浅析PBR(基于策略的路由)

1.PBR(基于策略的路由)概述

基于策略的路由(PBR)是一种灵活的数据包路由转发机制。通过在路由器上应用策略路由,使路由器根据路由映射(route-map)决定经过路由器的数据包如何处理。路由映射决定了一个数据包的下一跳转发路由器。

在路由器上应用策略路由,必须要指定策略路由使用的路由映射(route-map),并且要创建路由映射。一个路由映射由很多条策略组成,每个策略都定义了1个或多个匹配规则和对应操作。一个接口应用策略路由后,将对该接口收到的所有包进行检查,不符合路由映射中所定义的数据包将会被按照正常路由转发进行处理,符合路由映射中的策略的数据包,就按照策略中定义的操作进行处理。

策略路由主要应用在企业路由表复杂或者需要对路由进行控制的情况下,特别是当企业网络出口有两条,需要对不同服务和应用或者不同客户端的路由进行控制时,当然企业内部运行两个网络或者更多的网络时也经常要用到路由策略;另外,策略路由除了应用在非正常的路由选路之外,它还可以用来防止病毒或黑客的攻击,使用条件语句将病毒或攻击的特征码匹配出来,然后再指定一个安全策略(如使用黑洞路由)将攻击阻断.

黑洞路由是对动态路由选择协议的一个补充。黑洞路由可以将不想要的流量转发到一个称为null0的接口中去。我们可以建立一条或一些静态路由,将精确匹配这些路由的流量丢弃。和ACL不同的是,Cisco IOS的所有交换过程,包括CEF,都能处理黑洞路由,而不降低性能。需要注意的是,PBR技术不支持配置了PBR的路由器始发流量和到达该路由器的流量。

2.实例解析

wKiom1NfrsaRbjiQAARRCWti3-E383.jpg

全网络配置成OSPF区域,并将192.168.1.0和192.168.2.0网络重分布进来

wKioL1NfraeByrZrAAIHgNRZ8o0451.jpg

wKioL1NfraiydO-BAACm8aStKwg838.png

通过路由策略来实现:老板的流量通过R3普通员工的流量经过R4

配置思路:

正常情况下员工和老板的流量都会R3到R5,因此我们要做策略来影响192.168.2.0网络

从R2经过R4到R5

首先定义一条访问控制列表

wKiom1NftuOQYbgFAAH9fMiDXo4727.jpg

定义路由映射route-map

wKiom1Nft3LyXOsxAAA-bl3dDJk196.png

在接口上调用route-map,记住此处掉用route-map的接口一定是R2和R1相连的

接口,因为策略高于路由在路由条目进入R2之前对其设置一定的策略。

wKioL1NfuOTzxow_AAG85RfVlts989.jpg

测试一下是否达到我们的要求:

来自192.168.1.0网络的流量经过R3到达R5

来自192.168.2.0网络的流量经过R4到达R5

wKiom1NfudeD2vznAAICVYhYlxI001.jpg

wKioL1NfujbS9kINAAI3ZOVM1cA488.jpg

 

 

 

 

 

 

 

 

 

 

 

你可能感兴趣的:(客户端,路由器,路由表,数据包,特征码)