目次
ポリシールーティング
特徴:
ポリシーベース ルーティング (PBR: ポリシーベース ルーティング) は、宛先アドレスに基づくルーティングおよび転送よりも柔軟なデータ パケットのルーティングおよび転送メカニズムを提供します。ポリシー ルーティングでは、IP/IPv6 パケットの送信元アドレス、宛先アドレス、ポート、パケット長に基づいてルートを柔軟に選択できます。
アプリケーションシナリオ:
企業には 2 つの出力回線があり、イントラネット内の一部のコンピュータが特定の出力回線を介してインターネットにアクセスし、他のコンピュータが別の出力回線を介してインターネットにアクセスできるようにする必要があります。この場合、ポリシー ルーティング機能は次のことを行うことができます。ルーター上で有効にする必要があります。
1. ネットワーク要件
ネットワーク トポロジは次のとおりです。R1 には外部ネットワークへの 2 つの出口 R3 と R4 があり、R3 出口を通じて外部ネットワークにアクセスするには内部ネットワーク 172.16.1.0/24 を実装する必要があり、内部ネットワーク 172.16.2.0/ 24 を使用して、R4 出口を介して外部ネットワークにアクセスします。
2. ネットワークトポロジ
4. 構成のポイント
1.基本的なIPアドレス設定
2. 基本的な IP ルーティング設定、ネットワーク全体に到達可能にする
3. イントラネット トラフィックに一致するように R1 で ACL を設定します。
4. ポリシールーティングの構成
5. アプリケーションポリシールーティング
5. 設定手順
1.基本的なIPアドレス設定
Ruijie(config)#ホスト名 R1
R1(config)#インターフェイスギガビットイーサネット0/0
R1(config-GigabitEthernet 0/0)#ip アドレス 192.168.1.1 255.255.255.0
R1(config-ギガビットイーサネット 0/0)#終了
R1(config)#インターフェイスギガビットイーサネット0/1
R1(config-GigabitEthernet 0/1)#IP アドレス 192.168.2.1 255.255.255.0
R1(config-GigabitEthernet 0/1)#exit
R1(config)#インターフェイスギガビットイーサネット0/2
R1(config-GigabitEthernet 0/2)#ip アドレス 192.168.3.1 255.255.255.0
R1(config-GigabitEthernet 0/2)#exit
Ruijie(config)#ホスト名 R2
R2(config)#インターフェイスギガビットイーサネット0/0
R2(config-GigabitEthernet 0/0)#ip アドレス 192.168.1.2 255.255.255.0
R2(config-GigabitEthernet 0/0)#exit
R2(config)#インターフェイスギガビットイーサネット0/1
R2(config-GigabitEthernet 0/1)#ip アドレス 172.16.1.1 255.255.255.0
R2(config-GigabitEthernet 0/1)#exit
R2(config)#インターフェイスギガビットイーサネット0/2
R2(config-GigabitEthernet 0/2)#ip アドレス 172.16.2.1 255.255.255.0
R2(config-GigabitEthernet 0/2)#exit
Ruijie(config)#ホスト名 R3
R3(config)#インターフェイス ファスト イーサネット 0/0
R3(config-if-FastEthernet 0/0)#ip アドレス 192.168.2.2 255.255.255.0
R3(config-if-FastEthernet 0/0)#exit
Ruijie(config)#ホスト名 R4
R4(config)#インターフェイス ファスト イーサネット 0/0
R4(config-if-FastEthernet 0/0)#ip アドレス 192.168.3.2 255.255.255.0
R4(config-if-FastEthernet 0/0)#exit
2. 基本的な IP ルーティング設定、ネットワーク全体に到達可能にする
R1(config)#ip ルート 172.16.0.0 255.255.0.0 192.168.1.2
R2(config)#ip ルート 100.1.1.0 255.255.255.0 192.168.1.1
R3(config)#ip ルート 172.16.0.0 255.255.0.0 192.168.2.1
R4(config)#ip ルート 172.16.0.0 255.255.0.0 192.168.3.1
3. イントラネット トラフィックに一致するように R1 で ACL を設定します。
R1(config)#ip access-list standard 10 //イントラネット 172.16.1.0/24 に一致するように ACL 10 を設定します
R1(config-std-nacl)#10 許可 172.16.1.0 0.0.0.255
R1(config-std-nacl)#終了
R1(config)#ip access-list standard 20 //イントラネット 172.16.2.0/24 に一致するように ACL 20 を設定します
R1(config-std-nacl)#10 許可 172.16.2.0 0.0.0.255
R1(config-std-nacl)#終了
4. ポリシールーティングの構成
R1(config)#route-map ruijie 許可 10 // 設定ルートマップ ruijie
R1(config-route-map)#match ip address 10 //イントラネット ACL 10 のトラフィックと一致します
R1(config-route-map)#set ip next-hop 192.168.2.2 //IP メッセージのネクストホップを強制的に 192.168.2.2 に設定し、R3 出口を出る
R1(config-route-map)#exit
R1(config)#route-map ruijie許可 20
R1(config-route-map)#match IP アドレス 20
R1(config-route-map)#set ip next-hop 192.168.3.2
R1(config-route-map)#exit
知らせ:
1) ルート マップの一致順序は上から下であり、トラフィックがポリシーに一致すると、データは一致したポリシーに従って転送され、下位に一致し続けることはありません。
2) ルート マップの最後に、deny all ステートメントがあり、ポリシー ルーティングに一致しないトラフィックについては、イントラネット トラフィックは破棄されず、通常の IP ルーティングが転送されます。
3) set ip next-hop はネクスト ホップの IP アドレスを設定でき、データ パケットの送信インターフェイスも設定できます。ネクスト ホップの IP アドレスを設定することをお勧めします。
5. アプリケーションポリシールーティング
R1(config)#インターフェイスギガビットイーサネット0/0
R1(config-GigabitEthernet 0/0)#ippolicyroute-mapruijie // ポリシールーティングを適用する
R1(config-ギガビットイーサネット 0/0)#終了
知らせ:
ポリシー ルーティングは、データ パケットのイン方向インターフェイスに適用する必要がありますが、データ パケットのアウト方向インターフェイスには適用できません。ポリシー ルーティングは実際にはデータ パケットがルーターに入るときに行われるため、データ パケットのネクスト ホップ、つまり出力方向のインターフェイスを設定することが必須です。ルーターはデータ パケットの IP ルーティングを完了し、データ パケットを転送しました。インターフェイスからのルーティングが機能しません。
6. 構成の検証
ルート追跡のために、R2 上の送信元アドレスを外部ネットワーク 100.1.1.0/24 に取得します。172.16.1.0/24 が R3 経由で外部ネットワークにアクセスし、172.16.2.0/24 が R4 経由で外部ネットワークにアクセスする場合、ポリシー ルーティング設定は次のようになります。正しい。
R2#traceroute 100.1.1.1 ソース 172.16.1.1
<Ctrl+C を押して中断>
100.1.1.1 へのルートを追跡する
1 192.168.1.1 0ミリ秒 0ミリ秒 0ミリ秒
2 192.168.2.2 10 ミリ秒 0 ミリ秒 10 ミリ秒 //172.16.1.0/24 外部ネットワークの R3 出口にアクセスします
他のパスは省略されています
R2#traceroute 100.1.1.1 ソース 172.16.2.1
<Ctrl+C を押して中断>
100.1.1.1 へのルートを追跡する
1 192.168.1.1 0ミリ秒 0ミリ秒 0ミリ秒
2 192.168.3.2 10 ミリ秒 0 ミリ秒 10 ミリ秒 //172.16.2.0/24 外部ネットワークの R4 出口にアクセスします
他のパスは省略されています