策略路由-PBR
介绍
策略路由与路由策略(Routing Policy)存在以下不同:
策略路由的操作对象是数据包,在路由表已经产生的情况下,不按照路由表进行转发,而是根据需要,依照某种策略改变数据包转发路径。
路由策略的操作对象是路由信息。路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。
背景
传统的路由转发原理是首先根据报文的目的地址查找路由表,然后进行报文转发。但是目前越来越多的用户希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发和选路。策略路由使网络管理者不仅能够根据报文的目的地址,而且能够根据报文的源地址、报文大小和链路质量等属性来制定策略路由,以改变数据包转发路径,满足用户需求。
策略路由具有如下优点:
1.可以根据用户实际需求制定策略进行路由选择,增强路由选择的灵活性和可控性。
2.可以使不同的数据流通过不同的链路进行发送,提高链路的利用效率。
3.在满足业务服务质量的前提下,选择费用较低的链路传输业务数据,从而降低企业数据服务的成本。
基本概念
PBR(Policy-Based Routing,策略路由):PBR使得网络设备不仅能够基于报文的目的IP地址进行数据转发,更能基于其他元素进行数据转发,例如源IP地址、源MAC地址、目的MAC地址、源端口号、目的端口号、VLAN-ID等等。 用户还可以使用ACL匹配特定的报文,然后针对该ACL进行PBR部署。 若设备部署了PBR,则被匹配的报文优先根据PBR的策略进行转发,即PBR策略的优先级高于传统路由表。
结构
1. PBR与Route-Policy类似,由多个节点组成,每个节点由匹配条件(条件语句)和执行动作(执行语句)组成。
2.每个节点内可包含多个条件语句。
3.节点内的多个条件语句之间的关系为“与”,即匹配所有条件语句才会执行本节点内的动作。
4.节点之间的关系为“或”,PBR根据节点编号从小到大顺序执行,匹配当前节点将不会继续向下匹配。
PBR分类
本地PBR
本地策略路由仅对本机下发的报文进行处理,对转发的报文不起作用。
一条本地策略路由可以配置多个策略点,并且这些策略点具有不同的优先级,本机下发报文优先匹配优先级高的策略点。
当ACL的rule配置为permit时,设备会对匹配该规则的报文执行本地策略路由的动作:
本地策略路由中策略点为permit时对满足匹配条件的报文进行策略路由;
本地策略路由中策略点为deny时对满足匹配条件的报文不进行策略路由,即根据目的地址查 找路由表转发报文。
当ACL配置了rule,如果报文未匹配上任何规则,则根据目的地址查找路由表转发报文。
当ACL的rule配置为deny或ACL未配置规则时,应用该ACL的本地策略路由不生效,即根据目的地址查找路由表转发报文。
接口PBR
接口策略路由只对转发的报文起作用,对本地下发的报文(比如本地的Ping报文)不起作用。
接口策略路由通过在流行为中配置重定向实现,只对接口入方向的报文生效。缺省情况下,设备按照路由表的下一跳进行报文转发,如果配置了接口策略路由,则设备按照接口策略路由指定的下一跳进行转发。
在按照接口策略路由指定的下一跳进行报文转发时,如果设备上没有该下一跳IP地址对应的ARP表项,设备会触发ARP学习,如果一直学习不到下一跳IP地址对应的ARP表项,则报文按照路由表指定的下一跳进行转发。如果设备上有或者学习到了此ARP表项,则按照接口策略路由指定的下一跳IP地址进行报文转发。
节点匹配模式和if-match语句对应关系
不同产品实现不一样
注:ACL的rule配置为deny或ACL未配置规则时,即是不满足所有if-match子句。
接口策略路由还可以使用MQC的方式进行配置。
智能策略PBR
智能策略路由是基于业务需求的策略路由,通过匹配链路质量和网络业务对链路质量的需求,实现智能选路。
产生背景
随着网络业务需求的多样化,业务数据的集中放置,链路质量对网络业务越来越重要。越来越多的用户把关注点从网络的连通性转移到业务的可用性上,如业务的可获得性、响应速度和业务质量等。这些复杂的业务需求给传统的基于逐跳的路由协议提出了挑战,它们无法感知链路的质量和业务的需求,所以带给用户的业务体验也得不到保障,即使路由可达,但链路质量可能已经很差甚至无法正常转发报文了。智能策略路由SPR(Smart Policy Routing)就是在这一背景下产生的一种策略路由,它可以主动探测链路质量并匹配业务的需求,从而选择一条最优链路转发业务数据,可以有效的避免网络黑洞、网络震荡等问题。
配置举例
需求: 内网存在两个网段,网段1:10.1.1.0/24,网段2:10.1.2.0/24,在RTA的GE0/0/0接口部署PBR,实现网段1访问Internet通过ISP1、网段2访问Internet通过ISP2。 RTA上旁挂了一台服务器,要求在RTA上部署的策略路由不影响内网用户访问该服务器。
1.配置ACL 3000,其中rule 1 deny网段1访问服务器的流量,rule 2匹配网段1访问Internet的流量。
[RTA] acl number 3000
[RTA-acl-adv-3000] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination 0.0.0.0 0
2.配置ACL 3001,其中rule 1 deny网段2访问服务器的流量,rule 2匹配网段2访问Internet的流量。
[RTA] acl number 3001
[RTA-acl-adv-3001] rule 2 permit ip source 10.1.2.0 0.0.0.255 destination 0.0.0.0 0
3.创建PBR hcip,创建节点10,调用ACL 3000,指定其转发下一跳为202.1.2.3
[RTA] policy-based-route hcip permit node 10
[RTA-policy-based-route-hcip-10] if-match acl 3000
[RTA-policy-based-route-hcip-10] apply ip-address next-hop 202.1.2.3
4.创建PBR hcip节点20,调用ACL 3001,指向其转发下一跳为154.1.2.3
[RTA] policy-based-route hcip permit node 20
[RTA-policy-based-route-hcip-20] if-match acl 3001
[RTA-policy-based-route-hcip-20] apply ip-address next-hop 154.1.2.3
5.在GE0/0/0接口调用PBR hcip
[RTA]interface GigabitEthernet 0/0/0
[RTA-GigabitEthernet0/0/0] ip policy-based-route hcip
MQC
MQC(Modular QoS Command-Line Interface,模块化QoS命令行)是指通过将具有某类共同特征的数据流划分为一类,并为同一类数据流提供相同的服务,也可以对不同类的数据流提供不同的服务。
MQC包含三个要素:流分类(traffic classifier)、流行为(traffic behavior)和流策略(traffic policy)。 MQC的流行为支持重定向报文,因此可以使用MQC实现IP单播策略路由。
流策略:将流分类和流行为绑定,对分类后的报文执行对应流行为中定义的动作。 一个流策略可以绑定多个流分类和流行为。
流分类:定义一组流量匹配规则,以对报文进行分类。
流分类中各规则之间的关系分为:and或or,缺省情况下的关系为or。 and:当流分类中包含ACL规则时,报文必须匹配其中一条ACL规则以及所有非ACL规则;当流分类中没有ACL规则时,报文必须匹配所有非ACL规则。 or:报文只要匹配了流分类中的一个规则,设备就认为报文匹配中该流分类。
流行为:用来定义执行的动作,支持报文过滤、重标记优先级、重定向、流量统计等动作。
traffic-policy+策略名,流行为permit,acl为permit时,流量无论匹配acl都通过。
traffic-policy+策略名,流行为permit,acl为deny时,匹配acl的流量被拒绝,未匹配acl的流通过。
traffic-policy+策略名,流行为deny,acl为permit时,匹配acl的流量被拒绝,未匹配acl的流通过。
traffic-policy+策略名,流行为deny,acl为deny时,匹配acl的流量被拒绝,未匹配acl的流通过。
MQC举例
需求: 内网存在两个网段,网段1:10.1.1.0/24,网段2:10.1.2.0/24,在RTA上通过MQC实现策略路由,实现网段1访问Internet通过ISP1、网段2访问Internet通过ISP2。 将MQC调用在RTA的GE0/0/0接口
RTA配置如下:
1.配置ACL3000、3001分别匹配网段1、网段2访问Internet的流量。
[RTA] acl number 3000
[RTA-acl-adv-3000] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination
0.0.0.0 0
[RTA] acl number 3001
[RTA-acl-adv-3001] rule 2 permit ip source 10.1.2.0 0.0.0.255 destination 0.0.0.0 0
2.创建流分类1、2分别匹配ACL3000、ACL3001。
[RTA] traffic classifier 1
[RTA-classifier-1] if-match acl 3000
[RTA] traffic classifier 2
[RTA-classifier-2] if-match acl 3001
3.创建流行为1、2分别执行将报文重定向到202.1.2.3、154.1.2.3的动作。
[RTA] traffic behavior 1
[RTA-behavior-1] redirect ip-nexthop 202.1.2.3
[RTA] traffic behavior 2
[RTA-behavior-2] redirect ip-nexthop 154.1.2.3
4.创建流策略Redirect,将流分类1、2与流行为1、2一一绑定
[RTA] traffic policy Redirect
[RTA-trafficpolicy-Redirect] classifier 1 behavior 1
[RTA-trafficpolicy-Redirect] classifier 2 behavior 2
5.在GE0/0/0接口入方向调用流策略Redirect
[RTA] interface GigabitEthernet 0/0/0
[RTA-GigabitEthernet0/0/0] traffic-policy Redirect inbound
流量过滤
需求背景
为提高网络安全性,管理人员需要控制进入网络的流量,将不信任的报文丢弃在网络边界。所谓的不信任报文是指对用户来说存在安全隐患或者不愿意接收的报文。同时保证数据访问安全性,企业网络中经常会要求一些部门之间不能相互访问。
流量过滤工具
使用Traffic-Filter过滤流量可以灵活地选择部署位置,在流量进入设备或者离开设备的接口上执行过滤动作,双向访问的业务禁止其中一个方向即可实现阻断业务的需求。
traffic-filter+acl,acl为deny时,匹配acl的流量拒绝通过,未匹配acl的流量允许通过
traffic-filter+acl,acl为permit时,匹配acl的流量通过,未匹配acl的流量允许通过
使用Traffic-Filter过滤流量举例
部门1、2、3的网关都在RTA上,现要求在RTA上使用Traffic-Filter限制部门2与部门3之间的相互访问。
1.配置ACL拒绝部门2访问部门3,并放通其余所有流量。
[RTA] acl number 3000
[RTA-acl-adv-3000] rule 1 deny ip source 10.1.2.0 0.0.0.255 destination
10.1.3.0 0.0.0.255
[RTA-acl-adv-3000] rule 2 permit ip
2.在GE0/0/2接口调用Traffic-Filter
[RTA] interface GigabitEthernet 0/0/2
[RTA-GigabitEthernet0/0/2] traffic-filter outbound acl 3000