配置PBR以及重要注意点

简介:
最近在测试加速设备的时候,用到了PBR(策略路由policy-based routing)。其实PBR原理和配置并不是很难,有以下2个配置要点: 
1,使用ACL配置感兴趣流量,匹配源和目的地址,甚至是源和目的端口; 
2,使用路由图来匹配感兴趣流量,然后做下一跳指向; 
3,在相应的接口上启用该route-map。
下面一个简单的配置举例来说明PBR的使用:
ip access-list extended from10to20_acl 
  permit ip host 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
route-map from10tao20_map permit 
match ip add from10to20_acl 
set ip next-hot 192.168.30.3
int g0/1 
ip address 192.168.30.1 255.255.255.0 
ip policy route-map from10to20_map
到此配置案例结束。
需要注意: 
1,route-map中的match ip address语句可以匹配多条acl规则,即match ip address acl1 acl2 acl3……。不过不清楚match这么多acl是什么意思,能起到什么作用?一般都只会用到一个acl; 
2,match ip address可以匹配任何字符串,也就是说可以匹配一个空的acl。比如说上面的例子中如果将"from10to20_acl”写成了"rom10to20_acl”,是不会报错的。其实很明显是误写,配置中根本就没有"rom10to20_acl”这个acl。这个时候到达这个接口的流量就会全部丢弃。 
3,当你发现match语句中的acl写错了,而要重新写时,必须先将该match语句删除,然后再重写。否则你直接写的话,后面的acl就会跟在后面,如:match ip address rom10to20_acl from10to20_acl。
PBR中的路有图原理: 
1,每个路由图的结尾都隐含了一个拒绝操作。如果路由经过重新分配路由图二没有发生匹配,那么路由将不被重新分配。如果报文经过策略路由徒儿没有发生匹配,那么报文将被发送到常规路由进程。 
2,一个路由图序列中无set语句时,那么这些匹配的报文将发送到常规路由进程。 
3,match ip address acl1 acl2 … 通过实验debug已经证明只有第一个acl起作用。 
4,一个路由图序列中无match语句时,表示所有报文都匹配。 
5,匹配空acl时,效果就相当于没有设置match语句,即表示所有报文都匹配(这一点与上面有冲突,我反复试验都是相当于无match语句的效果)。当然我们配置的时候尽量仔细,不要出现空acl的情况。









本文转自 chris_lee 51CTO博客,原文链接:http://blog.51cto.com/ipneter/132623,如需转载请自行联系原作者

目录
相关文章
|
1月前
|
缓存 Java 数据库连接
常见配置
常见配置
33 1
|
7月前
|
网络虚拟化
VLANIF配置
VLANIF配置
80 0
|
7月前
|
Ubuntu 安全 算法
UbuntuSSH配置
UbuntuSSH配置
93 0
|
安全 Shell 网络安全
安全配置
一、 密码配置1、 全局明文密码:控制路由器从用户模式登录到特权模式的密码,显示为明文。Router (confi g)#enable password yujieRouter (config)#Router>enablePassword:明文密码加密:输入明文密码后,通过该命令将密码加密。Router (config)#service password-encryptionRouter(config)#2、 全局密文密码:控制路由器从用户模式登录到特权模式的密码,显示为密文。Router(config)#enable secret cntc-edu.comRoute(通过设置可使用用户在本地
安全配置
|
Ubuntu Java Linux
|
SQL 存储 关系型数据库