Document #: 2855035D22001
Body:
[标题]
策略路由配置举例
内容提要:
本篇文章着重介绍了策略路由的配置
说明:
本篇文章着重介绍了策略路由的配置,我们以 Catalyst 3550 交换机为例,虽然 3550 是交换机,该交换机有 3 层路由功能,且我们在这里主要是参考策略路由的配置,因此假定 3550 是一台路由设备。
网络拓扑见图:
我们的策略路由在
Cat3550
上实施,假如
3550
交换机有三个出口,分别隶属于
VLAN 1, VLAN 2, VLAN3
。在我们的例子里,我们在
VLAN 2
所连接的以太口上实施策略路由。由于策略路由是针对进入路由器的数据包,因此,凡是从
VLAN 2
进入路由器的数据包,都会被路由器所配置的策略路由所检查,凡是有匹配的,则根据策略进行相应的转发;如果最终没有匹配,则数据包会进行正常的路由处理。
下面是
3550
上的配置:
CAT3550 (Cisco Catalyst 3550)
|
CAT3550# show running-config Building configuration... . . ! interface Vlan1 ip address 10.10.10.1 255.255.255.0 ! interface Vlan2 ip address 20.20.20.1 255.255.255.0 ip policy route-map pbr ! interface Vlan3 ip address 30.30.30.1 255.255.255.0 ! ip route 0.0.0.0 0.0.0.0 10.10.10.2 ip classless ip http server ! ! access-list 10 permit 20.20.20.0 0.0.0.255 route-map pbr permit 10 match ip address 10 set ip next-hop 30.30.30.2 ! . ! end |
可以看出,
3550
有
3
个逻辑
3
层接口:
interface Vlan1, Vlan2, Vlan3
,分别连接到
3
个不同的网段:
10.10.10.0/24, 20.20.20.0/24, 30.30.30.0/24
另外,还有一条默认路由,指向
10.10.10.2
,即图中
3550
上方的路由器。
就是说,通常情况下,从
VLAN2
进入
3550
的数据包在没有明确路由指定的情况下都会送到
VLAN1
上。
再来看看策略路由的配置,我们知道,策略路由是针对进入设备的数据包,在这里,策略路由应用在
interface Vlan2
上:
interface Vlan2
ip address 20.20.20.1 255.255.255.0
ip policy route-map pbr
!
所有从
Vlan2
进入设备的数据包都会被策略路由所处理,而策略路由是通过
route-map
实现的。
这是
route-map pbr
的配置:
route-map pbr permit 10
match ip address 10
set ip next-hop 30.30.30.2
!
route-map
可以写很多条,每条需要用不同的序号标识,数据包会按照序号进行逐条匹配,在这里序号为
10
。
另外,每条可以使用
permit
参数,如果匹配,则对匹配的数据进行策略路由操作。如果数据被标识为
deny
的
route-map
项匹配了,则该数据包不参与策略路由,该数据包被传统的基于目的地的路由方式路由。如果数据包经过每条
entry
都不匹配,也会被送到正常的路由方式进行处理。
这里数据进入策略路由过滤器后,先匹配序号为
10
的项,过滤数据包的标准是访问控制列表
10
:
access-list 10 permit 20.20.20.0 0.0.0.255
这是一个标准的访问控制列表,即凡是从
20.20.20.0/24
的源
IP
都满足要求;对于满足要求的数据包都会转发到下一跳为
30.30.30.2
路由器上。而那些源
IP
不
20.20.20.0/24
的进入
Vlan2
接口的数据包,会按照路由表转发,默认会送到
10.10.10.2
路由器上