策略路由配置举例

Document #: 2855035D22001

Body:

[标题]
策略路由配置举例

内容提要:
本篇文章着重介绍了策略路由的配置

说明:

本篇文章着重介绍了策略路由的配置,我们以 Catalyst 3550 交换机为例,虽然 3550 是交换机,该交换机有 3 层路由功能,且我们在这里主要是参考策略路由的配置,因此假定 3550 是一台路由设备。


网络拓扑见图:


我们的策略路由在 Cat3550 上实施,假如 3550 交换机有三个出口,分别隶属于 VLAN 1, VLAN 2, VLAN3 。在我们的例子里,我们在 VLAN 2 所连接的以太口上实施策略路由。由于策略路由是针对进入路由器的数据包,因此,凡是从 VLAN 2 进入路由器的数据包,都会被路由器所配置的策略路由所检查,凡是有匹配的,则根据策略进行相应的转发;如果最终没有匹配,则数据包会进行正常的路由处理。

下面是 3550 上的配置:
CAT3550 (Cisco Catalyst 3550)
CAT3550# show running-config
Building configuration...
.
.
!
interface Vlan1
ip address 10.10.10.1 255.255.255.0
!
interface Vlan2
ip address 20.20.20.1 255.255.255.0
ip policy route-map pbr
!
interface Vlan3
ip address 30.30.30.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.10.10.2
ip classless
ip http server
!
!
access-list 10 permit 20.20.20.0 0.0.0.255
route-map pbr permit 10
match ip address 10
set ip next-hop 30.30.30.2
!
.
!
end

可以看出, 3550 3 个逻辑 3 层接口: interface Vlan1, Vlan2, Vlan3 ,分别连接到 3 个不同的网段: 10.10.10.0/24, 20.20.20.0/24, 30.30.30.0/24
另外,还有一条默认路由,指向 10.10.10.2 ,即图中 3550 上方的路由器。
就是说,通常情况下,从 VLAN2 进入 3550 的数据包在没有明确路由指定的情况下都会送到 VLAN1 上。
再来看看策略路由的配置,我们知道,策略路由是针对进入设备的数据包,在这里,策略路由应用在 interface Vlan2 上:
interface Vlan2
ip address 20.20.20.1 255.255.255.0
ip policy route-map pbr
!
所有从 Vlan2 进入设备的数据包都会被策略路由所处理,而策略路由是通过 route-map 实现的。
这是 route-map pbr 的配置:
route-map pbr permit 10
match ip address 10
set ip next-hop 30.30.30.2
!
route-map 可以写很多条,每条需要用不同的序号标识,数据包会按照序号进行逐条匹配,在这里序号为 10
另外,每条可以使用 permit 参数,如果匹配,则对匹配的数据进行策略路由操作。如果数据被标识为 deny route-map 项匹配了,则该数据包不参与策略路由,该数据包被传统的基于目的地的路由方式路由。如果数据包经过每条 entry 都不匹配,也会被送到正常的路由方式进行处理。
这里数据进入策略路由过滤器后,先匹配序号为 10 的项,过滤数据包的标准是访问控制列表 10
access-list 10 permit 20.20.20.0 0.0.0.255
这是一个标准的访问控制列表,即凡是从 20.20.20.0/24 的源 IP 都满足要求;对于满足要求的数据包都会转发到下一跳为 30.30.30.2 路由器上。而那些源 IP 20.20.20.0/24 的进入 Vlan2 接口的数据包,会按照路由表转发,默认会送到 10.10.10.2 路由器上

你可能感兴趣的:(安全设备和网络安全方案)