route map是使用再路由的再發(fā)布中還是策略路由中,

　　如果是在策略路由中匹配失敗(拒絕),那么數(shù)據(jù)包將按正常方式轉(zhuǎn)發(fā);

　　如果是用于路由再發(fā)布,并且匹配失敗(拒絕),那么路由將不會(huì)被再發(fā)布如果數(shù)據(jù)包沒有找到任何匹配,和ACL一樣,route map末尾也有個(gè)默認(rèn)的隱含拒絕所有的操作,如果是在策略路由中匹配失敗(拒絕),那么數(shù)據(jù)包將按正常方式轉(zhuǎn)發(fā);如果是用于路由再發(fā)布,并且匹配失敗(拒絕),那么路由將不會(huì)被再發(fā)布如果route map的陳述中沒有match語(yǔ)句,那么默認(rèn)的操作是匹配所有的數(shù)據(jù)包和路由;

　　每個(gè)route map的陳述可能有多個(gè)match和set語(yǔ)句,如下:

　　代碼如下:

　　! route-map Garfield permit 10

　　match ip route-source 15

　　match interface Serial0

　　set metric-type type-1

　　set next-hop 10.1.2.3 !

　　在這里,為了執(zhí)行set語(yǔ)句,每個(gè)match語(yǔ)句中都必須進(jìn)行匹配 .

　　基于策略的路由

　　基于策略的路由技術(shù)概述：

　　基于策略的路由為網(wǎng)絡(luò)管理者提供了比傳統(tǒng)路由協(xié)議對(duì)報(bào)文的轉(zhuǎn)發(fā)和存儲(chǔ)更強(qiáng)的控制能力，傳統(tǒng)上，路由器用從路由協(xié)議派生出來(lái)的路由表，根據(jù)目的地址進(jìn)行報(bào)文的轉(zhuǎn)發(fā)。

　　基于策略的路由比傳統(tǒng)路由強(qiáng)，使用更靈活，它使網(wǎng)絡(luò)管理者不能夠根據(jù)目的地址而且能夠根據(jù)，報(bào)文大小，應(yīng)用或IP源地址來(lái)選擇轉(zhuǎn)發(fā)路徑。策略可以定義為通過(guò)多路由器的負(fù)載平衡或根據(jù)總流量在各線上進(jìn)行轉(zhuǎn)發(fā)的服務(wù)質(zhì)量(QOS)。策略路由使網(wǎng)絡(luò)管理者能根據(jù)它提供的機(jī)定一個(gè)報(bào)文采取的具體路徑。而在當(dāng)今高性能的網(wǎng)絡(luò)中，這種選擇的自由性是很需要的。

　　策略路由提供了這樣一種機(jī)制：根據(jù)網(wǎng)絡(luò)管理者制定的標(biāo)準(zhǔn)來(lái)進(jìn)行報(bào)文的轉(zhuǎn)發(fā)。策略路由用MATCH和SET語(yǔ)句實(shí)現(xiàn)路徑的選擇。

　　策略路由是設(shè)置在接收?qǐng)?bào)文接口而不是發(fā)送接口。

　　基于源地址的策略路由

　　配置概述：

　　路由器A將192.1.1.1來(lái)的所有數(shù)據(jù)從接口S0發(fā)出，而將從192.1.1.2來(lái)的所有數(shù)據(jù)從接口S1發(fā)出。

　　路由器A定義幾個(gè)二級(jí)接口作為測(cè)試點(diǎn)。路由器A和B配置RIP.在A的ETHERNET接口上應(yīng)用IP策略路由圖LAB1,為從192.168.1.1來(lái)的數(shù)據(jù)設(shè)置下一跳接口為S0，為從192..1.1.2來(lái)的數(shù)位設(shè)置下一跳接口為S1，所有其他的報(bào)文將用基于目的地址的路由。

　　路由器配置：

　　代碼如下:

　　ROUTE A:

　　Version 11.2

　　No service udp-small-servers

　　No service tcp-small-servers

　　Hostname routerA

　　Interface ethernet0

　　Ip address 192.1.1.1 255.255.255.0 secondary

　　Ip address 192.1.1.2 255.255.255.0 secondary

　　Ip address 192.1.1.3 255.255.255.0 secondary

　　Ip address 192.1.1.10 255.255.255.0