Cisco策略路由配置方法
1.策略路由简介
策略路由是一种比利用目标网络进行路由更加灵活的数据包路由转发机制,策略路由的优先级别高于普通路由。应用了策略路由以后,路由器将根据用户指定的 策略决定如何对需要路由的数据包进行处理。一个接口应用策略路由后,将对该接口接收到的所有数据包进行检查,不符合策略路由的数据包将按照传统的路由转发 进行处理,符合某个用户策略的数据包就会按照用户策略指定的下一跳地址或路由器接口进行转发。策略路由中所谓策略的制定依赖于访问控制列表(ACL),因 此策略路由中策略的制定是方便而又灵活的,可以满足不同方面的需求。常用的策略路由有三种,分别是:基于IP地址的策略路由、基于数据包大小的策略路由和 基于应用的策略路由。论文检测。
2.策略路由实现分流
笔者的案例是在思科WS-C3750G-24TS核心交换机上做策略路由,实现关键的办公应用流量仍由原来防火墙承担,而机房及电子阅览室等流量由 PC改造的软路由承担,从而实现分流目的。只是需要注意的是对于该款交换机,其IOS如果是ipbase的则不支持策略路由,需要升级,而且需要在配置模 式下输入命令sdm prefer routing 及reload重启后才能配置策略路由,但有些命令在该交换机上仍不支持。以下是基于IP地址的策略路由配置步骤及说明:
C3750G(config)# access-list 100 permit ip 10.100.0.0 0.0.255.255 any
*用访问控制列表先抓取路由,在此为机房网段 (以“*”开头的此段为笔者注释,下同)
C3750G (config)#route-map toros permit 10
*起个名字,如toros,这里的10是策略路由序号
C3750G (config-route-map)#match ip address 100
*匹配一个访问列表,这里的100是访问列表号
C3750G (config-route-map)#set ip next-hop 10.10.3.2
*设置一个策略,定义下一跳10.10.3.2,该地址为软路由内网接口地址
C3750G (config-route-map)#exit
C3750G (config)#int vlan 201
*进入接口配置,这里是vlan 201接口,为一个机房vlan
C3750G (config-if)#ip policy route-map toros
*接口下调用
C3750G (config-if)#exit
这样,在vlan 201接口下符合access-list 100的数据就被转发到以10.10.3.2为内网接口的软路由上了,从而实现了分流。
3. 策略路由配置改进
经过上述配置后,已基本实现了分流的目的。但在做机房外网控制时,笔者却发现一个问题:当笔者在ROS软路由上关闭一机房的外网访问权限时,该机房访问内 网资源突然变得异常缓慢。我们的目的是让机房访问内网资源时只需在核心交换机上交换即可,访问外网才用策略路由通过软路由。
为何会出现这种情况?经分析原来是机房vlan的数据都先被转发到了软路由上,如目的地是内网资源,再被回指到核心交换机上,这样数据就被多绕了一道 弯,而当关闭软路由上一策略时,似乎迟迟绕不出该道弯了,如何解决?只要把目的地是内网资源的数据拦截在核心交换机上做交换即可,可用ACL实现。论文检 测。具体就是改进前文中的access-list 100,改进后的ACL如下:
access-list100 deny ip 10.100.0.0 0.0.255.255 10.10.0.0 0.0.255.255
access-list100 deny ip 10.100.0.0 0.0.255.255 10.100.0.0 0.0.255.255
*上面几行即可实现当机房vlan访问内部资源时仍在核心交换机上交换,而无需经策略路由转发到软路由上,如还有其他内网网段,均需增加相应ACL。论文检测。
*下面两行为原来的ACL
access-list100 permit ip 10.100.0.0 0.0.255.255 any
经过上述ACL的改进后,机房vlan及电子阅览室vlan访问内网及外网都非常顺畅了。
4.结束语
利用策略路由实现分流及实现过程中碰到问题的不断解决,笔者认为该方法具有一定的经济性与实用性,应用一年来,达到了良好的效果,同时也方便了机房外网的独立管理与控制。