策略路由（Policy-Based-Route）

策略路由（Policy-Based-Route）

• 定义及运用场景
• 路由策略、策略路由的区别
• 策略路由规则
• 策略路由类型

• 本地策略路由
• 接口策略路由

• 配置案例一

• 基础配置
• 策略配置
• 分析原因
• 解决方法

• 补充

• 加菜

• 配置案例二

• 客户端、服务器配置
• 抓包验证
• 接口配置策略路由

定义及运用场景

PBR: Policy-Based-Route，该技术打破了路由表的传统选路规则，可以根据管理员定义的策略条件来选择性的转发数据包。

学生网段——ISP1

教师网段——ISP2

路由策略、策略路由的区别

策略路由规则

策略路由可以用在下一跳或者是出接口上

策略路由类型

本地策略路由

接口策略路由

配置案例一

本地策略路由:仅对本机下发的报文进行处理，对转发的报文不起作用。

R1:

g0/0/0:1.0.0.1

g0/0/1:2.0.0.1

R2：

g0/0/0:1.0.0.2

g0/0/1:2.0.0.2

lo 6:6.6.6.6

lo 7:7.7.7.7

R1上有两条静态路由

ip route-s 6.6.6.6 32 1.0.0.2

ip route-s 7.7.7.7 32 2.0.0.2

策略

去目的IP 7.7.7.7 走g0/0/0

去目的IP 6.6.6.6 走g0/0/1

基础配置

R1

sy
sy R1
int g0/0/0
ip add 1.0.0.1 24
int g0/0/1
ip add 2.0.0.1 24
q
ip route-s 6.6.6.6 32 1.0.0.2
ip route-s 7.7.7.7 32 2.0.0.2

R2

sy
sy R2
int g0/0/0
ip add 1.0.0.2 24
int g0/0/1
ip add 2.0.0.2 24
int lo 6 
ip add 6.6.6.6 32
int lo 7 
ip add 7.7.7.7 32

策略配置

ACL

策略

策略路由用在了接口上

查看结果

在R1上ping不通6.6.6.6、7.7.7.7

分析原因

抓包

R1接口g0/0/0

R1接口g0/0/1

ARP广播包发送只能在同一个网段内
而下一跳IP与目的网络IP不在同一个网段
所以出现了ping不通的情况

解决方法

在目的网路接口处开启ARP代理

arp-proxy enable

开启ARP代理后在ping

补充

当我们配置静态路由时建议用下一跳IP，不用出接口

关闭ARP代理，把策略路由改为下一跳

在路由器R2的接口上

undo arp-proxy enable

策略路由改为下一跳

删除原来应用在接口上的策略

改为下一跳

将策略路由用在下一跳上不做ARP代理也能ping通

加菜

pc1能ping通6.6.6.6、7.7.7.7

R1的g0/0/2

R2上做通往192.168.0.0的静态路由

PC1上ping6.6.6.6、7.7.7.7

请求走左边的接口

回复走右边的接口

原因：负载均衡

配置案例二

接口策略路由：仅对转发的报文器作用，对本地下发的报文不起作用。

用流分类、流行为、流策略控制ICMP的数据包从G0/0/1走

客户端、服务器配置

R2的G0/0/2:172.16.0.254

把配置案例一中的R2上的静态路由去掉

在R1、R2上运行动态路由OSPF

在服务器上启动FTP、HTTP服务

用客户端验证

抓包验证

接口配置策略路由

在路由器R1上配置流策略

重新抓包查看策略对数据包的影响效果