Как настроить эффективную маршрутизацию с помощью политик PBR на Cisco

Рубрики:

Routing & Switching

Метки:

blog, Cisco, Cisco CLI, Cisco IOS, Cisco IOS CLI, IP, IPV4, QoS, сетевые технологии

Команды LINUX «от A до Z» — настольная книга с примерами

Рассмотрим, как настроить эффективную маршрутизацию с помощью политик PBR (Policy-based Routing) на Cisco.

Содержание:

Топология
Сценарий
Задачи
Настройка и проверка маршрутизации OSPF
Применение и проверка политик PBR
Пример локального PBR
Выводы

Топология

Исследуемая топология состоит из четырех маршрутизаторов (Cisco 1941 с образом Cisco IOS Release 15.2 IP Base) и одного коммутатора (Cisco 2960 с ПО Cisco IOS 15.0(2)SE6 LAN Base). Допускается использование других моделей маршрутизаторов и версий программного обеспечения Cisco IOS. В зависимости от модели маршрутизатора и версии программного обеспечения Cisco IOS доступные команды и полученные результаты могут отличаться от показанных в этой статье.

Схема топологии следующая:

Сценарий

В этом примере поэкспериментируем с маршрутизацией на основе политик (PBR), чтобы увидеть, как она реализована, и изучить, как её можно использовать для влияния на выбор пути. Задача — подключить и настроить домен маршрутизации OSPF с 4 маршрутизаторами и 1 коммутатором, после чего проверить оптимальный выбор пути. Таким образом поток трафика с локальных сетей маршрутизатора R4 к месту назначения будет изменен с помощью политик PBR. Также будет использоваться Cisco IOS IP SLA с PBR для достижения динамического управления маршрутом. Чтобы изменить исходящий трафик с маршрутизатора R1, применим локальный PBR.

Задачи

Базовая настройка и проверка маршрутизации OSPF.
Применение необходимых команд для настройки работы маршрутизации на основе политик.
Проверка настроек и работы PBR, используя команды show и traceroute.

Настройки маршрутизатора R1

hostname R1
no ip domain lookup
line con 0
logging synchronous
exec-time 0 0
exit

interface G0/0
ip address 172.16.0.2 255.255.255.252
no shutdown
exit

interface G0/2
ip address 172.16.2.1 255.255.255.252
no shutdown
exit

interface G0/1
ip address 10.10.0.1 255.255.255.252
no shutdown
exit

Настройки маршрутизатора R2

hostname R2
no ip domain lookup
line con 0
logging synchronous
exec-time 0 0
exit

interface G0/0
ip address 172.16.0.1 255.255.255.252
no shutdown
exit

interface G0/1
ip address 172.16.1.1 255.255.255.252
no shutdown
exit

Курсы Python с нуля до DevOps на практике за 1,5 часа

Настройки маршрутизатора R3

hostname R3
no ip domain lookup
line con 0
logging synchronous
exec-time 0 0
exit

interface G0/0
ip address 172.16.1.2 255.255.255.252
no shutdown
exit

interface G0/2
ip address 172.16.2.2 255.255.255.252
no shutdown
exit

interface G0/1
ip address 192.168.0.1 255.255.255.252
no shutdown
exit

Настройки маршрутизатора R4

hostname R4
no ip domain lookup
line con 0
exec-timeout 0 0
logging synchronous
exit

interface G0/1
ip address 10.10.0.2 255.255.255.252
no shutdown
exit

interface Loopback 1
ip ospf network point-to-point
ip address 10.10.1.1 255.255.255.0
exit

interface Loopback 2
ip ospf network point-to-point
ip address 10.10.2.1 255.255.255.0
exit

Настройки коммутатора S2

hostname S2
no ip domain lookup
line con 0
logging synchronous
exec-time 0 0
exit

interface G0/1
no switchport
ip address 192.168.0.2 255.255.255.252
no shutdown
exit

interface Loopback 1
ip ospf network point-to-point
ip address 192.168.1.1 255.255.255.0
exit

Настройка и проверка маршрутизации OSPF

На коммутаторе R4 объявим подключенные сети, используя идентификатор процесса OSPF 123, и назначим идентификатор маршрутизатора 1.1.1.2. Также установим эталонную полосу пропускания для распознавания интерфейсов Gigabit Ethernet:

router ospf 123
router-id 1.1.1.2
auto-cost reference-bandwidth 1000
network 10.10.0.0 0.0.0.3 area 0
network 10.10.1.0 0.0.0.255 area 0
network 10.10.2.0 0.0.0.255 area 0
exit

То же самое настроим на маршрутизаторе R1, используя идентификатор процесса OSPF 123 и идентификатор маршрутизатора 1.1.1.1:

router ospf 123
router-id 1.1.1.1
auto-cost reference-bandwidth 1000
network 10.10.0.0 0.0.0.3 area 0
network 172.16.0.0 0.0.0.3 area 0
network 172.16.2.0 0.0.0.3 area 0
exit
int G0/2
bandwidth 128000

Настроим маршрутизацию OSPF на маршрутизаторе R2. Идентификатор процесса OSPF 123 и идентификатор маршрутизатора 2.2.2.1:

router ospf 123
router-id 2.2.2.1
auto-cost reference-bandwidth 1000
network 172.16.0.0 0.0.0.3 area 0
network 172.16.1.0 0.0.0.3 area 0
exit

Курсы Git за час: руководство для начинающих DevOps / DevNet инженеров

На маршрутизаторе R3 также объявим подключенные сети, используя идентификатор процесса OSPF 123 и идентификатор маршрутизатора 3.3.3.1:

router ospf 123
router-id 3.3.3.1
auto-cost reference-bandwidth 1000
network 192.168.0.0 0.0.0.3 area 0
network 172.16.1.0 0.0.0.3 area 0
network 172.16.2.0 0.0.0.3 area 0
exit
int G0/2
bandwidth 128000

Не забываем про коммутатор S2. Используем идентификатор процесса OSPF 123 и идентификатор маршрутизатора 3.3.3.2:

ip routing
router ospf 123
router-id 3.3.3.2
auto-cost reference-bandwidth 1000
network 192.168.0.0 0.0.0.3 area 0
network 192.168.1.0 0.0.0.255 area 0
exit

Перед настройкой PBR проверим текущую таблицу маршрутизации на всех устройствах:

R1# show ip route ospf
10.0.0.0/8 is variably subnetted, 4 subnets, 3 masks
O 10.10.1.0/24 [110/2] via 10.10.0.2, 00:06:19, GigabitEthernet0/1
O 10.10.2.0/24 [110/2] via 10.10.0.2, 00:06:19, GigabitEthernet0/1
172.16.0.0/16 is variably subnetted, 5 subnets, 2 masks
O 172.16.1.0/30 [110/2] via 172.16.0.1, 00:02:13, GigabitEthernet0/0
192.168.0.0/30 is subnetted, 1 subnets
O 192.168.0.0 [110/3] via 172.16.0.1, 00:02:13, GigabitEthernet0/0
O 192.168.1.0/24 [110/4] via 172.16.0.1, 00:01:47, GigabitEthernet0/0

R2# show ip route ospf
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
O 10.10.0.0/30 [110/2] via 172.16.0.2, 00:06:04, GigabitEthernet0/0
O 10.10.1.0/24 [110/3] via 172.16.0.2, 00:06:04, GigabitEthernet0/0
O 10.10.2.0/24 [110/3] via 172.16.0.2, 00:06:04, GigabitEthernet0/0
172.16.0.0/16 is variably subnetted, 5 subnets, 2 masks
O 172.16.2.0/30 [110/8] via 172.16.1.2, 00:05:06, GigabitEthernet0/1
[110/8] via 172.16.0.2, 00:06:04, GigabitEthernet0/0
192.168.0.0/30 is subnetted, 1 subnets
O 192.168.0.0 [110/2] via 172.16.1.2, 00:05:06, GigabitEthernet0/1
O 192.168.1.0/24 [110/3] via 172.16.1.2, 00:04:39, GigabitEthernet0/1

R3# show ip route ospf
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
O 10.10.0.0/30 [110/3] via 172.16.1.1, 00:05:41, GigabitEthernet0/0
O 10.10.1.0/24 [110/4] via 172.16.1.1, 00:05:41, GigabitEthernet0/0
O 10.10.2.0/24 [110/4] via 172.16.1.1, 00:05:41, GigabitEthernet0/0
172.16.0.0/16 is variably subnetted, 5 subnets, 2 masks
O 172.16.0.0/30 [110/2] via 172.16.1.1, 00:05:41, GigabitEthernet0/0
O 192.168.1.0/24 [110/2] via 192.168.0.2, 00:05:15, GigabitEthernet0/1

R4# show ip route ospf
172.16.0.0/30 is subnetted, 3 subnets
O 172.16.0.0 [110/2] via 10.10.0.1, 00:05:36, GigabitEthernet0/1
O 172.16.1.0 [110/3] via 10.10.0.1, 00:01:26, GigabitEthernet0/1
O 172.16.2.0 [110/8] via 10.10.0.1, 00:05:12, GigabitEthernet0/1
192.168.0.0/30 is subnetted, 1 subnets
O 192.168.0.0 [110/4] via 10.10.0.1, 00:01:26, GigabitEthernet0/1
O 192.168.1.0/24 [110/5] via 10.10.0.1, 00:01:00, GigabitEthernet0/1

S2# show ip route ospf
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
O 10.10.0.0/30 [110/4] via 192.168.0.1, 00:01:29, GigabitEthernet0/1
O 10.10.1.0/24 [110/5] via 192.168.0.1, 00:01:29, GigabitEthernet0/1
O 10.10.2.0/24 [110/5] via 192.168.0.1, 00:01:29, GigabitEthernet0/1
172.16.0.0/30 is subnetted, 3 subnets
O 172.16.0.0 [110/3] via 192.168.0.1, 00:01:29, GigabitEthernet0/1
O 172.16.1.0 [110/2] via 192.168.0.1, 00:01:29, GigabitEthernet0/1
O 172.16.2.0 [110/8] via 192.168.0.1, 00:01:29, GigabitEthernet0/1

Также с любого устройства можно проверить доступность всех настроенных сетей, используя следующий скрипт TCL. Скрипт следует вводить в привилегированном режиме. Все ping должны быть успешными:

tclsh

foreach address {
10.10.0.1
10.10.0.2
10.10.1.1
10.10.2.1
172.16.0.1
172.16.0.2
172.16.1.1
172.16.1.2
172.16.2.1
172.16.2.2
192.168.0.1
192.168.0.2
192.168.1.1
} { ping $address }

С помощью утилиты traceroute определим путь к сети коммутатора S2 Loopback 1 от сети маршрутизатора R4 Loopback 1. Обратите внимание, что путь для пакетов, полученных из локальной сети R4 Loopback 1, проходит через R1 —> R2 —> R3 —> S2:

traceroute 192.168.1.1 source 10.10.1.1
1 10.10.0.1 2 msec 2 msec 2 msec
2 172.16.0.1 2 msec 2 msec 2 msec
3 172.16.1.2 3 msec 3 msec 3 msec
4 192.168.0.2 3 msec * 4 msec

Теперь выполним проверку пути от сети R4 Loopback 2 к сети S2 Loopback 1. Он также идет по тому же пути:

traceroute 192.168.1.1 source lo 2
1 10.10.0.1 2 msec 1 msec 2 msec
2 172.16.0.1 2 msec 2 msec 3 msec
3 172.16.1.2 3 msec 3 msec 3 msec
4 192.168.0.2 2 msec * 8 msec

Примечание: пропускная способность канала R1 —> R3 специально была снижена. Сделано это, чтобы создать узкое место и маршрутизация не будет выбирать этот канал, потому что он низкопроизводительный.

Ранее в таблице маршрутизации OSPF маршрутизатора R1 показано, что он пересылает все пакеты, предназначенные для сети 192.168.1.0/24, из своего интерфейса G0/0 на маршрутизатор R2. С помощью команды show ip route можно посмотреть, что R1 узнал о сети 192.168.1.0 от маршрутизатора R2 (т. е. 172.16.0.1), который изначально узнал о ней от коммутатора S2 (т. е. 3.3.3.2):

show ip route 192.168.1.0
Routing entry for 192.168.1.0/24
Known via "ospf 123", distance 110, metric 4, type intra area
Last update from 172.16.0.1 on GigabitEthernet0/0, 00:19:36 ago
Routing Descriptor Blocks:
* 172.16.0.1, from 3.3.3.2, 00:19:36 ago, via GigabitEthernet0/0
Route metric is 4, traffic share count is 1

Применение и проверка политик PBR

В качестве примера настроим следующую политику на маршрутизаторе R1:

Весь трафик, исходящий из локальной сети R4 Lo1, должен проходить по пути R1 —> R2 —> R3 —> S2.
Весь трафик, исходящий из локальной сети R4 Lo2, должен проходить по пути R1 —> R3 —> S2.

На маршрутизаторе R1 создадим стандартный список ACL с именем Lo2-ACL для идентификации локальной сети R4 Loopback 2 (т. е. 10.10.2.0/24):

ip access-list standard Lo2-ACL
remark ACL matches D1 Lo2 traffic
permit 10.10.2.0 0.0.0.255
exit

Далее создаем карту маршрутов с именем R1-to-R3, соответствующую Lo2-ACL, и устанавливаем в качестве интерфейса следующего перехода интерфейс G0/2 R3:

route-map R1-to-R3 permit
description RM to forward Lo2 traffic to R3
match ip address Lo2-ACL
set ip next-hop 172.16.2.2
exit

Применяем карту маршрутов к интерфейсу G0/1 R1 с помощью команды ip policy route-map:

interface g0/1
ip policy route-map R1-to-R3
exit

На маршрутизаторе R1 отобразим политику и совпадения с помощью команды show route-map. Но, в настоящее время совпадений нет, поскольку пакеты, соответствующие ACL, ещё не прошли через R1 G0/1:

show route-map
route-map R1-to-R3, permit, sequence 10
Match clauses:
ip address (access-lists): Lo2-ACL
Set clauses:
ip next-hop 172.16.2.2
Policy routing matches: 0 packets, 0 bytes

Также можем убедиться, что карта маршрутов от R1 до R3 применена к интерфейсу G0/1 R1:

show ip policy
Interface Route map
Gi0/1 R1-to-R3

Проверим путь к сети S2 Loopback 1, используя интерфейс R4 Loopback 1 в качестве исходной сети:

traceroute 192.168.1.1 source lo 1
Type escape sequence to abort.
Tracing the route to 192.168.1.1
VRF info: (vrf in name/id, vrf out name/id)
1 10.10.0.1 3 msec 1 msec 2 msec
2 172.16.0.1 2 msec 3 msec 6 msec
3 172.16.1.2 8 msec 6 msec 9 msec
4 192.168.0.2 5 msec * 6 msec

Обратите внимание, что путь, выбранный для пакета, полученного из локальной сети R4 Loopback 1, по-прежнему проходит через R1 —> R2 —> R3 —> S2. Почему трафик трассировки не использует путь R3 —> R1, как указано в политике R1-to-R3?

Он не использует путь, указанный PBR, поскольку локальная сети R4 Loopback 1 не соответствует критериям, указанным в списке доступа Lo1-ACL.

Теперь определим путь к сети коммутатора S2 Loopback 1 от сети маршрутизатора R4 Loopback 2. Таким образом путь для пакета, полученного из локальной сети R4 Loopback 2, выглядит R1 —> R3 —> S2, как и ожидалось:

Type escape sequence to abort.
Tracing the route to 192.168.1.1
VRF info: (vrf in name/id, vrf out name/id)
1 10.10.0.1 1 msec 1 msec 1 msec
2 172.16.2.2 3 msec 3 msec 4 msec
3 192.168.0.2 3 msec * 5 msec

На маршрутизаторе R1 отобразим таблицу карты маршрутов. Теперь политики совпадают, поскольку пакеты, соответствующие ACL, прошли через интерфейс R1 G0/1:

show route-map
route-map R1-to-R3, permit, sequence 10
Match clauses:
ip address (access-lists): Lo2-ACL
Set clauses:
ip next-hop 172.16.2.2
Policy routing matches: 9 packets, 540 bytes

Пример локального PBR

Локальный PBR — это функция для политики маршрутизации локально генерируемого трафика.
В этом примере настроим маршрутизатор R1 для политики маршрутизации всего трафика, генерируемого маршрутизатором, по каналу R1–R3.

Проверим путь, который в настоящее время использует R1, без настроенного локального PBR. R1 отправляет трафик R2, затем R3 и, наконец, S2:

traceroute 192.168.1.1
traceroute 192.168.1.1
Type escape sequence to abort.
Tracing the route to 192.168.1.1
VRF info: (vrf in name/id, vrf out name/id)
1 172.16.0.1 3 msec 2 msec 2 msec
2 172.16.1.2 3 msec 2 msec 5 msec
3 192.168.0.2 4 msec * 5 msec

На маршрутизаторе R1 создадим именованный расширенный список ACL под названием R1-TRAFFIC, который соответствует всем IP-пакетам, сгенерированным от маршрутизатора R1 и предназначенным для сети коммутатора S2 192.168.1.0/24:

ip access-list extended R1-TRAFFIC
permit ip any 192.168.1.0 0.0.0.255
exit

На маршрутизаторе R1 создаем карту маршрутов под названием LOCAL-PBR, которая разрешает трафик, соответствующий ACL R1-TRAFFIC, и перенаправляет его на интерфейс R3 172.16.2.2. Также создадим локальную политику PBR, соответствующую карте маршрутов LOCAL-PBR:

route-map LOCAL-PBR permit
match ip address R1-TRAFFIC
set ip next-hop 172.16.2.2
exit

ip local policy route-map LOCAL-PBR
exit

Проверим путь, выбранный маршрутизатором R1 для достижения локальной сети S2 192.168.1.0/24. Трафик теперь по правилам направляется непосредственно на маршрутизатор R3 (т. е. 172.16.2.2):

traceroute 192.168.1.1
Type escape sequence to abort.
Tracing the route to 192.168.1.1
VRF info: (vrf in name/id, vrf out name/id)
1 172.16.2.2 2 msec 3 msec 2 msec
2 192.168.0.2 3 msec * 6 msec

Проверим путь, выбранный маршрутизатором R1 для доступа к другим сетям. Трафик проходит по обычному пути, сгенерированному OSPF, и не маршрутизируется политикой:

traceroute 192.168.0.2
Type escape sequence to abort.
Tracing the route to 192.168.0.2
VRF info: (vrf in name/id, vrf out name/id)
1 172.16.0.1 2 msec 2 msec 2 msec
2 172.16.1.2 3 msec 3 msec 6 msec
3 192.168.0.2 5 msec * 4 msec

Посмотрим на счетчики карты маршрутов. Локальная политика PBR соответствует пакетам:

show route-map
route-map R1-to-R3, permit, sequence 10
Match clauses:
ip address (access-lists): Lo2-ACL
Set clauses:
ip next-hop 172.16.2.2
Policy routing matches: 9 packets, 540 bytes
route-map LOCAL-PBR, permit, sequence 10
Match clauses:
ip address (access-lists): R1-TRAFFIC
Set clauses:
ip next-hop 172.16.2.2
Policy routing matches: 6 packets, 502 bytes

Выводы

Спасибо за уделенное время на прочтение статьи. Теперь Вы умеете настраивать эффективную маршрутизацию с помощью политик PBR (Policy-based Routing) на Cisco.

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet (программируемые сети) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!

Спешите подать заявку! Группы стартуют 25 января, 26 февраля, 22 марта, 26 апреля, 24 мая, 21 июня, 26 июля, 23 августа, 20 сентября, 25 октября, 22 ноября, 20 декабря.

Что Вы получите?

Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.

Как проходит обучение?

Проведем вечерние онлайн-лекции на нашей платформе.
Согласуем с вами удобное время для практик.
Если хотите индивидуальный график — обсудим и реализуем.
Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.

А еще поможем Вам:

отредактировать или создать с нуля резюме;
подготовиться к техническим интервью;
подготовиться к конкурсу на понравившуюся вакансию;
устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.

Чтобы учиться на курсах Cisco, Linux LPI, кибербезопасность, DevOps / DevNet, Python, подайте заявку или получите бесплатную консультацию.