基於策略的路由(PBR)是一種靈活的數據包路由轉發機制。通過在路由器上應用策略路由,使路由器根據路由映射(route-map)決定經過路由器的數據包如何處理。路由映射決定了一個數據包的下一跳轉發路由器。
在路由器上應用策略路由,必須要指定策略路由使用的路由映射(route-map),並且要創建路由映射。一個路由映射由很多條策略組成,每個策略都定義了1個或多個匹配規則和對應操作。一個接口應用策略路由後,將對該接口收到的所有包進行檢查,不符合路由映射中所定義的數據包將會被按照正常路由轉發進行處理,符合路由映射中的策略的數據包,就按照策略中定義的操作進行處理。
策略路由主要應用在企業路由表復雜或者需要對路由進行控制的情況下,特別是當企業網絡出口有兩條,需要對不同服務和應用或者不同客戶端的路由進行控制時,當然企業內部運行兩個網絡或者更多的網絡時也經常要用到路由策略;另外,策略路由除了應用在非正常的路由選路之外,它還可以用來防止病毒或黑客的攻擊,使用條件語句將病毒或攻擊的特征碼匹配出來,然後再指定一個安全策略(如使用黑洞路由)將攻擊阻斷.
黑洞路由是對動態路由選擇協議的一個補充。黑洞路由可以將不想要的流量轉發到一個稱為null0的接口中去。我們可以建立一條或一些靜態路由,將精確匹配這些路由的流量丟棄。和ACL不同的是,Cisco IOS的所有交換過程,包括CEF,都能處理黑洞路由,而不降低性能。需要注意的是,PBR技術不支持配置了PBR的路由器始發流量和到達該路由器的流量。
PBR(基於策略的路由)實例解析
下面我們就以一個試驗來描述策略路由的阻斷流量的功能。路由器的E0/0口作為內部網絡的網關,地址為200.1.1.1,內部網絡有一個WWW服務器,地址為200.1.1.100,和WWW同一網段內有普通用戶PC一台,在外部網絡有一個遠程的用戶,IP地址為199.1.1.100,允許遠程用戶能夠訪問WWW服務器,同時不允許訪問內部用戶的PC機,使用PBR完成需求。
在路由器上配置相關的地址,並測試與200.1.1.100,200.1.1.10和199.1.1.100的連通性。配置一個路由映射(route-map),匹配從遠程用戶到內部用戶的流量,並牽引到null0接口中去,並在null0接口下配置不返回不可達信息。其他不匹配路由映射的流量正常轉發。
路由器的初始配置如下:
Router(config)#interface Ethernet0/0
Router(config-if)#ip address 200.1.1.1 255.255.255.0
Router(config-if)#exit Router(config)#interface Ethernet0/1
Router(config-if)#ip address 199.1.1.1 255.255.255.0
Router(config-if)#exit
測試連通性: