思科Cisco策略路由与路由策略实例详解
枫林残忆YCY
本文讲述了思科Cisco策略路由与路由策略。分享给大家供大家参考,具体如下:
一、策略路由
1. 路由策略与策略路由
- 路由策略是对路由信息本身的参数进行修改、控制等,最终影响路由表的生成,说白了路由策略就是告诉设备怎么学,一般与BGP结合使用比较多。
- 策略路由PBR,策略基于路由重点在路由,就是通过策略控制数据包的转发方向。也有人把策略路由称之为一个复杂的静态路由。
- 一般来讲,策略路由是先于路由表执行的。即设备在转发报文时,首先将报文与策略路由的匹配规则进行比较。若符合匹配条件,则按策略路由进行转发;如果报文无法匹配策略路由的条件,再按照普通路由进行转发。
- 策略路由在转化层面不如路由表。原因是匹配的东西过多,底层芯片处理支持有限。使用原则是能不用就不用。如果出现非目的地址的转发策略,果断用。
2. 策略路由的特点
- 传统的路由表转发只能通过数据的目标地址做决策;策略路由可以根据源地址、目的地址、源端口、目的端口、协议、TOS等流量特征来做策略提供路由,灵活性高。
- 为QoS服务。使用route-map及策略路由可以根据数据包的特征修改其相关QoS项,进行为QoS服务。
- 负载均衡。使用策略路由可以设置数据包的行为,比如下一跳、下一接口等,这样在存在多条链路的情况下,可以根据数据包的应用不同而使用不同的链路,进而提供高效的负载均衡能力。
- 策略路由PBR默认只对穿越流量生效,不能处理本路由器产生流量
3.策略路由的配置
3.1 接口下配置
接口下只能捕获该接口的入接口流量做策略(不能处理本路由器产生流量)
R1(config)#access-list 100 permit ip host 1.1.1.1 any //用ACL捕获流量 R1(config)#route-map pbr permit 10 //定义route-map R1(config-route-map)#match ip add 100 //调用被ACL捕获的流量 R1(config-route-map)#set ip next-hop 10.1.1.1 //设置下一跳 R1(config-route-map)#exit R1(config)#int f0/0 R1(config-if)#ip policy route-map pbr //接口下调用
3.2 全局配置
能够捕获所有入接口流量以及本路由器产生的流量(源地址是本路由器流量)
R1(config)#access-list 100 permit ip host 1.1.1.1 any //用ACL捕获流量 R1(config)#route-map pbr permit 10 //定义route-map R1(config-route-map)#match ip add 100 //调用被ACL捕获的流量 R1(config-route-map)#set ip next-hop 10.1.1.1 //设置下一跳 R1(config-route-map)#exit R1(config)#ip local policy route-map pbr //全局下调用
3.3 策略路由的冗余设置
R1(config)#route-map PBR permit 10 R1(config-route-map)#set ip next-hop verify-availability 10.1.24.2 1 track 1 //设置track监控,若track监控成功,执行该语句;若失败,则转为执行下条语句 R1(config-route-map)#set ip next-hop 10.1.34.3 R1(config-route-map)#exit R1(config)#ip local policy route-map PBR R1(config)#track 1 ip sla 1 //定义一个track监控 sla的探测结果 R1(config-track)#ip sla 1 //定义一个sla R1(config-ip-sla)#icmp-echo 10.1.12.1 source-ip 10.4.4.4 //设置其探针 R1(config)#ip sla schedule 1 life forever start-time now //设置sla 1的执行时间
3.4 default语句
在route-map的set ip default这个位置输入,定义为被捕获的流量先查路由表,如果能精确匹配(如果抓的为10.5.5.5,路由表中有10.5.5.5/24这不叫精确匹配;如果10.5.5.5/32则叫精确匹配)就执行路由表;如果不能则执行策略路由。
sex ip next-hop和set ip default next-hop命令十分相似,但操作顺序完全不同。set ip next-hop命令使得路由器首先检查策略路由,不符合策略后使用路由表进行数据包转发处理;set ip default next-hop命令使得路由器首先检查路由表,若发现没有明确路由则使用策略路由进行数据包转发处理。
R1(config)#access-list 100 permit ip host 1.1.1.1 any //用ACL捕获流量 R1(config)#route-map pbr permit 10 //定义route-map R1(config-route-map)#match ip add 100 //调用被ACL捕获的流量 R1(config-route-map)#set ip default next-hop 10.1.1.1 //设置下一跳 R1(config-route-map)#exit R1(config)#int f0/0 R1(config-if)#ip policy route-map pbr //接口下调用
3.5 为流量打ToS标记
R1(config)#route-map PBR permit 10 R1(config-route-map)#match ip address 1 R1(config-route-map)#set ip precedence priority //设置队列优先级(优先出接口)
二、路由策略
在控制层面抓取流量后,对流量进行修改编辑,最终影响设备路由表的生成,从而控制选路
1.抓取流量的列表
1.1 ACL访问控制列表
专用于限制数据层面流量;也可用于抓取控制层面的流量,但因为不匹配子网掩码,故将无法精确的抓取控制层面流量
1.2 prefix-list前缀列表
用于专用于抓取控制层面流量;规则是自上而下逐一匹配,上条匹配按上条执行,不再查看下条;末尾隐含拒绝所有
R1(config)#ip prefix-list xxx permit 1.1.1.0/24 ge 26 le 28 允许1.1.1.0/24掩码范围在26到28位之间 R1(config)#ip prefix-list xxx seq 6 permit 2.2.2.0/24 还可以利用序号插入 R1(config)#ip prefix-list xxx permit 0.0.0.0/0 le 32 允许所有
2. 路由策略工具
2.1 distribute-list分发列表
- 在控制层面流量的进或出接口上,限制路由条目的发送和接收。本身并没有过滤功能,需借助ACL或者前缀列表抓取流量。
- 在DV性协议中,在in和out方向均可实施;
- 在LS协议中,仅仅在in方向实施,并且不能过滤LSA,仅仅阻止该路由加表;
- 在重发布过程中(将A协议重发布到B协议时),进入B协议,使用out+A协议
R1(config)#ip prefix-list a deny 2.2.2.0/24 R1(config)#ip prefix-list a permit 0.0.0.0/0 le 32 R1(config)#router rip R1(config-router)#distribute-list prefix a out s1/0
2.2 route-map路由镜像
功能性非常强的策略列表,可以用来过滤路由也可用来调整路由的属性,自身具备过滤功能;其末尾隐含拒绝所有,故需创建一个空表,用于允许所有。需配合ACL或前缀列表使用
R1(config)#access-list 1 permit 2.2.2.0 0.0.0.255 R1(config)#route-map a deny 10 R1(config-route-map)#match ip address 1 R1(config-route-map)#exit R1(config)#route-map permit 20 R1(config-route-map)#exit R1(config)#router ospf 110 R1(config-router)#redistribute rip subnets route-map a
2.3 OSPF filter-list
只能针对三类LSA,并且在所有ABR上都需配置,需配合前缀列表使用
R1(config)#ip prefix-list a deny 2.2.2.0/24 R1(config)#ip prefix-list a permit 0.0.0.0/0 le 32 R1(config)#router ospf 110 R1(config-router)#area 0 filter-list prefix a in
BGP相关路由策略下次写吧。