网络运控@杂谈【策略路由+策略NAT+SLA】

duyukun

在网上查了一些资源，比较零碎，今天忙活了一天，搭建拓扑、敲命令，现在整理了一下，发出来和大家一起学习。

【真心希望有人教教我这个编辑怎么在当前位置插图片】

说正题，首先来说说这个实验用到的技术，SLA这个东东，百度说是Service Level Aggrement(服务等级协议），有点晦涩，我理解就是链路状态检测，用于检测一条链路的各种状态，比如通断情况；接着是策略路由（PBR），主要用到的就是route-map，常听说路由策略重点是路由，策略路由重点是策略，这句话体会还不够深，先记着就行，策略路由浅显的就是先抓取感兴趣的路由然后对路由的选路、下一跳，metric等参数进行修改，策略路由更多应用于BGP，其实这个东西是很强大的；最后就是NAT，但今天用到的是策略的NAT，就是route-map + NAT技术。

先说一下大概配置流程：
1、先将上本的配置敲完：内网用OSPF使内网互通，并在边界路由器上强行注入OSPF的默认路由，外网只有端口IP和一个相同的Loopback口，因为这里不考虑相同运营商之间的通信，所以用分别在两个运营商路由器上写了相同的IP6.6.6.6/32；
2、配置SLA，这个比较简单，配置完基本不固定了；
3、配置route-map，这里分两种，一种是给NAT用的，要写两个，一种是给策略路由用的，只写一个；
4、配置NAT,分别调用route-map；
5、接口下调用策略路由；
基本就这几步，下面上命令，【这里只上重要部分并解释】
其实命令基本都在R1上，也就是边界路由器上。
“ ### ”后面的为解释内容

R1配置：【按上面的流程来】


1、基本OSPF配置

network 172.16.13.0 0.0.0.3 area 0
network 192.168.12.0 0.0.0.3 area 0
default-information originate always           ###强行注入OSPF默认路由，使内网路由器有一条   O*E2 0.0.0.0/0 [110/1]     的默认路由



2、配置SLA

ip sla monitor 14                  ### 这个  14 是随便起的，但在会后面用到， 一种颜色是一个SLA
     type echo protocol ipIcmpEcho 14.14.14.2 source-ipaddr 14.14.14.1          ###  这里其实是定义用ICMP包来检测源和目标IP，14.14.14.2是外网IP，14.14.14.1是边界出口IP
     timeout 300                    ###  这个300是定义多长时间未收到echo的回应就断定这条链路断了，单位是毫秒
     frequency 5                   ###  这是是定义周期性检测链路的时间间隔，单位是秒
ip sla monitor schedule 14 life forever start-time now              ###  这个是执行SLA，从什么时候开始，以及结束时间，我这里让它一直检测
ip sla monitor 15
     type echo protocol ipIcmpEcho 15.15.15.2 source-ipaddr 15.15.15.1
     timeout 300
     frequency 5
ip sla monitor schedule 15 life forever start-time now


定义完SLA后要和追踪组一起使用【颜色对应哦】


track 41 rtr 14 reachability             ###     41是追踪组的编号，14就是上面SLA的编号
!
track 51 rtr 15 reachability



ip route 0.0.0.0 0.0.0.0 14.14.14.2 track 41                 ###这是一方面是上面的追踪组对应，一方面是和OSPF的默认路由起作用，因为外网是没有任何静态或动态路由的，如果外网用动态路由协议，只用default-information originate always就可以，但这里没有。【不信可心试试，试出来告诉我哦】  如果检测的这条链路断了，由这条默认路由生成的静态默认路由也就会消失，并不是这条命令，它会与后面的策略路由和策略NAT有联动作用。
ip route 0.0.0.0 0.0.0.0 15.15.15.2 track 51

到这里SLA基本完成。


3、配置route-map


  要先抓取感兴趣的流量，也就是我们的内网
ip access-list standard DXACL                      ###正常情况下只往电信链路起的ACL，抓取内网2的流量
     permit 172.16.13.0 0.0.0.3
     permit 172.16.1.0 0.0.0.255
     permit 172.16.2.0 0.0.0.255
ip access-list standard WTACL        ###正常情况下只往网通链路起的ACL，抓取内网1的流量
     permit 192.168.1.0 0.0.0.255
     permit 192.168.2.0 0.0.0.255
     permit 192.168.12.0 0.0.0.3



NAT的route-map【注意名字不同哦】


route-map DXMAP permit 10
     match ip address DXACL WTACL            ### 你没看错，这里匹配走电信或网通的流量，想一下题目，单点双向，对了，如果其中一条断了另一条就要挑大梁了
     match interface Serial0/1               ###说一下  Serial0/1  这个接口是边界路由器的出接口，要让NAT往哪边转换就写哪边的出接口
!
route-map WTMAP permit 10
     match ip address WTACL DXACL
     match interface Serial0/0

=============================================================================


策略路由的route-map【注意名字一样哦】


route-map PBRWTDX permit 10                                     ###匹配内网1，使内网1的流量只走网通，当网通的链路断了走电信，也就与上面的SLA和追踪组联动起来了
match ip address WTACL
set ip next-hop verify-availability 14.14.14.2 1 track 41      ###这里说一下14.14.14.2后的 “1” 前面是没有定义它的，你可以把它想成下一跳的一个列表
!
route-map PBRWTDX permit 20                                     ###匹配内网1，使内网1的流量只走网通，当电信的链路断了走网通，也就与上面的SLA和追踪组联动起来了
match ip address DXACL
set ip next-hop verify-availability 15.15.15.2 2 track 51                              



4、先NAT调用route-map【没什么好说的，只要对应上面的route-map名称和出接口就可以了】


ip nat inside source route-map DXMAP interface Serial0/1 overload
ip nat inside source route-map WTMAP interface Serial0/0 overload



5、接口下调用策略路由【更简单，一句话，看出来了吗，只在边界路由器的入接口调用】


interface FastEthernet1/0
ip address 192.168.12.1 255.255.255.252
ip nat inside
ip virtual-reassembly
ip policy route-map PBRWTDX
!
interface FastEthernet2/0
ip address 172.16.13.1 255.255.255.252
ip nat inside
ip virtual-reassembly
ip policy route-map PBRWTDX

到这里基本就结束了，一开始我配置的都是对的，可是Ping半天就是不通，看了会柯南再来Ping就通了，真想只有一个，在边界上开启debug多观察吧。

梦幻1

瞄miao

伤不伤

学习学习

khoatrang123456

thanks for your sharing

ykce

学习了

ci000206

谢谢楼主，学习一下