如何在 DELL Networking N 系列交換器上執行原則式路由 （PBR）

目標

本文說明如何在 Dell Networking N 系列交換器上實作原則式路由 （PBR）。PBR 是一組配置為路由數據包的策略，而不是由啟用的路由協定在路由表中填充的路由

目錄

1. 概觀

2. 設定原則式路由

3. 驗證路由映射下的原則

  概觀

• PBR 是一組規則，根據組織策略應用於路由數據包，這些策略可能會偏離實際的路由協定路由

• PBR 只能在 VLAN 介面上設定，而 ACL 則可套用在 VLAN、連接埠通道和實體介面上

• PBR 僅應套用於入口 VLAN 介面

• 交換器中應啟用 L3 功能，才能執行 PBR。在 VLAN 介面上設定 ip 位址，並輸入全域組態命令「ip routeing」來完成此作業

• 僅當 PBR 包含至少一個匹配語句和一個集語句時，它才適用

• PBR 不會影響本機產生的流量

• 如果無法訪問 PBR 中聲明的下一跳 IP，則使用路由表路由匹配的數據包

• PBR 不支援 IPv6 相符陳述式 

如果路由映射中的路由映射或 ACL 語句被編輯，請確保刪除路由映射並在介面上重新應用，更新後的路由映射策略才會生效

建議不要在與已設定路由映射原則的 VLAN 相關聯的介面上套用 Diffserv

設定原則式路由

若要透過 VLAN 15 （下一躍點 192.168.15.15），將封包從 VLAN 5 中的主機 192.168.5.5 路由至 192.168.10.10，請執行下列步驟：

這些步驟與「正常路由」相對，即透過 VLAN 10 （下一躍點 192.168.10.10）

1. 在交換器上啟用 L3 功能

   1. 進入全域組態模式，方法是輸入： console#configure

   2. 輸入以下項目啟用 L3 模式： 主控台 （config）#ip 路由

2. 設定存取控制清單 （ACL） 以篩選要路由的網路或主機 （僅限發往 192.168.10.10 的 192.168.5.5 流量）。

   1. 進入全域組態模式，方法是輸入： console#configure

   2. 輸入以下命令建立 ACL： console（config）#ip access-list allow_192.168.5.5

ACL 名稱可以包含字母、數位、點、短劃線或下劃線，但只能以字母開頭，並且長度應少於或等於 31 個字元

1. 輸入以下內容以建立允許或拒絕篩選語句： console（config-ip-acl）#permit ip host 192.168.5.5 host 192.168.10.10  

1. 設定 PBR 原則以達到需求。

   1. 進入全域組態模式，方法是輸入： console#configure 

   2. 輸入以下內容建立 PBR： console（config）#route-map POLICY_redirect

PBR 名稱可以數字或字母開頭

1. 輸入 match 語句以匹配聲明的 ACL 中的主機或網路，方法是輸入： 主控台（路由映射）#match IP 位址 allow_192.168.5.5

2. 輸入指定下一躍點 ip 的 set 語句，方法是輸入： console（route-map）#set ip 下一躍點 192.168.15.15

1. 在 VLAN 介面套用路由對應

   1. 進入全域組態模式： 主控台#configure

   2.  進入介面特定模式： 主控台 （組態）#interface VLAN 10 

   3. 將 PBR 原則套用至傳出 VLAN 介面： 主控台 （config-if-vlan100）#ip 原則路由對應POLICY_redirect

如果在 VLAN 介面上同時應用 PBR 和 ACL，則兩個部分（PBR 和 ACL）的規則將被視為過濾流量。
如果在物理介面上同時應用 PBR 和 ACL，則僅考慮將其中一個部分（PBR 或 ACL）中的規則用於過濾流量。

驗證路由映射下的原則

要查看路由映射策略和路由策略已重定向的數據包數的統計資訊，請輸入命令：控制台#顯示路由映射POLICY_redirect

以下是正常路由映射的範例：

     符合子句：
       IP 位址（存取清單）：allow_192.168.5.5
設定子句：
       IP 下一躍點 192.168.15.15
原則已路由：0 個數據包，0 位元組