【策略路由-MQC（模块化Qos命令）（2）】（MQC基本配置、PQC流量过滤）

目录

 一、MQC模块化Qos命令

​

二、MQC操作步骤

MQC步骤：

-1）先抓路由 ACL、inbound-interface、protocol、source-mac等

1）流量分类 traffic classifier

（  redirect 定义下一跳或出接口  、permit、deny等）

2）流行为 traffic behavior

3）关联绑定流分类和流行为 traffic policy

4）在入接口下应用 traffic-policy PBR inbound

三、MQC实验

1.拓扑图

实验需求：奇数路由走R1，偶数路由走R2

2.配置思路（在AR3上配置 ）

-1）acl抓路由

1）流分类traffic classifier

2）流行为traffic behavior

 3）流策略（关联流分类和流行为）traffic policy

4）在入接口下应用 traffic-policy PBR inbound

3. 完整配置

4.配置NAT（私网到公网地址转换）

5.验证实验

1）模拟器的bug：最开始ping换回口的时候，都没通，要在R3上ping一下直连才能生效

2）R3上ping一下直连

3） 再用PC1和PC2 ping一下换回口150.1.1.1

4）tracert一下路径

发现：

        奇数路由按照MQC的PBR下一跳去到了R1 

        偶数路由按照MQC的PBR下一跳去到了R2 

 5）查看统计信息

dis traffic policy statistics interface g0/0/2 inbound verbose rule-base 

 四、MQC流量过滤

流量过滤工具

ACL和MQC

1、拓扑图

实验需求：让PC能正常访问server服务器。

分析：

PC1ping不通server

3）查看基于接口的策略路由表

4）查看创建的策略路由条目

修改：先把前两条undo掉，再添加进去，这样最后一条就到第一条去了。

5） 再ping服务器server，通了

 3.策略路由、明细路由、缺省路由的区别

5.假设R1故障了

1）假如我们策略路由原本将奇数路由的下一跳丢给R1，为了保持高可靠性，我们希望即使R1因为故障原因down掉，还能走R2，继续保持正常通信。

2）思科效果

路由策略PBR：  

3）验证：普通PBR（不带default）优于 defaultPBR

4）验证：明细路由优于default路由 

---

 一、MQC模块化Qos命令

策略路由的一种：基本上用在Qos里，也可以用在普通的策略路由

二、MQC操作步骤

MQC步骤：

-1）先抓路由 ACL、inbound-interface、protocol、source-mac等

1）流量分类 traffic classifier

（  redirect 定义下一跳或出接口  、permit、deny等）

2）流行为 traffic behavior

3）关联绑定流分类和流行为 traffic policy

4）在入接口下应用 traffic-policy PBR inbound

三、MQC实验

1.拓扑图

实验需求：奇数路由走R1，偶数路由走R2

2.配置思路（在AR3上配置 ）

-1）acl抓路由

acl2001抓取奇数路由

acl2002抓取偶数路由

*查看当前配置的ACL基本规则

dis cu con acl-b

1）流分类traffic classifier

用流分类工具traffic classifier将抓取的ACL2001和ACL2002命名分类

#

traffic classifier ODD_CMAP operator or
 if-match acl 2002             //将抓取的ACL 2002的偶数路由，分类为偶数流量

#
traffic classifier EVEN_CMAP operator or
 if-match acl 2001             //将抓取的ACL 2001的奇数路由，分类为奇数流量

#

*查看当前配置的流分类

dis cur conf classifier

2）流行为traffic behavior

用流行为工具traffic behavior设置动作， 打开统计信息statistic enable

重定向 奇数路由 的下一跳为 R1（155.1.13.1）

重定向 偶数路由 的下一跳为 R2（155.1.23.2）

*查看当前配置的流行为

dis cu conf be

 3）流策略（关联流分类和流行为）traffic policy

 classifier EVEN_CMAP behavior EVEN_BMAP 将奇数流量的流分类 与 奇数流量的流行为绑定
 classifier ODD_CMAP behavior ODD_BMAP     将偶数流量的流分类 与 偶数流量的流行为绑定

*查看当前配置的流策略（绑定） 

dis cu conf trafficpolicy 

4）在入接口下应用 traffic-policy PBR inbound

3. 完整配置

4.配置NAT（私网到公网地址转换）

到此， 私网到公网可以通，但是公网不能通，于是配置NAT

用acl抓10.1.1.0的路由，运用在R3的出接口上（g0/0/0、g0/0/1）

#
acl number 2000  
 rule 5 permit source 10.1.1.0 0.0.0.255 
#
interface GigabitEthernet0/0/0
 ip address 155.1.13.3 255.255.255.0 
 nat outbound 2000
#
interface GigabitEthernet0/0/1
 ip address 155.1.23.3 255.255.255.0 
 nat outbound 2000
#

5.验证实验

1）模拟器的bug：最开始ping换回口的时候，都没通，要在R3上ping一下直连才能生效

2）R3上ping一下直连

 

 

3） 再用PC1和PC2 ping一下换回口150.1.1.1

 

4）tracert一下路径

发现：

        奇数路由按照MQC的PBR下一跳去到了R1 

        偶数路由按照MQC的PBR下一跳去到了R2 

 5）查看统计信息

由于之前在traffic behavior里打开了统计功能statistic enable，能查得到

dis traffic policy statistics interface g0/0/2 inbound verbose rule-base 

（查看基于规则的统计信息）

发现：奇数流量的策略有统计到，偶数流量的策略也统计到了

 四、MQC流量过滤

流量过滤工具

ACL和MQC

我们常用的是ACL进行流量过滤，因为简单方便。

在特殊场景，我们会用到MQC，因为MQC可以根据更多的特性去去匹配流量。

1、拓扑图

实验需求：让PC能正常访问server服务器。

分析：

同样的拓扑，但是这一次要考虑访问服务器的情况：

因为前面我们做了MQC的策略路由的控制，使得：只要是奇数路由就下一跳就走R1，只要是偶数路由就下一跳就走R2，这样PC1、PC2访问sever就直接经过NAT出去了 ，永远访问不到server服务器。

接下来我们就使用MQC流量过滤，解决这个问题。

2.实验

1）命令

#
acl number 3000   //创建高级ACL：用源、目的地址抓路由
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 
#
traffic classifier NON_PBR_CMAP operator or
 if-match acl 3000  //流分类：所有源为PC，目的为server的路由
#
traffic behavior NON_PBR_BMAP
 statistic enable   //流策略：放行路由（默认permit）
#
traffic policy PBR
 classifier NON_PBR_CMAP behavior NON_PBR_BMAP  //流分类与流策略绑定：放行-所有源为PC，目的为server的路由
#
 traffic-policy PBR inbound   //应用：在接口入方向应用
#

2）验证

PC1ping不通server

3）查看基于接口的策略路由表

 dis traffic policy statistics interface g0/0/2 inbound verbose rule-base

发现：

ping的服务器10.1.2.10，没有匹配一条信息

而奇数路由的条目却增加了

4）查看创建的策略路由条目

发现：后写进的策略路由，排在后面。

那先按照策略匹配规则，最后才会匹配这个访问server的路由

所以我们要调整一下顺序

修改：先把前两条undo掉，再添加进去，这样最后一条就到第一条去了。

5） 再ping服务器server，通了

说明：匹配了这条路由

 3.策略路由、明细路由、缺省路由的区别

1.同时存在策略路由和本地路由

        看策略路由（不带default）指定的下一跳

2.没有策略路由

        看普通明细路由

3.再看策略路由（带default）指定的下一跳

4.一条策略路由都没

        本地缺省路由 0.0.0.0 

5.假设R1故障了

1）假如我们策略路由原本将奇数路由的下一跳丢给R1，为了保持高可靠性，我们希望即使R1因为故障原因down掉，还能走R2，继续保持正常通信。

所以再加以改进，就能达到这种效果：（但是ensp无法展现实验效果，只能用思科来看看）

正常情况下，能实现负载均衡：奇数路由去R1、偶数路由去R2

 如果哪个坏掉，也能实现自动切换

2）思科效果

 

路由策略PBR：  

1）先acl抓路由：10.1.4.0的奇数路由和偶数路由

2）PBR路由策略：

        node10：如果匹配到奇数路由的ACL，下一跳默认给R3（155.1.13.3），普通的策略R2（155.1.1.12.2）

        node20：如果匹配到偶数路由的ACL，下一跳默认给R2（155.1.13.3），普通的策略R3（155.1.1.12.2）

 4）在此基础上：

这两条是R1检测R2的e0/0和R30/1是否存活的。

如果存活，用普通的不带default的PBR；

如果挂掉了，就启用default的PBR。

3）验证：普通PBR（不带default）优于 defaultPBR

以10.1.4.1（奇数路由）为源pingR2和R3

发现：奇数路由的下一跳都走R2（155.1.12.2）

 

***当R1的e0/0 down掉之后 

奇数路由 4.1去pingR2

 发现：4.1先走R3，再走R2

4）验证：明细路由优于default路由 

按目前的情况，R1的e0/0down掉后，走default的默认PBR，也就是说4.1这条奇数路由会走R1。此时我们写一条明细路由（静态路由）

 

这时要是明细路由生效，那么这个路由就被丢掉了（因为下一跳为null0）

 果然掉了！！