21
2023
12
22:16:07

【案例分享】策略路由典型配置

1基于报文协议类型的本地策略路由配置举例


组网需求:

Router A分别与Router B和Router C直连(保证Router B和Router C之间路由完全不可达)。通过策略路由控制Router A产生的报文:

  • 指定所有TCP报文的下一跳为1.1.2.2;

  • 其它报文仍然按照查找路由表的方式进行转发。



组网图:



图1-1 基于报文协议类型的本地策略路由的配置举例组网图



配置步骤:

(1)配置Router A

# 配置GigabitEthernet接口的IP地址。
<RouterA> system-view
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ip address 1.1.2.1 24
[RouterA-GigabitEthernet1/0/1] quit
[RouterA] interface gigabitethernet 1/0/2
[RouterA-GigabitEthernet1/0/2] ip address 1.1.3.1 24
[RouterA-GigabitEthernet1/0/2] quit
# 定义访问控制列表ACL 3101,用来匹配TCP报文。
[RouterA] acl advanced 3101
[RouterA-acl-ipv4-adv-3101] rule permit tcp
[RouterA-acl-ipv4-adv-3101] quit
# 定义5号节点,指定所有TCP报文的下一跳为1.1.2.2。
[RouterA] policy-based-route aaa permit node 5
[RouterA-pbr-aaa-5] if-match acl 3101
[RouterA-pbr-aaa-5] apply next-hop 1.1.2.2
[RouterA-pbr-aaa-5] quit
# 在Router A上应用本地策略路由。
[RouterA] ip local policy-based-route aa


(2)配置Router B

# 配置GigabitEthernet接口的IP地址。
<RouterB> system-view
[RouterB] interface gigabitethernet 1/0/1
[RouterB-GigabitEthernet1/0/1] ip address 1.1.2.2 2


(3)配置Router C

# 配置GigabitEthernet接口的IP地址。
<RouterC> system-view
[RouterC] interface gigabitethernet 1/0/2
[RouterC-GigabitEthernet1/0/2] ip address 1.1.3.2 2



验证配置:

从Router A上通过Telnet方式登录Router B(1.1.2.2/24),结果成功。从Router A上通过Telnet方式登录Router C(1.1.3.2/24),结果失败。从Router A上ping Router C(1.1.3.2/24),结果成功。由于Telnet使用的是TCP协议,ping使用的是ICMP协议,所以由以上结果可证明:Router A产生的TCP报文的下一跳为1.1.2.2,接口GigabitEthernet1/0/2不发送TCP报文,但可以发送非TCP报文,策略路由设置成功。




2基于报文协议类型的转发策略路由配置举例


组网需求:

Router A分别与Router B和Router C直连(保证Router B和Router C之间路由完全不可达)。通过策略路由控制从Router A的以太网接口GigabitEthernet1/0/1接收的报文:

  • 指定所有TCP报文的下一跳为1.1.2.2;

  • 其它报文仍然按照查找路由表的方式进行转发。



组网图:



图1-2 基于报文协议类型的转发策略路由的配置举例组网图



配置步骤:

(1)配置IP地址和单播路由协议,确保Router B和Host A,Router C和Host A之间路由可达,具体配置过程略。


(2)配置Router A

# 定义访问控制列表ACL 3101,用来匹配TCP报文。
[RouterA] acl advanced 3101
[RouterA-acl-ipv4-adv-3101] rule permit tcp
[RouterA-acl-ipv4-adv-3101] quit
# 定义5号节点,指定所有TCP报文的下一跳为1.1.2.2。
[RouterA] policy-based-route aaa permit node 5
[RouterA-pbr-aaa-5] if-match acl 3101
[RouterA-pbr-aaa-5] apply next-hop 1.1.2.2
[RouterA-pbr-aaa-5] quit
# 在以太网接口GigabitEthernet1/0/1上应用转发策略路由,处理此接口接收的报文。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ip policy-based-route aaa
[RouterA-GigabitEthernet1/0/1] qui



验证配置:

从Host A上通过Telnet方式登录Router B,结果成功。

从Host A上通过Telnet方式登录Router C,结果失败。

从Host A上ping Router C,结果成功。

由于Telnet使用的是TCP协议,ping使用的是ICMP协议,所以由以上结果可证明:从Router A的以太网接口GigabitEthernet1/0/1接收的TCP报文的下一跳为1.1.2.2,接口GigabitEthernet1/0/3不转发TCP报文,但可以转发非TCP报文,策略路由设置成功。




3基于报文长度的转发策略路由配置举例


组网需求:

通过策略路由控制从Router A的以太网接口GigabitEthernet1/0/1接收的报文:

  • IP报文长度为64~300字节的报文以150.1.1.2/24作为下一跳IP地址;

  • 长度为301~1000字节的报文以151.1.1.2/24作为下一跳IP地址;

  • 所有其它长度的报文都按照查找路由表的方式转发。



组网图:



图1-3 基于报文长度的转发策略路由的配置举例组网图



配置步骤:

(1)配置IP地址和单播路由协议,确保各设备之间路由可达,具体配置过程略。


(2)配置Router A

# 配置策略lab1,将长度为64~300字节的报文转发到下一跳150.1.1.2,而将长度为301~1000字节的报文转发到下一跳151.1.1.2。
[RouterA] policy-based-route lab1 permit node 10
[RouterA-pbr-lab1-10] if-match packet-length 64 300
[RouterA-pbr-lab1-10] apply next-hop 150.1.1.2
[RouterA-pbr-lab1-10] quit
[RouterA] policy-based-route lab1 permit node 20
[RouterA-pbr-lab1-20] if-match packet-length 301 1000
[RouterA-pbr-lab1-20] apply next-hop 151.1.1.2
[RouterA-pbr-lab1-20] quit
# 在以太网接口GigabitEthernet1/0/1上应用定义的策略lab1,处理此接口接收的报文。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ip policy-based-route lab1
[RouterA-GigabitEthernet1/0/1] qui



验证配置:

# 在Router A上使用debugging ip policy-based-route命令监视策略路由。
<RouterA> debugging ip policy-based-route
<RouterA> terminal logging level 7
<RouterA> terminal monito

# 从Host A上Ping Router B的Loopback0,并将报文数据字段长度设为64字节,这样,从IP头到报文末尾的总长度在64~300字节之间。
C:\>ping –n 1 -l 64 10.1.1.1
Pinging 10.1.1.1 with 64 bytes of data:
Reply from 10.1.1.1: bytes=64 time=1ms TTL=64
Ping statistics for 10.1.1.1:
    Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 1ms, Average = 1m


从Router A上显示的策略路由调试信息如下:

<RouterA>
*Jun  26 12:04:33:519 2012 RouterA PBR4/7/PBR Forward Info: -MDC=1; Policy:lab1, Node:10,match succeeded.
*Jun  26 12:04:33:519 2012 RouterA PBR4/7/PBR Forward Info: -MDC=1; apply next-hop 150.1.1.2.


以上策略路由信息显示,Router A在接收到报文后,根据策略路由确定的下一跳为150.1.1.2,也就是说将报文从接口GigabitEthernet1/0/2转发出去。

# 从Host A上Ping Router B的Loopback0,并将报文数据字段长度设为300字节,这样,从IP头到报文末尾的总长度在301~1000字节之间。
C:\> ping –n 1 -l 300 10.1.1.1
Pinging 10.1.1.1 with 300 bytes of data:
Reply from 10.1.1.1: bytes=300 time=1ms TTL=64
Ping statistics for 10.1.1.1:
    Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 1ms, Average = 1m


从Router A上显示的策略路由调试信息如下:

<RouterA>
*Jun  26 12:20:33:610 2012 RouterA PBR4/7/PBR Forward Info: -MDC=1; Policy:lab1, Node:20,match succeeded.
*Jun  26 12:20:33:610 2012 RouterA PBR4/7/PBR Forward Info: -MDC=1; apply next-hop 151.1.1.2.

以上策略路由信息显示,Router A在接收到报文后,根据策略路由确定的下一跳为151.1.1.2,也就是说将报文从接口GigabitEthernet1/0/3转发出去。




4基于报文源地址的转发策略路由配置举例


组网需求:

Router A分别与Router B和Router C直连(保证Router B和Router C之间路由完全不可达)。通过策略路由控制从Router A的以太网接口GigabitEthernet1/0/1接收的报文:

  • 源地址为192.168.10.2的报文以4.1.1.2/24作为下一跳IP地址;

  • 其它源地址的报文以5.1.1.2/24作为下一跳IP地址。



组网图:



图1-4 基于报文源地址的转发策略路由的配置举例组网图



配置步骤:

(1)配置IP地址和单播路由协议,确保Router B和Host A/Host B,Router C和Host A/Host B之间路由可达,具体配置过程略。


(2)配置Router A

# 定义访问控制列表ACL 2000,用来匹配源地址为192.168.10.2的报文。
[RouterA] acl basic 2000
[RouterA-acl-ipv4-basic-2000] rule 10 permit source 192.168.10.2 0
[RouterA-acl-ipv4-basic-2000] quit
# 定义0号节点,指定所有源地址为192.168.10.2的报文的下一跳为4.1.1.2。
[RouterA] policy-based-route aaa permit node 0
[RouterA-pbr-aaa-0] if-match acl 2000
[RouterA-pbr-aaa-0] apply next-hop 4.1.1.2
[RouterA-pbr-aaa-0] quit
[RouterA] policy-based-route aaa permit node 1
[RouterA-pbr-aaa-1] apply next-hop 5.1.1.2
[RouterA-pbr-aaa-1] quit
# 在以太网接口GigabitEthernet1/0/1上应用转发策略路由,处理此接口接收的报文。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ip policy-based-route aaa
[RouterA-GigabitEthernet1/0/1] qui



验证配置:

从Host A上ping Router B,结果成功。

从Host B上ping Router B,结果失败。

从Host A上ping Router C,结果失败。

从Host B上ping Router C,结果成功。

以上结果可证明:从Router A的以太网接口GigabitEthernet1/0/1接收的源地址为192.168.10.2的报文的下一跳为4.1.1.2,所以Host A能ping通Router B,源地址为192.168.10.3的下一跳5.1.1.2,所以Host B能ping通Router C,由此表明策略路由设置成功。




5基于报文应用类型的转发策略路由配置举例


组网需求:

Router A分别与Router B和Router C直连(保证Router B和Router C之间路由完全不可达)。通过策略路由控制从Router A的以太网接口GigabitEthernet1/0/1接收的报文:

  • 指定所有HTTP报文的下一跳为1.1.2.2;

  • 其它报文仍然按照查找路由表的方式进行转发。



组网图:



图1-5 基于报文应用类型的转发策略路由的配置举例组网图



配置步骤:

(1)配置IP地址和单播路由协议,确保Router B和Host A,Router C和Host A之间路由可达,具体配置过程略。


(2)配置Router A

# 定义应用组http,用来匹配HTTP报文。
[RouterA] app-group http
[RouterA-app-group-http] include application http
[RouterA-app-group-http] quit
# 定义5号节点,指定所有HTTP报文的下一跳地址为1.1.2.2。
[RouterA] policy-based-route aaa permit node 5
[RouterA-pbr-aaa-5] if-match app-group http
[RouterA-pbr-aaa-5] apply next-hop 1.1.2.2
[RouterA-pbr-aaa-5] quit
# 在以太网接口GigabitEthernet1/0/1上应用转发策略路由,处理此接口接收的报文。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ip policy-based-route aaa
[RouterA-GigabitEthernet1/0/1] qui



验证配置:


从Host A上通过Web方式登录Router B,结果成功。

从Host A上通过Web方式登录Router C,结果失败。

从Host A上ping Router C,结果成功。

由于Web应用使用的是HTTP协议,ping使用的是ICMP协议,所以由以上结果可证明:从Router A的以太网接口GigabitEthernet1/0/1接收的HTTP报文的下一跳都会被修改为1.1.2.2,所以HTTP报文都会从接口GigabitEthernet1/0/2转发出去;而接口GigabitEthernet1/0/3可以转发非HTTP报文,策略路由设置成功。




6基于报文服务类型的转发策略路由配置举例


组网需求:

Router A分别与Router B和Router C直连(保证Router B和Router C之间路由完全不可达)。通过策略路由控制从Router A的以太网接口GigabitEthernet1/0/1接收的报文:

  • 指定所有FTP报文的下一跳为1.1.2.2;

  • 其它报文仍然按照查找路由表的方式进行转发。



组网图:



图1-6 基于报文服务类型的转发策略路由的配置举例组网图



配置步骤:

(1)配置IP地址和单播路由协议,确保Router B和Host A,Router C和Host A之间路由可达,具体配置过程略。


(2)配置Router A

# 定义5号节点,关联系统预定义的ftp服务对象组,指定所有FTP报文的下一跳为1.1.2.2。
[RouterA] policy-based-route aaa permit node 5
[RouterA-pbr-aaa-5] if-match object-group service ftp
[RouterA-pbr-aaa-5] apply next-hop 1.1.2.2
[RouterA-pbr-aaa-5] quit
# 在以太网接口GigabitEthernet1/0/1上应用转发策略路由,处理此接口接收的报文。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ip policy-based-route aaa
[RouterA-GigabitEthernet1/0/1] qui



验证配置:

从Host A上通过FTP方式登录Router B,结果成功。

从Host A上通过FTP方式登录Router C,结果失败。

从Host A上ping Router C,结果成功。

由于ping使用的是ICMP协议,所以由以上结果可证明:从Router A的以太网接口GigabitEthernet1/0/1接收的FTP报文的下一跳都会被修改为1.1.2.2,所以FTP报文都会从接口GigabitEthernet1/0/2转发出去;而接口GigabitEthernet1/0/3可以转发非FTP报文,策略路由设置成功。




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/4734.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: