Корпоративные сети, которые обычно используются для нескольких отделений в организации часто разделены на VLANs для увеличения производительности. Администраторы могут объединить несколько физических коммутаторов в одну виртуальную сеть для создания более эффективного использования полосы пропускания для межведомственного трафика. Участники каждого отделения, кто часто работает удаленно чувствуют увеличение производительности несмотря на большие географические расстояния. При использовании политик маршрутизации другие уровни могут быть включены разрешением администраторов правил входящего и исходящего трафика. Эти правила или установки могут изменить путь пакета по сети.
Настройка PBR включает в себя конструирование route-map с установкой команд, которые включают соответствующий route-map для интерфейса. IP routing должен быть включен на интерфейсах для управления PBR. PBR может только быть разрешен для входящего трафика через эти интерфейсы.
Включение PBR на интерфейса VLAN вызывает маршрутизацию, при которой происходит сравнение всех входящих пакетов на интерфейс с route-map, по критериям которого определяется соответствующее правило маршрутизации. Интерфейс может иметь только одну политику route-map, но каждая политика может иметь множество route-map, каждая из которых последовательно сравнивается с пакетом в соответствии со своим приоритетом. Если одна запись критерия равна критерию входящего пакета, тогда запись выбирает соответствующее правило маршрутизации. Если две или более записей отвечают критерию, тогда выполняется то правило, которое имеется высший приоритет, то есть наименьший присвоенный номер. Если ни одна из записей не соответствует, тогда пакеты маршрутизируются по умолчанию.
Каждая route-map установка, что используется для PBR настраивается либо как permit (разрешено), либо как deny (запрещено). Если не находится соответствия по правилам маршрутизации deny или permit, то для пакета выполняется drop директива.
Примеры настройки
DELL Networking - Traffic Isolation Маршрутизируется один диапазон IP адресов (или подсеть) в ISP A, и второй диапазон IP адресов ( или подсеть) в ISP B.
Создание списков доступа.
Enable routing… console(config)#ip routing Create three Access-Lists… console(config)#ip access-list accounting console(config-ip-acl)#permit ip 10.1.5.0 0.0.0.255 any console(config-ip-acl)#exit console(config)#ip access-list hr console(config-ip-acl)#permit ip 10.1.6.0 0.0.0.255 any console(config-ip-acl)#exit console(config)#ip access-list inter-communications console(config-ip-acl)#permit ip 10.1.5.0 0.0.0.255 10.1.6.0 0.0.0.255 console(config-ip-acl)#permit ip 10.1.6.0 0.0.0.255 10.1.5.0 0.0.0.255 console(config-ip-acl)#exit
Создание Route-Map. Статическая маршрутизация.
Create a Route-Map with three sequences (10, 20, 30)… console(config)#route-map equal-access deny 10 console(config-route-map)#match ip address inter-communications console(config-route-map)#exit console(config)#route-map equal-access permit 20 console(config-route-map)#match ip address accounting console(config-route-map)#set ip next-hop 192.168.6.6 console(config-route-map)#exit console(config)#route-map equal-access permit 30 console(config-route-map)#match ip address hr console(config-route-map)#set ip next-hop 172.16.7.7 console(config-route-map)#exit
Настройка конфигурации порта на ISP-A. В данном случае производится настройка VLAN-интерфейса с присвоением IP-адреса, а также настройка одного из портов в режиме транка.
console(config)#vlan 101 console(config-vlan101)#exit console(config)#interface vlan 101 console(config-if-vlan101)#ip address 172.16.7.6 255.255.255.0 console(config-if-vlan101)#interface Te1/0/1 console(config-if-Te1/0/1)#switchport trunk allowed vlan all console(config-if-Te1/0/1)#switchport mode trunk console(config-if-Te1/0/1)#exit
Настройка конфигурации порта на ISP-B. В данном случае производится настройка VLAN-интерфейса с присвоением IP-адреса, а также настройка одного из портов в режиме транка.
console(config)#vlan 102 console(config-vlan102)#exit console(config)#interface vlan 102 console(config-if-vlan102)#ip address 192.168.6.5 255.255.255.0 console(config-if-vlan102)#interface Te1/0/2 console(config-if-Te1/0/2)#switchport trunk allowed vlan all console(config-if-Te1/0/2)#switchport mode trunk console(config-if-Te1/0/2)#exit
Настройка VLAN с указанием Route-Map.
console(config)#vlan 111 console(config-vlan111)#exit console(config)#interface vlan 111 console(config-if-vlan111)#ip address 10.1.5.1 255.255.0.0 console(config-if-vlan111)#ip policy route-map equal-access console(config-if-vlan111)# exit /* Настройка VLAN на группе портов в режим доступа */ console(config)#interface range gigabitethernet all console(config-if)#switchport access vlan 111 console(config-if)#switchport mode access
Проверка результата настроек
console#show ip access-lists console#show route-map console#show ip policy console#show vlan
