Tất cả những tùy chọn của IP forwarding (định tuyến) thông thường có một điểm chung là: địa chỉ IP nguồn trong IP header là thành phần duy nhất trong gói tin được dùng để quyết định đẩy gói tin đi như thế nào. Định tuyến theo chính sách PBR cho phép router đưa ra quyết định định tuyến dựa trên những thông tin khác ngoài địa chỉ IP đích.

PBR được bắt đầu với câu lệnh ip policy trên một cổng của router. Lệnh này nói cho router biết để xử lý những gói tin vào với những cách thức logic khác nhau trước khi đẩy gói tin một cách thông thường. (Cụ thể hơn, policy nằm giữa bước 2 và bước 3 trong cách thức xử lý định tuyến ở hình 1.1 dưới đây). Router so sánh những gói tin đã nhận với việc sử dụng route map trong câu lệnh ip policy. Hình dưới đây mô tả policy routing:



Việc chỉ định những tiêu chí cho chính sách định tuyến thì tương đối đơn giản chỉ là so sánh đến những chỉ thị định tuyến bằng cách sử dụng lệnh set. Những route map được sử dụng trong chính sách định tuyến phải so trùng với mỗi thành phần trong một bảng thông tin, bảng thông tin này chứa những dòng dựa trên thông tin của một ACL (dựa trên ACL hoăc ACL theo tên, sử dụng lệnh match ip address), hoặc dựa trên chiều dài gói tin (dùng lệnh match length).

Để chỉ định những chỉ thị định tuyến, hay nói cách khác chính là nơi kế tiếp để đẩy gói tin, lệnh set được sử dụng.


Lệnh set ip next-hop ip-address [. . . ip-address]

Giải thích ý nghĩa của lệnh trên: Địa chỉ next-hop phải trong cùng một subnet kết nối trực tiếp; đẩy đến địa chỉ đầu tiên trong danh sách những địa chỉ gán cho những interface đã up.


Lệnh set ip default next-hop ip-address [. . . ip-address]

Giải thích ý nghĩa của lệnh trên: Cùng ý nhĩa như lệnh trên, tuy nhiên router sẽ cố gắng định tuyến dựa trên bảng định tuyến trước.

set interface interface-type interface-number [. . . interface-type interface-number]

Giải thích ý nghĩa của lệnh trên: Chuyển gói tin dùng interface đầu tiên trong danh sách những interface đã up.

set default interface interface-type interface-number [. . . interface-type interface-number]

Giải thích ý nghĩa của lệnh trên: Cùng ý nhĩa như lệnh trên , tuy nhiên router sẽ cố gắng định tuyến dựa trên bảng định tuyến trước.


set ip precedence number | name

Giải thích ý nghĩa của lệnh trên: Set giá trị IP precedence, có thể là gí trị thập phân hoăc tên ASCII.


set ip tos [number]
Giải thích ý nghĩa của lệnh trên:Set giá trị ToS dưới dạng số thập phân.

Bốn lệnh set đầu tiên trong các lệnh ở trên là quan trọng nhất để xem xét. Về cơ bản, bạn set địa chỉ IP của next-hop hoặc outgoing interface. Dùng tùy chọn outgoing interface chỉ khi không tham chiếu đến VLAN interface hoặc multipoint FramRelay subinterface.

Quan trọng nhất, cần chú ý từ khóa default trong lệnh set. Dùng từ khóa default có nghiã là chỉ thị đầu tiên của policy routing dựa trên địa chỉ IP đích, và chỉ thị kế tiếp sẽ sử dụng chi tiết của lệnh set chỉ khi nào router không tìm thấy route nào trong bảng định tuyến.

Lệnh set cuối cùng chỉ định giá trị của trường ToS trong gói tin; có thể tham khảo thêm vấn đề ”Phân loại và đánh dấu (Classification and Marking) trong box ONT của diễn đàn vnpro” để có nhiều thông tin hơn về ToS và thiết lập thông số cho QoS.

Bạn có thể kết hợp nhiều lệnh set trong cùng một câu route-map. Ví dụ, bạn có thể chỉ định địa chỉ IP của next-hop và xét giá trị của trường ToS của gói tin cùng một lúc .

Hình dưới đây cho thấy sự thay đổi so với mô hình mạng đã đưa ra ở phần trước của chương này. Router R3 và R4 bây giờ cùng một site, kết nối tới cùng một LAN , và mỗi router đều có những PVC đang kết nối tới Router R1 và R2 .



Ví dụ cấu hình dưới đây cho thấy ba chính sách định tuyến khác nhau được cấu hình trên Router3. Đầu tiên cấu hình Chuyển luồng telnet qua PVC đến Router2 (next hop 172.31.123.2). Cấu hình kế tiếp cùng một mục đích nhưng sử dụng lệnh set interface. Tùy chọn cuối cùng hiển thị một trường hợp mạng không hoạt động nếu Router R3 chỉ định LAN interface của nó như là outgoing interface.

Hai route map đầu tiên trong ví dụ tương đối đơn giản, tuy nhiên route map cuối cùng cho thấy sự phức tạp khi chỉ định một multi-access outgoing interface . Trong hai trường hợp đầu tiên, telnet làm việc tốt; để kiểm tra xem công việc có được thực hiện hay không, ta sử dụng lệnh debug ip policy.

Route map thứ ba (to-R4-outgoing) chỉ định interface đi đến interface E0 trên router R3. Bởi vì router R3 không có thông tin L2 của của next-hop có địa chỉ IP là 172.31.11.201, router R3 gửi một ARP request để hỏi địa chỉ MAC của next-hop. Trong ví dụ lệnh show ip arp cho thấy rằng, R3 không bao giờ hoàn tất thông tin ARP của nó. Với mục đích forwarrd gói tin đến router R4, đòi hỏi cấu hình R3 sử dụng địa chỉ IP của next-hop thay vì sử dụng outgoing interface E0.

Đầu tiên, bạn có thể nghĩ rằng chỉ cần thực hiện chính sách to-R4-outgoing để mà R4 kích hoạt proxy ARP. Sự thật là, nếu như R4 sau khi được cấu hình lệnh ip proxy-arp, thì chính nó sẽ trả ARP reply lại R3. R4 gắn địa chỉ MAC của nó vào ARP reply. Tuy nhiên, R3 bỏ qua thông điệp ARP reply từ R4, bởi vì R3 đã thực thi việc kiểm tra căn bản trên những ARP. Chỉ những tuyến đường từ R3 đến địa chỉ 172.31.11.201 được chỉ qua WAN interface, và các router kiểm tra các ARP reply để chắc rằng chúng liệt kê những interface có thể thực được điều này. Từ ngữ cảnh của R3, chỉ những interface có khả năng đến được đích mới có thể được ghi nhớ. Vì vậy, R3 sẽ không bao giờ được nghe những ARP reply đến từ interface fa0/0, do đó R3 sẽ bỏ qua (proxy) ARP reply từ R4. Để thấy hiểu được toàn bộ vấn đề này, ban nên thực tập lại mô hình trên đồng thời thực hiện những lệnh debug ip arp và debug policy.

@-)Vấn đề Route-map mình đã đọc rất kỹ, trong mô hình lab của mình đặt ra là có 2 ISP ( ISP1 và ISP2 ), nhu cầu của mình là cần 1 nhóm các PC của VLAN1 đi theo hướng ISP1 và nhóm các PC thuộc VLAN2 đi theo hướng ISP2, giống như chia tải . Trong file cấu hình mình đã đặt 1 route-map ở port fastEthernet trên R1 để lựa chọn các điều kiện phù hợp và set các đường out cho phù hợp. Và trên R1 có thực hiện NAT ra Internet , do vậy mình có cần phải đặt tiếp 1 route-map cho NAT không? Khi thực hiện mình đã không tạo 1 route-map cho NAT và đã không chạy được do vậy mình đã làm thêm 1 route-map cho câu lệnh ip nat inside source route-map [WORD] .... thì mới forward packet ra được, nhưng có 1 điều lạ là 2 nhóm làm bài này, 1 nhóm làm chạy,1 nhóm làm không chạy, mặc dù cấu hình như nhau và các thiết bị đều hoạt động tốt, sử dụng đều là Switch 2950, Router 28xx. Và khi thực hiện bài lab này ở nhà lại xảy ra 1 hiện tượng khác không giải thích được đó là: khi 2 ISP cùng up thì dữ liệu từ các PC thuộc 2 VLAN chỉ đi được trên 1 hướng (ISP1 hoặc ISP2) và tạo thêm tình huống một ISP chết (down) thì lúc đó packets từ các PC mới forward đúng theo hướng còn lại đang up. Và khi no shutdown lại cho interface đã bị down thì cũng vẫn đi lệch về 1 hướng ISP nào đó. Như vậy là sao? Xin a.Minh giúp đỡ:106:

Ban thu su dung cau hinh nhu sau:

interface Serial1/0
ip address 192.168.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
serial restart-delay 0
clock rate 64000
!
interface Serial1/1
ip address 192.168.2.1 255.255.255.0
ip nat outside
ip virtual-reassembly
serial restart-delay 0
clock rate 64000
!
interface Ethernet2/0
ip address 192.168.14.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex half
!
interface Ethernet2/1
ip address 192.168.15.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex half
!
!
ip nat inside source route-map NAT1 interface Serial1/0 overload
ip nat inside source route-map NAT2 interface Serial1/1 overload
!
access-list 1 permit 192.168.14.0 0.0.0.255
access-list 2 permit 192.168.15.0 0.0.0.255
!
route-map NAT1 permit 10
match ip address 1
set ip next-hop 192.168.1.2
!
route-map NAT2 permit 10
match ip address 2
set ip next-hop 192.168.2.2

!
!

Mình đã test rồi, nhưng fail. Bạn Hòa ah, source code của bạn giống của mình 100%, nhưng bạn còn thiếu thiết lập policy for route-map cho interface ethernet thì sẽ không thể chạy được đâu! Dù sao cũng cám ơn bạn!:)

Minh sua lai chay tot roi.

R4#ping 192.168.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 120/147/204 ms
R4#ping 2.2.2.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 92/120/164 ms
R4#

R5#ping 192.168.2.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 108/125/144 ms
R5#ping 3.3.3.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 112/148/192 ms


Ban xem cau hinh sau:

R1#show run
Building configuration...

Current configuration : 1336 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
memory-size iomem 15
no aaa new-model
ip subnet-zero
!
!
ip cef
!
interface FastEthernet0/0
ip address 192.168.14.1 255.255.255.0
ip nat inside
ip policy route-map POLICY
speed auto
full-duplex
!
interface Serial0/0
ip address 192.168.1.1 255.255.255.0
ip nat outside
serial restart-delay 0
clock rate 64000
!
interface FastEthernet0/1
ip address 192.168.15.1 255.255.255.0
ip nat inside
ip policy route-map POLICY
speed auto
full-duplex
!
interface Serial0/1
ip address 192.168.2.1 255.255.255.0
ip nat outside
serial restart-delay 0
clock rate 64000
!
ip nat inside source route-map NAT1 interface Serial0/0 overload
ip nat inside source route-map NAT2 interface Serial0/1 overload
ip http server
ip classless
!
!
access-list 1 permit 192.168.14.0 0.0.0.255
access-list 2 permit 192.168.15.0 0.0.0.255
!
route-map POLICY permit 10
match ip address 1
set ip next-hop 192.168.1.2
!
route-map POLICY permit 20
match ip address 2
set ip next-hop 192.168.2.2
!
route-map NAT2 permit 10
match ip address 2
!
route-map NAT1 permit 10
match ip address 1
!
line con 0
line aux 0
line vty 0 4
!
!
end

R1#

R2#show run
Building configuration...

Current configuration : 690 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
memory-size iomem 15
no aaa new-model
ip subnet-zero
!
!
!
ip cef
!
!
!
!
!
interface Loopback0
ip address 2.2.2.2 255.255.255.255
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/0
ip address 192.168.1.2 255.255.255.0
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1
no ip address
shutdown
!
ip http server
ip classless
!
!
line con 0
line aux 0
line vty 0 4
login
!
!
end

R2#
R3#show run
Building configuration...

Current configuration : 710 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
memory-size iomem 15
no aaa new-model
ip subnet-zero
!
!
!
ip cef
!
!
interface Loopback0
ip address 3.3.3.3 255.255.255.255
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/0
ip address 192.168.2.2 255.255.255.0
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1
no ip address
shutdown
!
ip http server
ip classless
!
!
line con 0
privilege level 15
line aux 0
line vty 0 4
login
!
!
end

R3#

R4#show run
Building configuration...

Current configuration : 577 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R4
!
boot-start-marker
boot-end-marker
!
!
memory-size iomem 15
no aaa new-model
ip subnet-zero
!
!
!
ip cef
!
!
interface FastEthernet0/0
ip address 192.168.14.2 255.255.255.0
speed auto
full-duplex
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.14.1
!
!
line con 0
line aux 0
line vty 0 4
login
!
!
end

R4#
R5#show run
Building configuration...

Current configuration : 597 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R5
!
boot-start-marker
boot-end-marker
!
!
memory-size iomem 15
no aaa new-model
ip subnet-zero
!
!
!
ip cef
!
!
interface FastEthernet0/0
ip address 192.168.15.2 255.255.255.0
speed auto
full-duplex
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.15.1
!
!
line con 0
privilege level 15
line aux 0
line vty 0 4
login
!
!
end

R5#

Danymips:

# policy routing + NAT lab

[localhost]
workingdir = \Labs

[[7200]]

[[ROUTER R1]]
image = \Program Files\Dynamips\images\c2600-j1s3-mz.123-23.bin.image
model = 2621
s0/0 = R2 s0/0
s0/1 = R3 s0/0
f0/0 = R4 f0/0
f0/1 = R5 f0/0

[[ROUTER R2]]
image = \Program Files\Dynamips\images\c2600-j1s3-mz.123-23.bin.image
model = 2621

[[ROUTER R3]]
image = \Program Files\Dynamips\images\c2600-j1s3-mz.123-23.bin.image
model = 2621

[[ROUTER R4]]
image = \Program Files\Dynamips\images\c2600-j1s3-mz.123-23.bin.image
model = 2621

[[ROUTER R5]]
image = \Program Files\Dynamips\images\c2600-j1s3-mz.123-23.bin.image
model = 2621

Anh ơi! anh đã thử dùng lệnh "show ip nat translation" chưa ạ?

em test thấy chỉ hiện translation có một đia chỉ IP wan thôi. Mà em tracert thì vẫn đi đúng đường

Em chưa hiểu vấn đề này lắm. Mong các anh giúp đỡ em.

thanks

batigol

sao không anh nào giúp em cái.

buồn quá nhỉ? Ko ai ra tay giúp đỡ mình cả?

sao ko ai giúp em thế ? anh Minh giúp em với ?

pác post dài quá :D, giá cả đang tăng cao, em đọc thấy hơi chóng mặt :-SS:-SS
(hehe, mà trình em cũng chưa đủ vào box này :D) ;)) ;))

:X:X:106::106:

thanks all. Em giải quyết được rồi