Cisco PBR 라우팅이란?
Source IP 주소를 확인하여 라우팅 경로를 다르게 설정하기 위해서 사용하는 라우팅 방식이다
또한 PBR은 일반라우팅보다 우선순위가 높다
PBR라우팅이 동작하기 위해서는 SDM(Switch Databse Management) template이
필요하므로 설정을 확인하고 sdm template를 사용가능하도록 해야한다.
SDM template 확인 방법
number of IPv4 policy based routing aces 항목을 확인해 보면 0 이다.
Switch#sh sdm prefer
The current template is "aggregate default" template.
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs.
number of unicast mac addresses: 6K
number of IPv4 IGMP groups + multicast routes: 1K
number of IPv4 unicast routes: 12K
number of directly-connected IPv4 hosts: 6K
number of indirect IPv4 routes: 6K
number of IPv4 policy based routing aces: 0
number of IPv4/MAC qos aces: 0.875k
number of IPv4/MAC security aces: 1K
sdm 사용가능하도록하고 적용을 위해 재부팅 한다.
Switch(config)#sdm prefer routing
Changes to the running SDM preferences have been stored, but cannot take effect
until the next reload.
Use 'show sdm prefer' to see what SDM preference is currently active.
Switch(config)#exit
Switch# reload
재부팅 후 sdm확인(number of IPv4 policy based routing aces 확인)
Switch#sh sdm prefer
The current template is "aggregate routing" template.
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs.
number of unicast mac addresses: 6K
number of IPv4 IGMP groups + multicast routes: 1K
number of IPv4 unicast routes: 20K
number of directly-connected IPv4 hosts: 6K
number of indirect IPv4 routes: 14K
number of IPv4 policy based routing aces: 0.5K
number of IPv4/MAC qos aces: 0.5K
number of IPv4/MAC security aces: 1K
사용하는 네트워크 대역이 10.100.0.0/18이고, 이중 특정 IP대역 (10.100.1.0/24 - 10.100.8.0/24)을 가지는 트래픽을
무조건 192.168.100.1로 라우팅을 하도록 강제로 지정하기를 원하는 경우 PBR 설정을 통해서 진행하면 된다
PBR 설정 방법
1. ACL을 설정
Switch(config)#
ip access-list extended PBRACL
permit ip 10.100.1.0 0.0.0.255
permit ip 10.100.2.0 0.0.0.255
permit ip 10.100.3.0 0.0.0.255
permit ip 10.100.4.0 0.0.0.255
permit ip 10.100.5.0 0.0.0.255
permit ip 10.100.6.0 0.0.0.255
permit ip 10.100.7.0 0.0.0.255
permit ip 10.100.8.0 0.0.0.255
deny ip any any
2. Route Map 설정
Switch(config)# route-map (name) permit 1
Switch(config-route-map)#match ip address PBRACL
Switch(config-route-map)#set ip next-hop 192.168.100.1
Switch(config-route-map)#exit
set ip default next-hop 192.168.232.21 --->defalut를 추가하여 입력시 라우팅을 우선순위로 적용하고 그다음 순위
3. Interface 정책 설정
Switch(config)#int vlan 5
Switch(config-if)#ip policy route-map (name)
4. PBR name은 동일하게 하면서 permit number만 변경하여 생성하면 한개의 route-map name으로 동시 적용 가능
access-list 10 permit ip 10.10.10.0 0.0.0.255
access-list 20 permit ip 10.10.20.0 0.0.0.255
route-map test permit 1
match ip address 10 // ACL 10번에 해당하면
set ip next-hop 10.10.1.2 // 10.10.1.2로 보내라
route-map test permit 2
match ip address 20 // ACL 20번에 해당하면
set ip next-hop 10.10.2.2 // 10.10.2.2로 보내라
interface Ethernet 0
ip policy route-map test // 패킷이 들어오면 test라는 route-map을 따른다.
5. 시간대별 PBR 설정
0. Time 영역 추가
time-range p2p
periodic weekdays 9:00 to 18:00
1. ACL에 Time range 적용
ip access-list extended p2p_die
deny udp any any eq 7674 time-range p2p
deny tcp any any eq 7675 time-range p2p
deny udp any any eq 22321 time-range p2p
deny tcp any any eq 4662 time-range p2p
deny udp any any eq 6501 time-range p2p
permit ip any any time-range p2p
3. 인터페이스에 ACL 적용
interface serial 0
ip access-group p2p_die in
설정 완료 후 PBR이 잘 적용되었는지 traceroute로 확인해 본다.
(PC에 설정된)source IP 주소에 따라서 같은 목적지라도 경로가 다름을 볼 수 있다.
참고문서
'IT Technology > Cisco' 카테고리의 다른 글
| Cisco ASA(Firepower) Pre-shared Key 확인법 (0) | 2021.03.21 |
|---|---|
| ACL(Access Control List) 설정 방법 (0) | 2021.03.16 |
| Cisco 날짜 및 시간 설정방법 (0) | 2021.02.23 |
| Cisco mirroring Configuration (시스코 미러링 설정) (0) | 2021.02.15 |
| GARP란? Gratuitous ARP (0) | 2021.02.14 |