Корпоративные сети, которые обычно используются для нескольких отделений в организации часто разделены на VLANs для увеличения производительности. Администраторы могут объединить несколько физических коммутаторов в одну виртуальную сеть для создания более эффективного использования полосы пропускания для межведомственного трафика. Участники каждого отделения, кто часто работает удаленно чувствуют увеличение производительности несмотря на большие географические расстояния. При использовании политик маршрутизации другие уровни могут быть включены разрешением администраторов правил входящего и исходящего трафика. Эти правила или установки могут изменить путь пакета по сети.
Настройка PBR включает в себя конструирование route-map с установкой команд, которые включают соответствующий route-map для интерфейса. IP routing должен быть включен на интерфейсах для управления PBR. PBR может только быть разрешен для входящего трафика через эти интерфейсы.
Включение PBR на интерфейса VLAN вызывает маршрутизацию, при которой происходит сравнение всех входящих пакетов на интерфейс с route-map, по критериям которого определяется соответствующее правило маршрутизации. Интерфейс может иметь только одну политику route-map, но каждая политика может иметь множество route-map, каждая из которых последовательно сравнивается с пакетом в соответствии со своим приоритетом. Если одна запись критерия равна критерию входящего пакета, тогда запись выбирает соответствующее правило маршрутизации. Если две или более записей отвечают критерию, тогда выполняется то правило, которое имеется высший приоритет, то есть наименьший присвоенный номер. Если ни одна из записей не соответствует, тогда пакеты маршрутизируются по умолчанию.
Каждая route-map установка, что используется для PBR настраивается либо как permit (разрешено), либо как deny (запрещено). Если не находится соответствия по правилам маршрутизации deny или permit, то для пакета выполняется drop директива.
Примеры настройки
DELL Networking - Traffic Isolation Маршрутизируется один диапазон IP адресов (или подсеть) в ISP A, и второй диапазон IP адресов ( или подсеть) в ISP B.
Создание списков доступа.
- Enable routing…
- console(config)#ip routing
- Create three Access-Lists…
- console(config)#ip access-list accounting
- console(config-ip-acl)#permit ip 10.1.5.0 0.0.0.255 any
- console(config-ip-acl)#exit
- console(config)#ip access-list hr
- console(config-ip-acl)#permit ip 10.1.6.0 0.0.0.255 any
- console(config-ip-acl)#exit
- console(config)#ip access-list inter-communications
- console(config-ip-acl)#permit ip 10.1.5.0 0.0.0.255 10.1.6.0 0.0.0.255
- console(config-ip-acl)#permit ip 10.1.6.0 0.0.0.255 10.1.5.0 0.0.0.255
- console(config-ip-acl)#exit
Создание Route-Map. Статическая маршрутизация.
- Create a Route-Map with three sequences (10, 20, 30)…
- console(config)#route-map equal-access deny 10
- console(config-route-map)#match ip address inter-communications
- console(config-route-map)#exit
- console(config)#route-map equal-access permit 20
- console(config-route-map)#match ip address accounting
- console(config-route-map)#set ip next-hop 192.168.6.6
- console(config-route-map)#exit
- console(config)#route-map equal-access permit 30
- console(config-route-map)#match ip address hr
- console(config-route-map)#set ip next-hop 172.16.7.7
- console(config-route-map)#exit
Настройка конфигурации порта на ISP-A. В данном случае производится настройка VLAN-интерфейса с присвоением IP-адреса, а также настройка одного из портов в режиме транка.
- console(config)#vlan 101
- console(config-vlan101)#exit
- console(config)#interface vlan 101
- console(config-if-vlan101)#ip address 172.16.7.6 255.255.255.0
- console(config-if-vlan101)#interface Te1/0/1
- console(config-if-Te1/0/1)#switchport trunk allowed vlan all
- console(config-if-Te1/0/1)#switchport mode trunk
- console(config-if-Te1/0/1)#exit
Настройка конфигурации порта на ISP-B. В данном случае производится настройка VLAN-интерфейса с присвоением IP-адреса, а также настройка одного из портов в режиме транка.
- console(config)#vlan 102
- console(config-vlan102)#exit
- console(config)#interface vlan 102
- console(config-if-vlan102)#ip address 192.168.6.5 255.255.255.0
- console(config-if-vlan102)#interface Te1/0/2
- console(config-if-Te1/0/2)#switchport trunk allowed vlan all
- console(config-if-Te1/0/2)#switchport mode trunk
- console(config-if-Te1/0/2)#exit
Настройка VLAN с указанием Route-Map.
- console(config)#vlan 111
- console(config-vlan111)#exit
- console(config)#interface vlan 111
- console(config-if-vlan111)#ip address 10.1.5.1 255.255.0.0
- console(config-if-vlan111)#ip policy route-map equal-access
- console(config-if-vlan111)# exit
- /* Настройка VLAN на группе портов в режим доступа */
- console(config)#interface range gigabitethernet all
- console(config-if)#switchport access vlan 111
- console(config-if)#switchport mode access
Проверка результата настроек
- console#show ip access-lists
- console#show route-map
- console#show ip policy
- console#show vlan
