路由PBR解释政策
基于策略的路由(PBR)是一种灵活的数据包路由转发机制。通过政策对路由器的路由,路由器决定了路由器的数据包根据路由映射处理(路线图),路线图确定下一跳转发数据包的路由器。应用在路由器的路由策略必须指定路由映射(路线图)的策略路由和路由映射创建。路由地图是由许多的政策,其中定义了1个或多个相匹配的规则和相应的操作。界面应用策略路由,接口会接收所有的包进行检查,在映射路由包的定义将按照正常的路由处理不符合,与路线图数据包的策略,按照加工操作策略的定义。
路由策略是主要用于企业的路由表是复杂或需要控制路由,尤其是当企业网络出口,需要控制不同的服务和客户端应用程序或不同的路由,当然,两个或两个以上的网络通常使用的路由策略的内部运作;此外,除了非正常的路由中的路由策略,它也可以用来防止病毒或黑客的攻击,使用条件语句将病毒或攻击代码,然后指定一个安全策略(如使用黑洞路由)将攻击阻断。
黑洞的路由是动态路由协议的一个补充。黑洞路由可以提出不必要的交通接口称为null0。我们可以建立一个或一些静态路由匹配这些路线的交通。不像ACL,所有切换过程包括Cisco IOS,CEF,可以处理黑洞路由不降低性能。重要的是要注意,PBR技术不支持路由器的路由流量和流量的路由器配置为PBR。
PBR(路由)基于策略的实例分析
接下来我们描述与实验策略路由阻塞交通的功能。路由器的E0 / 0端口作为内部网络的网关地址200.1.1.1,内部网络的WWW服务器地址,200.1.1.100 WWW,与具有相同的网络普通用户的PC,在外部网络的远程用户,IP地址是199.1.1.100,允许远程用户访问WWW服务器、PC的同时不允许访问内部用户,使用PBR完成需求。
配置相关的地址在路由器和200.1.1.100200.1.1.10和199.1.1.100连接测试。一路由图(线路图)用于从远程用户内部用户与流量,并追溯到null0接口,并配置null0界面下不返回不可达信息。其他不匹配的路由映射的交通正常转发。
路由器的初始配置如下:
Router(config)#接口Ethernet0 / 0
Router(config-if)# IP地址200.1.1.1 255.255.255.0
Router(config-if)#出口路由器(config)#接口Ethernet0 / 1
Router(config-if)# IP地址199.1.1.1 255.255.255.0
路由器(config-if)#退出
测试连接:
路由器#平200.1.1.100
中止类型转义序列。
发送5100字节的ICMP回声200.1.1.100,超时为2秒:
!!!!!
成功率为100%(5·5),
往返最小/平均/最大值= 1 / 3 / 4毫秒的路由器#平200.1.1.10
中止类型转义序列。发送5,
100字节的ICMP回声200.1.1.10,超时为2秒:
!!!!!
成功率为100%(5·5),
往返最小/平均/最大值= 1 / 2 / 4毫秒的路由器#平199.1.1.100型转义序列的终止。
发送5100字节的ICMP回声199.1.1.100,超时为2秒:
!!!!!
成功率为100%(5·5),
往返时间最小/最大值= 1 3 / 4毫秒
配置ACL以匹配敏感流量:
路由器(config)#访问列表100允许主机IP主机199.1.1.1 200.1.1.10 null0接口配置:
路由器(config)#空接口0
路由器(config-if)#没有IP unreachables建立路由映射:
路由器(config)#路线图PBR
Router(config -路线图)#匹配的IP地址100
Router(config -路线图)#设置界面空0开启NetFlow交换功能在出口路由器的E0 / 1接口,便于我们查看结果,上调PBR在界面。
Router(config)#接口Ethernet0 / 1
Router(config-if)# IP路由缓存流
Router(config-if)IP政策路线图PBR #
路由器(config-if)#退出
远程主机内部网络设备的连接性测试:
C:平200.1.1.100
砰的200.1.1.100与32个字节的数据:
从200.1.1.100回复:
字节= 32次<< 1ms TTL = 128的答复200.1.1.100:
字节= 32次<< 1ms TTL = 128的答复200.1.1.100:
字节= 32次<< 1ms TTL = 128的答复200.1.1.100:
字节= 32次<< 1ms TTL = 128平的统计200.1.1.100:
数据包:发送= 4,
接收= 4,丢失= 0(0%损失),
以秒为单位的近似往返时间:
最小= 0ms,
0ms最大=,
平均0ms C:平200.1.1.10 Ping 200.1.1.10与32个字节的数据:
请求超时。
请求超时。
请求超时。
请求超时。
统计200.1.1.10平:
数据包:发送= 4,
收到= 0,
损失= 4(100%损失)。这时,我们会发现外部网络的远程用户无法连接ping的内部用户,但ping仍然可以连接到www服务器。
#显示路由器访问列表
扩展的IP访问列表10010允许主机IP主机199.1.1.100 200.1.1.10(18场)
#显示IP路由器缓存流量IP数据包大小分布(共18包):
649612816019222425 1-32 288320352384416448.000 480 1.000.000.000.000.000.000.000.000.000.000.000 51254457610241536.000.000.000 40964608 2048256030723584.000.000.000.000.000.000 IP流量交换缓存,
278544字节
1个活跃的,4095个不活跃的,
3加66岁的民意调查,
0流量分配失败
活动流在30分钟内超时
非活动流在15秒内超时
最后清理统计数据
协议
总
流
数据包字节分组活动(SEC)闲置(SEC)mdash;mdash;
流
/秒
/流程/袋
/秒
/流
流ICMP
二
零
五
一百
零
四
15.3总:
二
零
五
一百
零
四
15.3 srcif
srcipaddress
dstif
dstipaddress
PR SRCP DSTP封包ET0 / 1
199.1.1.100
无效的
200.1.1.10
0100000800
18通过效果图,我们发现18包匹配ACL和被追踪到的PBR的null0界面后丢弃。
PBR的相关知识介绍给大家,我希望你已经掌握了它。