Catalyst PBR: различия между версиями
Материал из noname.com.ua
Перейти к навигацииПерейти к поискуSirmax (обсуждение | вклад) (Новая: =Policy Routing= Маршрутизация на основе политики (Policy Routing) - это маршрутизация при которой критерием для вы...) |
Sirmax (обсуждение | вклад) |
||
| Строка 3: | Строка 3: | ||
На коммутаторах есть особенность, способная доставить немало головной боли. Дело в том, что в ACL которая является критерием выбора для route-map все вхождения deny обрабатываются программно, с соответвующей деградацией производительности. |
На коммутаторах есть особенность, способная доставить немало головной боли. Дело в том, что в ACL которая является критерием выбора для route-map все вхождения deny обрабатываются программно, с соответвующей деградацией производительности. |
||
==Примеры использования== |
==Примеры использования== |
||
| + | Для всех пакетов попавших в PBR_ACL установить next-hop 172.16.1.1 (т.е. использовать альтернативный шлюз) |
||
| + | <PRE> |
||
| + | route-map PBR permit 10 |
||
| + | match ip address PBR_ACL |
||
| + | set ip next-hop 172.16.1.1 |
||
| + | </PRE> |
||
| + | |||
| + | Если я хочу написать ACL вида: |
||
| + | * Для всех пакетов идущих на "серые" (192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8) сети использовать стандартную таблицу маршутизации |
||
| + | * Для всех пакетов идущих на ДНС-сервера использовать стандартную таблицу маршутизации |
||
| + | * Для остальных (уходящих в "Мир") использовать шлюз 172.16.1.1 |
||
| + | |||
| + | Есть 2 варианта, оба абсолюьно рабочих, но производительностью они будут отличаться в разы.<BR> |
||
| + | Первый - использовать простой ACL |
||
| + | <PRE> |
||
| + | ip access-list extended DIMAR-PBR-Test |
||
| + | deny ip host 192.168.4.44 192.168.0.0 0.0.255.255 |
||
| + | deny ip host 192.168.4.44 172.16.0.0 0.15.255.255 |
||
| + | permit ip host 192.168.4.44 any |
||
| + | deny ip any any |
||
| + | ip access-list extended PBR_Universal |
||
| + | permit ip 95.69.136.0 0.0.7.255 0.0.0.0 7.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 8.0.0.0 1.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 11.0.0.0 0.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 12.0.0.0 3.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 16.0.0.0 15.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 32.0.0.0 31.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 64.0.0.0 15.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 80.0.0.0 7.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 88.0.0.0 3.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 0.0.0.0 255.0.0.0 |
||
| + | permit ip 95.69.136.0 0.0.7.255 95.0.0.0 0.63.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 95.64.0.0 0.3.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 95.68.0.0 0.0.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 95.69.0.0 0.0.127.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 95.70.0.0 0.1.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 95.72.0.0 0.7.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 95.80.0.0 0.15.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 96.0.0.0 15.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 112.0.0.0 7.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 120.0.0.0 3.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 124.0.0.0 1.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 126.0.0.0 0.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 128.0.0.0 31.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 160.0.0.0 7.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 168.0.0.0 3.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 172.0.0.0 0.15.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 172.32.0.0 0.31.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 172.64.0.0 0.63.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 172.128.0.0 0.127.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 173.0.0.0 0.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 174.0.0.0 1.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 176.0.0.0 15.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 192.0.0.0 0.127.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 192.128.0.0 0.31.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 192.160.0.0 0.7.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 192.169.0.0 0.0.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 192.170.0.0 0.1.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 192.172.0.0 0.3.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 192.176.0.0 0.15.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 192.192.0.0 0.63.255.255 |
||
| + | deny ip 95.69.136.0 0.0.7.255 host 193.33.48.33 |
||
| + | deny ip 95.69.136.0 0.0.7.255 host 193.33.49.160 |
||
| + | deny ip 95.69.136.0 0.0.7.255 host 193.33.48.10 |
||
| + | permit ip 95.69.136.0 0.0.7.255 193.0.0.0 0.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 194.0.0.0 1.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 196.0.0.0 3.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 200.0.0.0 7.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 208.0.0.0 15.255.255.255 |
||
| + | permit ip 95.69.136.0 0.0.7.255 248.0.0.0 7.255.255.255 |
||
| + | </PRE> |
||
Версия 11:03, 26 мая 2009
Policy Routing
Маршрутизация на основе политики (Policy Routing) - это маршрутизация при которой критерием для выбюора next-hop служит не адрес получателя а некотрое устивие (в случае с cisco - описанное в route-map) На коммутаторах есть особенность, способная доставить немало головной боли. Дело в том, что в ACL которая является критерием выбора для route-map все вхождения deny обрабатываются программно, с соответвующей деградацией производительности.
Примеры использования
Для всех пакетов попавших в PBR_ACL установить next-hop 172.16.1.1 (т.е. использовать альтернативный шлюз)
route-map PBR permit 10 match ip address PBR_ACL set ip next-hop 172.16.1.1
Если я хочу написать ACL вида:
- Для всех пакетов идущих на "серые" (192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8) сети использовать стандартную таблицу маршутизации
- Для всех пакетов идущих на ДНС-сервера использовать стандартную таблицу маршутизации
- Для остальных (уходящих в "Мир") использовать шлюз 172.16.1.1
Есть 2 варианта, оба абсолюьно рабочих, но производительностью они будут отличаться в разы.
Первый - использовать простой ACL
ip access-list extended DIMAR-PBR-Test deny ip host 192.168.4.44 192.168.0.0 0.0.255.255 deny ip host 192.168.4.44 172.16.0.0 0.15.255.255 permit ip host 192.168.4.44 any deny ip any any ip access-list extended PBR_Universal permit ip 95.69.136.0 0.0.7.255 0.0.0.0 7.255.255.255 permit ip 95.69.136.0 0.0.7.255 8.0.0.0 1.255.255.255 permit ip 95.69.136.0 0.0.7.255 11.0.0.0 0.255.255.255 permit ip 95.69.136.0 0.0.7.255 12.0.0.0 3.255.255.255 permit ip 95.69.136.0 0.0.7.255 16.0.0.0 15.255.255.255 permit ip 95.69.136.0 0.0.7.255 32.0.0.0 31.255.255.255 permit ip 95.69.136.0 0.0.7.255 64.0.0.0 15.255.255.255 permit ip 95.69.136.0 0.0.7.255 80.0.0.0 7.255.255.255 permit ip 95.69.136.0 0.0.7.255 88.0.0.0 3.255.255.255 permit ip 95.69.136.0 0.0.7.255 0.0.0.0 255.0.0.0 permit ip 95.69.136.0 0.0.7.255 95.0.0.0 0.63.255.255 permit ip 95.69.136.0 0.0.7.255 95.64.0.0 0.3.255.255 permit ip 95.69.136.0 0.0.7.255 95.68.0.0 0.0.255.255 permit ip 95.69.136.0 0.0.7.255 95.69.0.0 0.0.127.255 permit ip 95.69.136.0 0.0.7.255 95.70.0.0 0.1.255.255 permit ip 95.69.136.0 0.0.7.255 95.72.0.0 0.7.255.255 permit ip 95.69.136.0 0.0.7.255 95.80.0.0 0.15.255.255 permit ip 95.69.136.0 0.0.7.255 96.0.0.0 15.255.255.255 permit ip 95.69.136.0 0.0.7.255 112.0.0.0 7.255.255.255 permit ip 95.69.136.0 0.0.7.255 120.0.0.0 3.255.255.255 permit ip 95.69.136.0 0.0.7.255 124.0.0.0 1.255.255.255 permit ip 95.69.136.0 0.0.7.255 126.0.0.0 0.255.255.255 permit ip 95.69.136.0 0.0.7.255 128.0.0.0 31.255.255.255 permit ip 95.69.136.0 0.0.7.255 160.0.0.0 7.255.255.255 permit ip 95.69.136.0 0.0.7.255 168.0.0.0 3.255.255.255 permit ip 95.69.136.0 0.0.7.255 172.0.0.0 0.15.255.255 permit ip 95.69.136.0 0.0.7.255 172.32.0.0 0.31.255.255 permit ip 95.69.136.0 0.0.7.255 172.64.0.0 0.63.255.255 permit ip 95.69.136.0 0.0.7.255 172.128.0.0 0.127.255.255 permit ip 95.69.136.0 0.0.7.255 173.0.0.0 0.255.255.255 permit ip 95.69.136.0 0.0.7.255 174.0.0.0 1.255.255.255 permit ip 95.69.136.0 0.0.7.255 176.0.0.0 15.255.255.255 permit ip 95.69.136.0 0.0.7.255 192.0.0.0 0.127.255.255 permit ip 95.69.136.0 0.0.7.255 192.128.0.0 0.31.255.255 permit ip 95.69.136.0 0.0.7.255 192.160.0.0 0.7.255.255 permit ip 95.69.136.0 0.0.7.255 192.169.0.0 0.0.255.255 permit ip 95.69.136.0 0.0.7.255 192.170.0.0 0.1.255.255 permit ip 95.69.136.0 0.0.7.255 192.172.0.0 0.3.255.255 permit ip 95.69.136.0 0.0.7.255 192.176.0.0 0.15.255.255 permit ip 95.69.136.0 0.0.7.255 192.192.0.0 0.63.255.255 deny ip 95.69.136.0 0.0.7.255 host 193.33.48.33 deny ip 95.69.136.0 0.0.7.255 host 193.33.49.160 deny ip 95.69.136.0 0.0.7.255 host 193.33.48.10 permit ip 95.69.136.0 0.0.7.255 193.0.0.0 0.255.255.255 permit ip 95.69.136.0 0.0.7.255 194.0.0.0 1.255.255.255 permit ip 95.69.136.0 0.0.7.255 196.0.0.0 3.255.255.255 permit ip 95.69.136.0 0.0.7.255 200.0.0.0 7.255.255.255 permit ip 95.69.136.0 0.0.7.255 208.0.0.0 15.255.255.255 permit ip 95.69.136.0 0.0.7.255 248.0.0.0 7.255.255.255
