1.策略路由与路由策略的区别?
路由策略:影响路由表
策略路由:不看路由表
2.本地策略路由实验(只对本机有效,对转发无效)
(1)基础配置如图,查看A1路由表/通过wireshark抓包可得,去6.6.6.6走g0/0/1
(2)创建acl,匹配目的地址
(3)策略路由配置:创建策略路由,匹配特定acl并指定出接口,并让策略生效
(4)ping6.6.6.6 g0/0/1抓包可得出接口已改变
为何发送ARP?假如配置策略路由的时候使用的是出接口而不是下一跳,则路由器会认为这条路由是直连的,而两个地址处于不同广播域,无法交换MAC地址,自然不通
方法1:策略路由改成使用下一跳
方法2:开启ARP代理,代理口用自己的MAC地址来回复ARP请求
修改以后网络可达
3.转发策略实验
(1)实验环境
R1配置静态路由,其余路由器配置OSPF,网络通。
在AR19上配置策略路由,影响从R1到R5回环接口的流量选路。
通过追踪路由/抓包可知,此时R1ping环回走上路
(2)配置策略路由
定义acl
acl 3001
rule 5 permit ip source 192.168.1.1 0 destination 2.2.2.2 0
定义流分类
traffic classifier xuanlu
if-match acl 3001
定义流行为(traffic behavior),定义下一跳为192.168.3.4(下路)
traffic behavior g0/0/0
redirect ip-nexthop 192.168.3.4
定义流策略,关联流分类和流行为
进入流量入方向端口g0/0/0,调用流策略。
从下图可以看出,流策略关联的流行为和流策略,这使得策略路由的管理变得模块化。后期运维的时候,我们可以通过修改流分类(acl)去修改匹配的流量,修改流行为去修改流量的走向(比如下一跳)
(可以理解为”面向对象“)
此时在R1上tracetr 2.2.2.2可以看出,流量走下路,策略路由生效。
策略路由小应用(防火墙旁路部署)
在R2上部署策略路由,将外网访问流量引至FW,过滤后再到达内网。