FreebsdPF实现策略路由案例

H3C策略路由配置及实例2010-07-19 09:21基于策略路由负载分担应用指导介绍特性简介目前网吧对网络的可靠性和稳定性要求越来越高，一般网吧与运营商都有两条线路保证一条线路出现故障时能够有另一条链路作为备份。

当两条线路都正常时为了减少一条线路流量压力，将流量平均分配到另外一条线路，这样提高了网络速度。

当一条链路出现故障接口DOWN掉时，系统自动将流量全部转到另一条线路转发，这样提高了网络的稳定性、可靠性。

满足网吧对业务要求不能中断这种需求，确保承载的业务不受影响。

使用指南使用场合本特性可以用在双链路的组网环境内，两条链路分担流量。

保证了网络的可靠性、稳定性。

配置指南本指南以18-22-8产品为例，此产品有2个WAN接口。

ethernet2/0、ethernet3/0互为备份。

可以通过以下几个配置步骤实现本特性：1) 配置2个WAN接口是以太链路，本案例中以以太网直连连接方式为例；2) 配置静态路由，并设置相同的优先级；3) 配置策略路由将流量平均分配到2条链路上。

2 注意事项两条路由的优先级相同。

配置策略路由地址为偶数走wan1,地址为奇数走wan2。

策略路由的优先级高于路由表中的优先级。

只有策略路由所使用的接口出现down后，路由比表中配置的路由才起作用。

3 配置举例组网需求图1为2条链路负载分担的典型组网。

路由器以太网口ETH2/0连接到ISP1，网络地址为142.1.1.0/30，以太网口ETH3/0连接到ISP2，网络地址为162.1.1.0/30；以太网口ETH1/0连接到网吧局域网，私网IP网络地址为192.168.1.0/24。

配置步骤1. 配置路由器sysname Quidway#clock timezone gmt+08:004 add 08:00:00#cpu-usage cycle 1min#connection-limit disableconnection-limit default action denyconnection-limit default amount upper-limit 50 lower-limit 20 #radius scheme system#domain system#detect-group 1detect-list 1 ip address 140.1.1.2#detect-group 2detect-list 1 ip address 162.1.1.2#acl number 2000rule 0 permit#acl number 3001rule 0 permit ip source 192.168.1.00.0.0.254 内部pc机偶数地址 acl number 3002rule 0 permit ip source 192.168.1.10.0.0.254 内部pc机奇数地址#interface Aux0async mode flow#interface Ethernet1/0ip address 192.168.1.1 255.255.255.0ip policy route-policy routeloadshare 从局域网收到的数据通过策略路由转发数据interface Ethernet1/1#interface Ethernet1/2#interface Ethernet1/3#interface Ethernet1/4#interface Ethernet1/5#interface Ethernet1/6#interface Ethernet1/7#interface Ethernet1/8#interface Ethernet2/0ip address 140.1.1.1 255.255.255.252nat outbound 2000#interface Ethernet3/0ip address 162.1.1.1 255.255.255.252nat outbound 2000#interface NULL0#route-policy routeloadshare permit node 1if-match acl3001 局域网pc机地址是偶数的从ethernet2/0转发apply ip-address next-hop 140.1.1.2route-policy routeloadshare permit node 2if-match acl3002 局域网pc机地址是奇数的从ethernet3/0转发apply ip-address next-hop 162.1.1.2#ip route-static 0.0.0.0 0.0.0.0 140.1.1.2 preference 60 detect-group 1ip route-static 0.0.0.0 0.0.0.0 162.1.1.2 preference 60 detect-group 2#user-interface con 0user-interface aux 0user-interface vty 0 4。

OSPF路由汇总应⽤实例⼀、拓扑结构⼆、配置要求1-根据拓扑图，完成⽹络设备的基本配置（设备名、⽤户名和密码、控制⼝配置、远程登录配置、系统密码、端⼝描述和banner等相关信息）2-根据拓扑图的要求，完成⽹络设备接⼝的相应配置；3-根据拓扑图的要求，完成接⼊层交换机的基本配置（划分VLAN、分配接⼝、中继链路、端⼝安全、中继链路安全、⼦接⼝和DHCP等相关信息配置）；4-根据拓扑图的要求，配置OSPF协议；5-根据拓扑图的要求，完成路由汇总配置；三、路由汇总实例（1）路由汇总的计算⽅式，是将各⼦⽹地址段中不同的部分以⼆进制写出。

（2）从第1位⽐特开始进⾏⽐较，找出相同的部分使其保持不变，将不相同部分⽤0进⾏填充、补满。

由此得到的地址为汇总后的⽹段的⽹络地址，其⽹络位为连续的相同的⽐特的位数。

（3）假设下⾯有4个⽹段，分别是11.1.0.0/24，11.1.1.0/24，11.1.2.0/24，11.1.3.0/24，进⾏路由汇总后的⽹段是多少？算法为：11.1.0.0的⼆进制代码是11.1.00000000.011.1.1.0的⼆进制代码是11.1.00000001.011.1.2.0的⼆进制代码是11.1.00000010.011.1.3.0的⼆进制代码是11.1.00000011.0把相同的地⽅⽤红⾊标记出来，在进⾏⽹络汇总是这部分是不变的；将不同的部分⽤【0】进⾏填充后的结果是【00000000】，变成⼗进制数为【0】；则汇总后的⽹段是【11.1.0.0/？】；【？】是多少，如何求解？在⽹络中找不变的⼏位，即【11.1.000000】，其代表汇总后的⽹络位，是8+8+6=22；则汇总后的表⽰⽅式为【11.1.0.0/22】。

（4）11.1.0.0/22的反向⼦⽹掩码是多少？其正向⼦⽹掩码是【255.255.11111100.0】 =【255.255.252.0】其反向⼦⽹掩码是【0 . 0.00000011.255】=【0 . 0. 3.255】（5）使⽤前缀地址来汇总路由能够将路由条⽬保持为可管理的，⽽它带来的优点是：★路由更加有效；★减少重新计算路由表或匹配路由时的CPU周期；★减少路由器的内存消耗；★在⽹络发⽣变化时可以更快的收敛；此外，虽然不是传统的⽅法，也可以将有类的⼦⽹进⾏汇总。

1、应用场景在企业网络中，很多用户希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发和选路，即策略路由。

交换机上一般使用重定向来实现策略路由。

例如右图中，汇聚层Switch做三层转发设备，上行到两个核心路由器上。

接入层设备LSW做用户网关，下挂两个用户网段。

A网段：192.168.10.0/24B网段：192.168.20.0/24A网段的用户通过高速链路访问外网；B网段的用户通过低速链路访问外网。

2、配置思路采用重定向方式实现策略路由。

所谓策略路由即在路由表已经产生的情况下，不按照路由表进行转发，而是根据需要，依照某种策略改变报文转发路径。

可以按照如下5个步骤进行配置：1、配置ACL规则：分别匹配源IP为192.168.10.0/24和192.168.20.0/24网段的报文。

2、配置流分类：匹配规则为上述ACL规则，使设备可以对报文进行区分。

3、配置流行为：使满足不同规则的报文分别被重定向到10.1.10.1和10.1.20.1。

4、配置流策略：将流分类和对应的流行为进行绑定。

5、应用流策略：将流策略应用到用户侧接口的入方向上，实现策略路由。

3、操作步骤（1）配置ACL规则[Switch] acl 3001[Switch-acl-adv-3001] rule permit ip source 192.168.10.00.0.0.255[Switch-acl-adv-3001] quit[Switch] acl 3002[Switch-acl-adv-3002] rule permit ip source 192.168.20.00.0.0.255[Switch-acl-adv-3002] quit在Switch上创建编号为3001、3002的高级ACL，规则分别为允许源IP为192.168.10.0/24和192.168.20.0/24网段的报文通过。

（2）配置流分类[Switch] traffic classifier c1[Switch-classifier-c1] if-match acl 3001[Switch-classifier-c1] quit[Switch] traffic classifier c2[Switch-classifier-c2] if-match acl 3002[Switch-classifier-c2] quit在Switch上创建流分类c1、c2，匹配规则分别为ACL 3001和ACL 3002。

华三F100系列、华为USG6300系列防⽕墙策略路由配置实例策略路由，是⼀种⽐基于⽬标⽹络进⾏路由更加灵活的数据包路由转发机制，路由器将通过路由图决定如何对需要路由的数据包进⾏处理，路由图决定了⼀个数据包的下⼀跳转发路由器。

策略路由的应⽤：1、可以不仅仅依据⽬的地址转发数据包，它可以基于源地址、数据应⽤、数据包长度等。

这样转发数据包更灵活。

2、为QoS服务。

使⽤route-map及策略路由可以根据数据包的特征修改其相关QoS项，进⾏为QoS服务。

3、负载平衡。

使⽤策略路由可以设置数据包的⾏为，⽐如下⼀跳、下⼀接⼝等，这样在存在多条链路的情况下，可以根据数据包的应⽤不同⽽使⽤不同的链路，进⽽提供⾼效的负载平衡能⼒。

在实际的⽹络场景中，普通静态或动态路由，已可满⾜⼤部分⽹络场景。

但⽹段和业务⼀旦复杂起来，普通的路由就难以胜任了，如以下场景：公司有⽹段A，做A业务，需要通过A⽹关进⾏通信。

同时⼜有B⽹段，做B业务，需要通过B⽹关进⾏通信。

如果A,B两个业务，同时都需要访问10.0.0.0/8⽹段。

因普通路由，⽆法对源地址进⾏区分与分别路由，此时如果仅⽤普通路由进⾏配置，那么⽹段A与⽹段B ，都只能选择⼀个下⼀跳⽹关，造成其中⼀个业务⽆法正常开展。

此时就需要使⽤策略路由，对源IP地址进⾏匹配，并根据源IP地址分别进⾏路由。

※华三F100系列防⽕墙策略路由配置：acl advanced 3860 ----配置ACL ，⽤户源IP地址的匹配rule 5 permit ip source 10.*.*.* 0rule 10 permit ip source 10.*.*.* 0rule 15 permit ip source 10.*.*.* 0rule 20 permit ip source 10.*.*.* 0.......----配置策略路由规则policy-based-route management permit node 1 -----management是⾃定义名称，node 1为序号。

route-map配置案例route-map是一种在网络设备上配置路由策略的工具，可以根据特定的条件对路由进行过滤和操作。

下面是一些使用route-map配置的案例：1. 通过route-map实现出口路由策略：可以根据目的IP地址或者特定的网络前缀，将流量转发到不同的出口路由器，以实现流量的负载均衡或者按需选择出口。

2. 使用route-map实现路由过滤：可以根据源IP地址、目的IP地址、协议类型等条件进行路由过滤，只接受或者转发符合条件的路由。

3. 通过route-map实现路由重定向：可以将匹配到的路由重定向到不同的下一跳地址，以实现流量的引导或者特定的路由选择。

4. 使用route-map实现路由策略的优先级：可以为不同的route-map配置不同的优先级，使得某些策略在冲突时具有更高的优先级。

5. 通过route-map实现路由策略的动态调整：可以根据网络的实时情况，通过修改route-map的配置，动态地调整路由策略，以适应网络的变化。

6. 使用route-map实现路由策略的路由标记：可以根据特定的条件，为匹配到的路由添加标记，以便后续的操作或者策略的判断。

7. 通过route-map实现路由策略的路由聚合：可以将多个小的路由聚合成一个更大的路由，以减少路由表的大小和路由器的负载。

8. 使用route-map实现路由策略的路由转发：可以根据特定的条件，将匹配到的路由转发到特定的接口，以实现流量的定向转发。

9. 通过route-map实现路由策略的路由过滤器：可以根据自定义的条件，对路由进行过滤，只接受或者转发满足条件的路由。

10. 使用route-map实现路由策略的路由优化：可以根据网络的拓扑和流量的特性，通过配置route-map，优化路由的选择和转发，以提高网络的性能和可靠性。

以上是一些使用route-map配置的案例，通过合理的使用route-map，可以实现各种复杂的路由策略和操作，以满足网络的需求。

策略路由以及使用iproute，iprule，iptables配置策略路由实例route 命令使用 Route 命令行工具查看并编辑计算机的 IP 路由表。

Route 命令和语法如下所示：route [-f] [-p] [Command [Destination] [mask Netmask] [Gateway] [metric Metric]] [if Interface]]-f 清除所有网关入口的路由表。

-p 与 add 命令一起使用时使路由具有永久性。

Command 指定您想运行的命令 (Add/Change/Delete/Print)。

Destination 指定该路由的网络目标。

mask Netmask 指定与网络目标相关的网络掩码（也被称作子网掩码）。

Gateway 指定网络目标定义的地址集和子网掩码可以到达的前进或下一跃点 IP 地址。

metric Metric 为路由指定一个整数成本值标（从 1 至ArrayArrayArrayArray），当在路由表(与转发的数据包目标地址最匹配)的多个路由中进行选择时可以使用。

if Interface 为可以访问目标的接口指定接口索引。

若要获得一个接口列表和它们相应的接口索引，使用 route print 命令的显示功能。

可以使用十进制或十六进制值进行接口索引。

/? 在命令提示符处显示帮助。

示例:使用route 命令添加的路由，机器重启或者网卡重启后路由就失效了，方法：//添加到主机的路由# route add –host 192.168.168.110 dev eth0# route add –host 192.168.168.119 gw 192.168.168.1//添加到网络的路由# route add –net IP netmask MASK eth0# route add –net IP netmask MASK gw IP# route add –net IP/24 eth1//添加默认网关# route add default gw IP//删除路由# route del –host 192.168.168.110 dev eth0添加一条路由(发往192.168.62这个网段的全部要经过网关192.168.1.1：route add -net 192.168.62.0 netmask 255.255.255.0 gw 192.168.1.1删除一条路由route del -net 192.168.122.0 netmask 255.255.255.0删除的时候不用写网关。

具有多个跟踪选项功能策略路由的配置示例目录简介先决条件要求使用的组件规则配置网络图配置验证故障排除相关信息简介本文档提供了具有多路跟踪选项功能的基于策略的路由的示例配置。

此功能是在 Cisco IOS® 软件版本 12.3(4)T 中引入的。

有关详细信息，请参阅对多路跟踪选项的 PBR 支持。

此功能扩展了目标跟踪功能，以在将数据流转发到下一跳之前验证下一跳的 IP 地址。

验证方法可以是 Internet 控制消息协议 (ICMP) ping、用户数据报协议 (UDP) ping 或者超文本传输协议 (HTTP) GET 请求。

ICMP 是用于 Internet 的最常见验证方法。

多路跟踪选项功能最适合将多个以太网连接作为下一跳的路由器。

通常，以太网接口连接到数字用户线 (DSL) 或电缆调制解调器。

当前，没有任何方法可以检测 ISP 宽带网络中的故障上游 — 以太网接口仍处于打开状态并且任何形式的静态路由都指向该接口。

此功能的好处是允许您备份两个以太网接口，通过发送 ICMP ping 验证可访问性来选择可用接口，然后将数据流路由出该接口。

先决条件要求在尝试进行此配置之前，请确保满足以下要求：如果尚未将企业基本 IOS 功能集加载到您的路由器，请执行此操作。

如果已为此功能集付费q，则可以从下载软件区下载它（仅限注册客户）。

使用的组件本文档不限于特定的软件和硬件版本。

规则有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

配置此部分存在信息配置在本文描述的功能中。

注意： 要查找本文档所用命令的其他信息，请使用命令查找工具（仅限注册用户）。

网络图本文档使用此网络设置。

在此方案中，R1 连接到两个不同的 ISP（ISP-1 和 ISP-2）。

R1 跟踪两个ISP 路由器的可访问性。

配置本文档使用以下配置：R1qR1R1# show running-config Building configuration...Current configuration : 1203 bytes ! version 12.3service timestamps debug datetime msec servicetimestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! clock timezone EST 0 no aaa new-model ipsubnet-zero no ip domain lookup ! ! ! ! track 123 rtr 1reachability!--- Track Router 1's reachability.! track124 rtr 2 reachability!--- Track Router 2'sreachability.! ! interface Loopback0 ip address 1.1.1.1255.255.255.255 ! interface Ethernet0/0 ip address192.168.0.1 255.255.255.0 ! interface Ethernet1/0 ipaddress 192.168.1.1 255.255.255.0 ! interfaceEthernet2/0 ip address 10.10.10.1 255.255.255.0 ippolicy route-map alpha!--- Enable policy routing on theoutgoing interface.! ip classless no ip http server ! !! ! route-map alpha permit 10!--- Define a route-map toset the next hop depending on !--- the state of thetracked routers.set ip next-hop verify-availability192.168.0.10 10 track 123 set ip next-hop verify-availability 192.168.1.20 20 track 124 ! ! control-plane! rtr 1!--- Define and start Router 1.type echoprotocol ipIcmpEcho 192.168.0.10 rtr schedule 1 lifeforever start-time now rtr 2!--- Define and startRouter 2.type echo protocol ipIcmpEcho 192.168.1.20 rtrschedule 2 life forever start-time now ! line con 0transport preferred all transport output all line aux 0transport preferred all transport output all line vty 04 login transport preferred all transport input alltransport output all ! ! end验证本部分所提供的信息可用于确认您的配置是否正常工作。