路由策略/策略路由之PBR

PBR 不仅可以按照目的地址进行转发，还可以按照数据包的源地址等多个条件指导数据转发

默认情况下，PBR 的优先级比路由表高

PBR 使得网络设备不仅能够基于报文的目的 IP 地址进行数据转发，更能基于其他元素进行数据转发，例如源 IP 地址、源 MAC 地址、目的 MAC 地址、源端口号、目的端口号、VLAN-ID 等等

用户还可以使用 ACL 匹配特定的报文，然后针对该 ACL 进行 PBR 部署

若设备部署了 PBR，则被匹配的报文优先根据 PBR 的策略进行转发，即 PBR 策略的优先级高于传统路由表

PBR 结构

PBR 与 Route-Policy 类似，由多个节点组成，每个节点由匹配条件(条件语句)和执行动作(执行语)组成。

每个节点内可包含多个条件语句

节点内的多个条件语句之间的关系为“与“即匹配所有条件语句才会执行本节点内的动作

节点之间的关系为“或”，PBR 根据节点编号从小到大顺序执行，匹配当前节点将不会继续向下匹配

配置

PBR 调用的位置：

• 在接口下调用：对转发的流量进行 PBR 的调用
• 在全局下调用：对设备本身始发的流量进行 PBR 的调用

[HuaWei]acl 2001  // 创建acl 匹配来自192.168.1.0/24的数据包
 rule 5 permit source 192.168.1.0 0.0.0.255 
[HuaWei]policy-based-route pbr permit node 10
 if-match acl 2001
 apply ip-address next-hop 13.1.1.2 
// 对于匹配住acl2001的数据包，修改下一跳到13.1.1.2
 apply ip-address default next-hop 13.1.1.2 
// 如果没有default关键字，PBR的转发优先级大于路由表。如果有，那优先路由表转发
[HuaWei]ip local policy-based-route pbr
// 在全局下生效该策略

流量重定向，在二层做策略。原理与 PBR 类似，traafic 在二层三层都生效。

​traffic-redirect inbound acl 2000 ip-next-hop 12.1.1.1​

锐捷配置

ip prefix-list fb1 seq 5 permit 10.1.0.24/30
ip prefix-list fb1 seq 10 permit 11.1.0.2/32
ip prefix-list fb1 seq 15 permit 11.1.0.6/32
ip prefix-list fb1 seq 20 permit 194.1.0.0/16

route-map fb permit 10
 match ip address prefix-list fb1
 set ip next-hop 20.0.0.2
!   
route-map fb permit 20
 match ip address prefix-list fb2
 set ip next-hop 10.1.0.21

interface GigabitEthernet 0/0
 ip policy route-map fb

show ip policy  查看策略路由

应用场景

内网防火墙旁挂部署在核心交换机，为防护内网在核心交换机的三层接口上部署 PBR，将来自外部网络的流量牵引到防火墙上进行安全检查，检查完的流量再发送回核心交换机，由核心交换机依据路由表转发到内网
将流量牵引到别的设备进行安全检查等类似的行为我们称之为“引流”，PBR 是一种常见的引流工具