Policy Base Routing PBR – Định tuyến theo chính sách Đối với các giao thức định tuyến thông đường như RIP, OSPF, EIGRP…, dữ kiện để chọn ra đường đi tiếp theo cho gói tin là dựa trên địa
Trang 1Policy Base Routing (PBR) – Định tuyến theo
chính sách
Đối với các giao thức định tuyến thông đường như RIP, OSPF, EIGRP…,
dữ kiện để chọn ra đường đi tiếp theo cho gói tin là dựa trên địa chỉ đích của gói tin Tuy nhiên, trong một số trường hợp, người dùng có nhu cầu lựa chọn đường đi dựa trên nhiều thông tin khác ví dụ dựa trên địa chỉ IP source hay dựa trên loại dịch vụ muốn sử dụng (telnet, http, …) Điều này
sẽ giúp người sử dụng chủ động hơn trong việc lựa chọn tuyến đường mong muốn để vận chuyển các gói tin trên hệ thống mạng
Trong trường hợp router sử dụng các giao thức định tuyến thông thường, khi nhận được một gói tin đến, thành phần Data plane của router sẽ thực thi một số tiến trình để xử lý gói tin Đầu tiên router sẽ kiểm tra các thành phần của frame lớp 2 đã được đóng gói Router sẽ kiểm tra trường FCS (Frame Check Sequence) của gói tin và loại bỏ gói tin nếu nó phát hiện thấy lỗi Nếu sau quá trình kiểm tra không phát hiện lỗi, router sẽ loại bỏ header và trailer của frame này để tiếp tục xử lý lớp 3 của gói tin Router
sẽ đọc địa chỉ IP đích trong gói tin lớp 3 và so sánh với những địa chỉ mạng
có trong bảng định tuyến Nếu trong bảng định tuyến có đường đi về mạng tương ứng gói tin sẽ được chuyển tiếp đên cho router next-hop, ngược lại gói tin sẽ bị loại bỏ
Policy Base Routing là một công cụ giúp người quản trị mạng có thể điều khiển đường đi của gói tin bằng cách quy định các chính sách Từ đó giúp cho người quản trị có thể phân luồng dữ liệu tốt hơn trong quá trình hoạt động PBR có thể chuyển tiếp gói tin mà không cần quan tâm đến địa chỉ mạng đích của gói tin, thậm chí thông tin về đường đi đến mạng đích đó không có trong bảng định tuyến
Khi sử dụng Policy Base Routing (PBR) quá trình chuyển tiếp gói tin theo
IP đích của router sẽ bị chèn bởi các chính sách định tuyến của PBR Như vậy tức là các điều kiện của PBR sẽ được kiểm tra trước so với quá trình kiểm tra bảng định tuyến, nếu gói tin đáp ứng được các điều kiện được nêu ra trong PBR thì gói tin sẽ được thực thi các chính sách chuyển tiếp gói tin được mô tả trong PBR mà không cần phải thực hiện quá trình kiểm tra bảng định tuyến Trong trường hợp các thông tin trong gói tin đó không tương ứng với các điều kiện đã được đưa ra, gói tin sẽ được định tuyến dựa trên bảng định tuyến của router như bình thường
Trang 2PRB lựa chọn tuyến đường đi cho gói tin bằng cách sử dụng một bộ lọc với các điều kiện được thiết lập thông qua Route map Một route map
được định nghĩa bằng các câu lệnh match để thiết lập điều kiện sau đó thực thi các chính sách bằng câu lệnh set Sau khi tạo ra route map, nó sẽ
được gán vào một interface của router, và bất cứ gói tin nào đi vào interface đó đều sẽ được kiểm tra và so sánh với các điều kiện của route map
Để tìm hiểu cách thức cấu hình PBR, ta xét ví dụ sau đây:
Trang 3Yêu cầu của bài lab là thực hiện cấu hình PBR để những gói tin xuất phát
từ mạng 192.168.5.0/24 sẽ rời khỏi R1 theo cổng s1/0 đến router R3
Sau khi thực hiện cấu hình định tuyến OSPF vùng 0 cho toàn bộ sơ đồ mạng thì các router sẽ có đường đi đến tất cả các điểm trên sơ đồ
Ta kiểm tra bảng định tuyến của R1 bằng lệnh Show ip route:
R1#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS
level-2
Trang 4ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
C 192.168.13.0/24 is directly connected, Serial1/0
C 192.168.14.0/24 is directly connected, FastEthernet0/0
C 192.168.15.0/24 is directly connected, FastEthernet0/1
O 192.168.24.0/24 [110/20] via 192.168.14.4, 00:08:08, FastEthernet0/0 192.168.55.0/32 is subnetted, 1 subnets
O 192.168.55.1 [110/11] via 192.168.15.5, 00:08:08, FastEthernet0/1 192.168.4.0/32 is subnetted, 1 subnets
O 192.168.4.1 [110/11] via 192.168.14.4, 00:08:08, FastEthernet0/0 192.168.5.0/32 is subnetted, 1 subnets
O 192.168.5.1 [110/11] via 192.168.15.5, 00:08:10, FastEthernet0/1
O 192.168.23.0/24 [110/30] via 192.168.14.4, 00:08:10, FastEthernet0/0
C 192.168.1.0/24 is directly connected, Loopback0
192.168.2.0/32 is subnetted, 1 subnets
O 192.168.2.1 [110/21] via 192.168.14.4, 00:08:12, FastEthernet0/0
192.168.3.0/32 is subnetted, 1 subnets
O 192.168.3.1 [110/31] via 192.168.14.4, 00:08:12, FastEthernet0/0
Ta thấy, theo router R1, muốn đi đến mạng 192.168.2.1 thì di chuyển đến địa chỉ 192.168.14.4 (router R4), tức là đi qua cổng f0/0
Ta kiểm tra tracert route đến 192.168.2.1 trên router R5 với địa chỉ nguồn lần lượt là 192.168.5.1 và 192.168.55.1:
R5#traceroute 192.168.2.1 source 192.168.5.1
Type escape sequence to abort.
Tracing the route to 192.168.2.1
1 192.168.15.1 20 msec 32 msec 32 msec
2 192.168.14.4 80 msec 36 msec 68 msec
3 192.168.24.2 132 msec 112 msec 124 msec
R5#traceroute 192.168.2.1 source 192.168.55.1
Type escape sequence to abort.
Tracing the route to 192.168.2.1
1 192.168.15.1 24 msec 64 msec 52 msec
2 192.168.14.4 84 msec 48 msec 100 msec
3 192.168.24.2 100 msec 100 msec 116 msec
Ta thấy các gói tin sẽ được chuyển tiếp đến địa chỉ 192.168.14.4
Bây giờ ta thực hiện cấu hình PBR để các gói tin có địa chỉ nguồn trong mạng 192.168.5.0/24 sẽ đi ra khỏi router R1 theo cổng s1/0 đến router R3
B1: cấu hình access-list để gom nhóm các địa chỉ 192.168.5.0/24
R1(config)# access-list 1 permit 192.168.5.0 0.0.0.255
Trang 5B2: cấu hình tạo route map
R1(config)#route-map PBR permit 10
R1(config-route-map)#match ip address 1
R1(config-route-map)#set ip next-hop 192.168.13.3
B3: Gán route map vừa tạo vào Interface
R1(config)#interface FastEthernet0/1
R1(config-if)#ip policy route-map PBR
Sau khi cấu hình xong, ta kiểm tra lại tracert route trên router R5
R5#traceroute 192.168.2.1 source 192.168.5.1
Type escape sequence to abort.
Tracing the route to 192.168.2.1
1 192.168.15.1 36 msec 52 msec 28 msec
2 192.168.13.3 100 msec 84 msec 72 msec
3 192.168.23.2 96 msec 88 msec 148 msec
R5#traceroute 192.168.2.1 source 192.168.55.1
Type escape sequence to abort.
Tracing the route to 192.168.2.1
1 192.168.15.1 36 msec 32 msec 20 msec
2 192.168.14.4 64 msec 68 msec 84 msec
3 192.168.24.2 144 msec 124 msec 100 msec
Ta thấy đối với địa chỉ source 192.168.5.1 gói tin sẽ được chuyển tiếp qua router R3, mặt khác những gói tin có địa chỉ source 192.168.55.1 vẫn được chuyển tiếp qua router R4