策略路由的配置步骤
l 策略路由的配置步骤如下:
Ø 创建route-map
Ø 通过ACL匹配感兴趣的数据,定义策略动作
Ø 在指定接口下通过ip policy 命令应用route-map
l 最终实现对通过该接口进入设备的数据进行检查,对匹配的数据执行规定的策略
创建route-map
l 路由器通过route-map语句对符合条件的数据包实施路由策略
Ø Permit:对符合条件的数据包实施策略
Ø Deny:对符合条件的数据包不实施策略
Sequence: 0-65535, route-map语句的执行顺序(插入/删除route-map语句 )
Router(config)#route-map route-map-name [permit | deny] sequencel route-map 最后有有一条deny所有的语句,对于没有匹配到策略路由的流量,不会把内网的流量丢弃, 而是做正常的IP路由转发。
定义出口
l 定义匹配规则后的操作,如对符合规则的数据包进行下一跳的设置。
l 先策略路由,后查路由表
Ø 定义发出的数据包的出口
Router(config-route-map)# set interface type number [...type number]Ø 定义发出的数据包的下一跳地址
Router(config-route-map)# set ip next-hop ip-address [...ip-address]l 特殊的下一跳:定义到达目的网络时无显式路由时的隐含下一跳地址
Ø 路由器先检查路由表,后检查策略路由
Router(config-route-map)# set ip default next-hop ip-address [...ip-address]应用到端口
l 在入口上应用策略路由,从该接口进入设备的数据会先执行PBR。
Ø 策略路由一定要应用到数据包的in方向接口,不能应用到数据包的out方向接口
Router(config-if)# ip policy route-map map-namel 查看策略路由
Router# show ip policy策略路由案例
l 根据数据源选择不同的出口,其余数据走默认路由
Ø 192.168.1.0用户访问外网强制走R5的线路;
Ø 192.168.2.0用户访问外网强制走R6的线路;
access-list 1 permit 192.168.1.0 0.0.0.255access-list 2 permit 192.168.2.0 0.0.0.255route-map PBR permit 10match ip address 1set ip next-hop 10.1.45.2route-map PBR permit 40match ip address 2set ip next-hop 10.1.46.2interface GigabitEthernet 0/0ip policy route-map PBRip route 0.0.0.0 0.0.0.0 10.1.45.2ip route 0.0.0.0 0.0.0.0 10.1.46.2 20l 根据数据源选择不同的出口,其余数据走默认路由
Ø 192.168.1.0用户访问外网强制走ISP1的线路;
Ø 192.168.2.0用户访问外网强制走ISP2的线路;
access-list 1 permit 192.168.1.0 0.0.0.255access-list 2 permit 192.168.2.0 0.0.0.255ip nat inside source list 1 interface G0/1 overloadip nat inside source list 2 interface G0/2 overload注意:路由器的其他配置均以省略,请根据情况配置
