网络拓扑

PBR---policy based route--策略路由，说到策略路由不得不提一下路由策略，他们之间看起来好像是两兄弟，但是作用却不一样

路由策略：主要是针对路由条目做限制，通常用于做路由过滤

策略路由：主要针对数据层面做限制，干预数据的走向

策略和路由，如果去往一个目的地，针对于路由和策略都能进行匹配，那么会首先匹配策略，其实这个很好理解，比如，为什么我们使用ACL（访问控制列表）可以针对数据做限制，就是因为策略优于路由，先匹配策略，策略匹配上以后不再匹配路由；当然，ACL通常能针对数据层面做的东西就两种行为，要么拒绝，要么允许，当我们想要实现更多需求的时候，单纯的使用ACL显然其能力有限，比如我要让某一部分数据走固定的一条线路出去的时候，ACL是不能实现的，那么就可能要用到一些高级策略，比如PBR；接下来，我们以一个实验详细说明：

本拓扑中：

1.C1和C2为两台window7系统PC，基于vmware-workstation上运行,用于模拟实际环境中的PC，桥接到GNS3中的模拟设备上

2.其中ISP为网络服务提供商使用本地网卡桥接到 GNS3，用于模拟外网

3.ISP2使用GNS3中的路由器3640模拟，并配置环回口114.114.114.114

4.其他所看到的路由器均为GNS3模拟器中3640路由器，交换机上并不需要做任何操作

接下来大致说一下拓扑连接过程：

Vmware中的PC分别为两台window7主机，桥接到GNS3中的交换机上，配置各设备接口的ip地址，然后R5上配置DHCP地址池为172.16.1.0/24网段，网关ip地址为172.16.1.1/24，dns-server为114.114.114.114，让PC自动获取ip地址。

需求：

1.在R5上配置策略路由

2.R1和R2上配置NAT做内网转换，让C1和C2可以正常访问网络

3.实现C1和C2访问网页的数据走ISP，telnet的数据和ping包的数据走ISP2

第一步：配置各设备ip地址，然后R5上配置dhcp

R5：

ip dhcp pool vm-pc

network 172.16.1.0 255.255.255.0

default-router 172.16.1.1

dns-server 114.114.114.114

测试ip地址获取是否正常：

C1

C2

第二步：R1上接口配置IP地址192.168.1.200/24（和本地网卡ip地址同一网段即可），并配置默认路由，测试：

R1连接外网正常

第三步，R2上配置接口ip地址，添加默认路由，测试：

R1正常

第四步：R1,R2上配置NAT，并写回程路由

R1：

access-list 1 permit 172.16.1.0 0.0.0.255

ip nat inside----进入接口F0/0

ip nat outside----进入接口F1/0

ip nat inside source list 1 interface FastEthernet1/0 overload

R2：

access-list 1 permit 172.16.1.0 0.0.0.255

ip nat inside---进入接口F0/0

ip nat outside---进入接口F1/0

ip nat inside source list 1 interface FastEthernet1/0 overload

回程路由：

R1(config)#ip route 172.16.1.0 255.255.255.0 100.1.1.2

R2(config)#ip route 172.16.1.0 255.255.255.0 200.1.1.2

第五步：R5上做PBR

1.使用ACL抓取感兴趣数据流：

R5(config)#access-list 100 permit udp any any eq 53

R5(config)#access-list 100 permit tcp any any eq 80

R5(config)#access-list 100 permit tcp any any eq 443

R5(config)#access-list 101 permit tcp any any eq 23

R5(config)#access-list 101 permit icmp any any echo

2.route-map匹配确定数据走向：

route-map AA permit 10

match ip address 100

set ip next-hop 100.1.1.1

---------------------------------------网页数据走100.1.1.1方向出去

route-map AA permit 20

match ip address 101

set ip next-hop 200.1.1.1

---------------------------------------telnet ping数据走ISP2方向出去

接口挂接：

R5(config)#int f0/0

R5(config-if)#ip policy route-map AA

R5(config-if)#exit

最后ISP2上配置telnet

ISP2(config)#username thinkmo password thinkmo

ISP2(config)#line vty 0 4

ISP2(config-line)#login local

ISP2(config-line)#exit

接下来测试：

首先测试vmware-PC是否可以上网，如果可以上网，证明数据走的ISP（左边），如果可以telnet上去代表数据走的ISP2(右边）

C1

C2

下面测试telnet和ping（测试ping需再ISP上开启debug ip icmp检测ping包）：

C1

C2

最后简单测试一下ping：

ISP2#debug ip icmp

C1

C2

圆满实现需求，通过PBR，我们可以实现针对数据流的控制，可以让特定的数据按照策略的指向进行发送，而且阅读完整篇文章，也应该注意到：再R5上并没有默认指出去，也就是说，这里并没有去往外网的路由条目，连基本的默认都没有，而是基于策略的转发，也就证明了策略优于路由，高于路由的概念；

以上就是本期内容，欢迎大家共同探讨，谢谢！