专栏目录
IGMP ISIS认证、汇总、过滤等高级特性 OSPF基础——区域外路由和5类转发 OSPF协议特性 三层组网 华为防火墙 OSPF基础——区域内LSA OSPF汇总 BGP——基础概念 组播 RSTP和MSTP VPN、VRF OSPF和ISIS区别 路由策略(双点双向) OSPF特殊区域 BGP高级特性 交换机堆叠与集群 ISIS报文、邻居、数据库、SPF计算 BGP——报文和路由传递规则 流量过滤和转发路径控制(PBR、MQC) BFD+VRRP+MSTP+DHCP综合实验 BGP——路径属性和路由反射器 ISIS概念 OSPF基础——区域间ABR和虚链路 ISIS数据库同步和外部路由 VRRP、BFD 防火墙虚拟系统 OSPF基础——区域内SPF计算 BGP——联盟、聚合、优选 PIM

流量过滤和转发路径控制(PBR、MQC)

似梦清欢
• 阅读 108

PBR

流量过滤和转发路径控制(PBR、MQC)

PBR(策略路由):PBR使得网络设备不仅能够基于报文的目的IP地址进行数据转发,更能基于其他元素进行数据转发,例如源IP地址、源MAC地址、目的MAC地址、源端口号、目的端口号、VLAN-ID等等。

::: tip 模拟器中只能使用Router设备来实现PBR。 流量过滤和转发路径控制(PBR、MQC) ::: 流量过滤和转发路径控制(PBR、MQC) 拓扑中Router做OSPF邻居,OSPF链路开销无论带宽都是1。

最短路径优先原则,PC1访问PC2、3不会走AR3: 流量过滤和转发路径控制(PBR、MQC)

要求通过PBR做策略路由将PC1访问PC3的流量引导到AR3进行数据转发。 流量过滤和转发路径控制(PBR、MQC)

::: tip 步骤:

  1. 使用ACL匹配出想要做策略的流量(一般是源地址或目标地址,源地址没有唯一性,二选一时选择目标地址)。目标地址匹配使用高级ACL。
  2. 使用策略匹配该流量指定下一跳转发。 :::
    [AR1-acl-adv-3000]rule 5 permit ip source 192.168.1.1 0 destination 172.16.2.3 0
    ::: warning

只看ACL无法得知是匹配路由还是流量,ACL应用在对于流量做管控的设备(PBR)上,匹配出的就是流量。 :::

[AR1]policy-based-route test permit node 10 
[AR1-policy-based-route-test-10]if-match acl 3000 
[AR1-policy-based-route-test-10]apply ip-address next-hop 10.1.13.3

如上命令的作用是新建一条策略匹配出acl 3000抓取的流量,把acl 3000对应的流量按照下一跳10.1.13.3进行转发,不按照路由表的10.1.12.2转发,即从AR3进行转发。

::: tip PBR支持全局调用和接口调用:

  • 接口调用:对于接口接收到的流量执行对应的策略。
  • 全局调用:对于自身的始发流量执行对应的策略。 接口和全局的策略可以同时调用。 ::: 由上可得,对于PC1去往PC3的流量,如果采用接口调用的方式,需要在E0/0/0接口做PBR。
    [AR1-Ethernet0/0/0]ip policy-based-route test     接口调用策略
    查看效果: 流量过滤和转发路径控制(PBR、MQC) ::: warning 做策略后,路由表保持不变,原因是路由表是控制平面,PBR是转发平面。 ::: 查看PBR策略的转发条目: 流量过滤和转发路径控制(PBR、MQC)
    [AR1-acl-adv-3000]rule 10 permit ip source 192.168.1.254 0 destination 172.16.2.3 0
[AR1]ip local policy-based-route test
    流量过滤和转发路径控制(PBR、MQC)

::: tip 策略路由的ACL只能用permit,不能用deny。 ::: 流量过滤和转发路径控制(PBR、MQC) AR1新建lo0口测试: 流量过滤和转发路径控制(PBR、MQC)

[AR1-acl-adv-3000]rule 15 permit ip source 1.1.1.1 0 destination 172.16.2.3 0

流量过滤和转发路径控制(PBR、MQC)

[AR1-acl-adv-3000]rule 15 deny ip source 1.1.1.1 0 destination 172.16.2.3 0

流量过滤和转发路径控制(PBR、MQC) 配置成deny模式后,如果是按照路由表转发,路由表的下一跳被拒绝,就无法进行通信。如果按照转发表转发时,deny的配置在接口和全局上都不会生效。

MQC

MQC(模块化QoS命令行)是指通过将具有某类共同特征的数据流划分为一类,并为同一类数据流提供相同的服务,也可以对不同类的数据流提供不同的服务。 MQC包含三个要素:流分类、流行为和流策略。 ::: tip 1.流分类:定义一组流量匹配规则,以对报文进行分类。 2.流行为:用来定义执行的动作,支持报文过滤、重标记优先级、重定向、流量统计等动作。 3.流策略:将流分类和流行为绑定,对分类后的报文执行对应流行为中定义的动作。 一个流策略可以绑定多个流分类和流行为。 ::: MQC的流行为支持重定向报文,因此可以使用MQC实现IP单播策略路由。 流量过滤和转发路径控制(PBR、MQC) 上述拓扑新建完成后,PC1-1访问PC2-1和PC2-2的路径: 流量过滤和转发路径控制(PBR、MQC)

使用MQC的方式实现流量途径AR3-1设备:

[AR1]acl 3000
[AR1-acl-adv-3000]rule 10 permit ip source 192.168.1.1 0 destination 172.16.2.1 0
[AR1]traffic classifier PC1-1_PC2-1     流分类    
[AR1-classifier-PC1-1_PC2-1]if-match acl 3000    匹配对应的业务流

::: tip 流量过滤和转发路径控制(PBR、MQC) operator参数的含义是:如果有多条if-match语句,用来标明是与还是或。 默认是或的关系。 :::

[AR1]traffic behavior PC1-1_PC2-1     流行为     
[AR1-behavior-PC1-1_PC2-1]redirect ip-nexthop 10.1.13.3    更改流量转发的下一跳
[AR1]traffic policy test     流策略      
[AR1-trafficpolicy-test]classifier PC1-1_PC2-1 behavior PC1-1_PC2-1    将流分类和流行为进行关联

流策略的调用是在流量接收的接口。

[AR1-GigabitEthernet0/0/0]traffic-policy test inbound   接收流量的入方向调用流策略

PC1-1访问PC2-1路径经过AR3: 流量过滤和转发路径控制(PBR、MQC) ::: warning 流策略的调用必须经过接口才会触发策略。 :::

点赞
收藏
评论区
推荐文章

暂无数据

似梦清欢
似梦清欢
Lv1
学海无涯
文章
17
粉丝
17
获赞
1
热门文章
数据机器级表示
计算(变量)
Linux shell(1)
Linux shell(2)
汇编语言