痞酷網_PIGOO

 找回密碼
 立即註冊
!!! [系統偵測到廣告阻擋軟體] !!!

如果您覺得痞酷網對您有些許幫助,或者您認同痞酷網的理想,

那麼希望您將痞酷網設定為白名單.

並請在上論壇的時候,動動您的手指,用行動支持我們.

謝謝!
查看: 16851|回復: 0

策略路由(PBR)的簡單介紹與實做

[複製鏈接]
發表於 2011-3-31 22:18:14 | 顯示全部樓層 |閱讀模式
本帖最後由 wst2080 於 2011-3-31 10:44 PM 編輯

何為 策略路由 Policy Based Routing (PBR) ?
在於多WAN的環境之下,而路由器能針對進入路由器的封包來因應需求而將封包分別丟往不同的WAN端上來進行傳輸。

硬體需求: 多WAN的環境 以及 支援 PBR 功能的網通設備

閱讀建議: 建議需要有相關的網路基本知識以及熟析TCP/IP協定當中的相關定義等。

http://farm6.static.flickr.com/5302/5575890147_f8e95c08f5_z.jpg
以我家網路架構(此圖為簡略圖)為案例 簡單說明一下 PBR 的用處~

假設我想將VLAN 100當中的壹網樂跟NewTV數位電視 的流量導向 6M/640K 的那條鏈路上
而 VLAN 100當中 telnet 的流量 以及 VLAN 150 全部的流量 都導向到 512K/64K 的 ADSL 鏈路上
剩下其他的流量全部都導向 20M/2M 的那條鏈路上

這時候就是PBR最好使用的時機了~~~

http://farm6.static.flickr.com/5068/5575934823_c5a7db0eda_z.jpg

看這張圖就可以輕鬆得知,進行PBR的角色就是那台 pfsense ~ 設定好相關的規則後,由它來決定進入的封包來導向該去的鏈路上。

來舉個實做的案例吧~ 用一台VLAN 100的用戶端來上網,就可以得知不同的結果了~
http://farm6.static.flickr.com/5221/5576557942_3cb4e595f8_b.jpg

http://farm6.static.flickr.com/5133/5576561410_b77a17ac2e_b.jpg
在這裡可以看到上BBS站的IP跟上網頁的IP,兩者之間所顯示出來的部份是完全不同的,這也代表著就是PBR的規則已經生效。



pfsense 的 PBR 要怎麼設定呢? 這稍後就會提到。

    一般而言, PBR 幾乎是 base on IP 上頭~ 在於小型網路上面,或許會將每台電腦都設置一組固定IP等的網路組態;但在中大型網路當中可就不同了,網管不太可能這麼勞心費力的一台一台的設定網路組態,而是透過 DHCP 的方式來管理網路內每台電腦的網路組態。
    因此可用DHCP保留區的方式來指派需要執行PBR的用戶端。透過DHCP保留區的概念,讓該用戶端的網卡MAC位置能夠透過DHCP獲取一個保留區的位置。
http://farm6.static.flickr.com/5182/5576638548_63bc590115_b.jpg
PS:至於其他的DHCP方法,請參閱各平台的文件,之後就不再重複。


開始設定 pfsense 上的PBR:

http://farm6.static.flickr.com/5068/5575934823_c5a7db0eda_z.jpg
   http://farm6.static.flickr.com/5178/5576642408_48f6fc1217_b.jpg

從這裡就可以知道,在於pfsense的設定當中就是透過防火牆的規則來進行PBR的行為。
可以從 L3 或者 L4 來進行PBR,並且也可以針對來源或者目的進行PBR。

從這個案例可以得知,條目第一條就是將連向目標TCP 23 Port (Telnet) 的網路流量導向到 10.0.4.1 (也就是ADSL那條電路)
http://farm6.static.flickr.com/5133/5576561410_b77a17ac2e_b.jpg
http://farm6.static.flickr.com/5014/5576077735_1b3517e0b9_b.jpg
可以比較一下 BBS 與 DI-704UP 的 WAN端IP 是否相同?


因此若要使用PBR的機制,就得熟析自己的需求以及網路的流向該要怎麼進行。
以下就舉將VLAN 100內 telnet 到外部的流量均使用 512K/64K ADSL。

http://farm6.static.flickr.com/5131/5576682008_6d29673ed1_b.jpg
首先指定通訊協定,其次再來指定來源(網段、IP...等)

http://farm6.static.flickr.com/5131/5576682032_495ced3066_b.jpg
第三就是指定連線目標、第四就是指定網路服務的連接埠(若選TCP/UDP,才會跳出此項目),最後才是指定符合該項規則的路由導向到該導向的IP。

這裡要注意的部份就是 PBR指定連線的路由出口,則必須先在介面頁面上面設定Gateway
http://farm6.static.flickr.com/5184/5576682046_4871a6d129_b.jpg
http://farm6.static.flickr.com/5175/5576096945_daefa0cf1b_b.jpg

以上就是 pfsense 配置 PBR 的方法


至於 Routeros 也可以進行 PBR , 其實觀念與剛剛介紹的差不多,只不過操作介面稍微複雜而已。 以下就簡單的説明一下:
概要:
一、於 防火牆 中 Mangle 建立一組 Routing Mark(路由標記)
二、於 路由表 手動指定 Routing Mark (路由標記) 的路由

實做:
http://farm6.static.flickr.com/5309/5576977514_f7dc00d116_z.jpg

http://farm6.static.flickr.com/5259/5576392645_a522e65f47_z.jpg

http://farm6.static.flickr.com/5310/5576977636_eb05d805e2_z.jpg

http://farm6.static.flickr.com/5267/5576977692_85910dfd78_z.jpg

http://farm6.static.flickr.com/5067/5576977738_ff220af5f3_z.jpg

http://farm6.static.flickr.com/5027/5576392865_5e965f8101_z.jpg

http://farm6.static.flickr.com/5103/5576977836_3d041efe19_z.jpg

http://farm6.static.flickr.com/5140/5576977900_a6952400f2_z.jpg

以上就是 Routeros PBR 的設定簡介。
Routeros 在台代理商網站所做的PBR影片教學: http://lee-cheng.com.tw/uploads/blance.swf


再來就是 Cisco Router 的 PBR 設定
概要:
一、設定 Access List (ACL)
二、建立 Route-map
三、於介面上套用 Route-map
PS: 此部分僅視簡單提要,請具備CCNA基礎(非Paper)。 若有興趣者,可購買Cisco Press CCNP 官方驗證書籍當中 BSCI科目(老) 或者 ROUTE(新) 的書籍。
相信裡面有更詳盡的介紹。 (考NP ROUTE時,PBR也可能會成為LAB的考題喔!)


需求假設:
假設我想將VLAN 100當中的壹網樂跟NewTV數位電視 的流量導向 6M/640K 的那條鏈路上
而 VLAN 100當中 telnet 的流量 以及 VLAN 150 全部的流量 都導向到 512K/64K 的 ADSL 鏈路上
剩下其他的流量全部都導向 20M/2M 的那條鏈路上

得知 壹網樂 以及 NewTV數位電視盒 IP 均各自為 10.0.100.211 與 10.0.100.212
而 VLAN 100 的網段為 10.0.100.0/24 ; VLAN 150 的網段為 10.0.150.0/24 。
架構為
http://farm6.static.flickr.com/5052/5577080868_5519ce6dda_z.jpg
Cisco Router 位置取代 pfsense 的部份; 其餘相同。 (其實活用亦可,Cisco Router的設定靈活性來的更高。)
而VLAN 3 的 DI-704UP LAN IP 為 10.0.3.1 ; 而 VLAN 4 的 DI-704UP LAN IP 為 10.0.4.1

首先撰寫 ACL :
Router(config)# access-list 10 permit host 10.0.100.211
Router(config)# access-list 10 permit host 10.0.100.212
Router(config)# access-list 20 permit 10.0.150.0 0.0.0.255
Router(config)# access-list 110 permit tcp 10.0.100.0 0.0.0.255 any eq 23

再來就是撰寫 Route-map
Router(config)# route-map OUT permit 10
Router(config-route-map)# match ip address 10
Router(config-route-map)# set ip next-hop 10.0.3.1
Router(config-route-map)# exit
Router(config)# route-map OUT permit 20
Router(config-route-map)# match ip address 20
Router(config-route-map)# set ip next-hop 10.0.4.1
Router(config-route-map)# exit
Router(config)# route-map OUT permit 30
Router(config-route-map)# match ip address 110
Router(config-route-map)# set ip next-hop 10.0.4.1
Router(config-route-map)# exit
Router(config)# route-map OUT permit 40
Router(config-route-map)# set interface fa0/0
Router(config-route-map)# exit

最後就是將 Route-Map 套用在介面上 (得套用在封包導入的那個介面上。在這張圖的範例當中,就是 Fa0/1)
Router(config)# interface fastethernet0/1
Router(config-if)# ip policy route-map OUT

如何從Cisco Router上驗證結果:
Router# debug ip policy

Router# show access-list
Router# show route-map
Router# show ip policy

以上就是 Cisco PBR 的實做簡單說明。
您需要登錄後才可以回帖 登錄 | 立即註冊

本版積分規則

關閉

站長小叮嚀上一條 /1 下一條

禁閉室|手機版|連繫我們|痞酷網電子技術論壇

GMT+8, 2024-12-4 02:01 AM , Processed in 0.132204 second(s), 16 queries , Gzip On.

Powered by Discuz! X3.4 Licensed

© 2001-2023 Discuz! Team.