Policy-based routing (PBR) cung cấp cho các quản trị viên mạng sự nhanh nhẹn và linh hoạt để quản lý tốt hơn các lưu lượng. Với các chính sách được thiết kế một cách cẩn thận, bạn có thể tối ưu hóa cách các phân đoạn xử lý dữ liệu, cũng như quản lý băng thông cho các ứng dụng quan trọng trong kinh doanh.
Những gì chúng tôi đề cập trong bài viết này:
Routing là quá trình khám phá các mạng đích, quảng bá chúng, xác định đường dẫn tốt nhất cho lưu lượng truy cập và duy trì thông tin đó.
Routing không phải là quá trình di chuyển dữ liệu thông qua Router. Điều đó được gọi là chuyển mạch bên trong Router, không nên nhầm lẫn với Switch.
Theo định nghĩa ngày nay, Switch là một thiết bị dựa trên phần cứng hoặc phần mềm để chuyển tiếp lưu lượng truy cập. Điều này thường dựa trên địa chỉ Lớp 2 - nhưng cũng có thể được thực hiện trong khuôn khổ nhiều lớp. Mặt khác, định tuyến thường xảy ra trên Lớp 3. Có nhiều giao thức định tuyến khác nhau, tùy thuộc vào giao thức lớp 3. Giao thức có địa chỉ ở Lớp 3 được gọi là giao thức định tuyến. Điều quan trọng cần hiểu là các giao thức định tuyến không chuyển lưu lượng truy cập của người dùng, chúng chuyển thông tin về mạng đích. Bất kể loại giao thức nào, tất cả chúng đều làm những việc giống nhau: quảng bá mạng, xây dựng một số loại bảng cục bộ, chọn đường dẫn tốt nhất, cố gắng đóng góp vào bảng định tuyến - còn được gọi là cơ sở thông tin định tuyến (RIB) và sau đó phải duy trì thông tin đó để đảm bảo rằng nó vẫn còn mới.
Bạn có thể triển khai chính sách trong các giao thức này, nhưng đây không phải là PBR. Chính sách trong các giao thức động được liệt kê sẽ lọc hoặc thao túng cách bạn sử dụng thông tin.
Với định tuyến tĩnh, bất kỳ ai đã định cấu hình tĩnh sẽ kiểm soát giao thức định tuyến. Điều đó quyết định đường dẫn đến một mạng đích hoặc máy chủ nhất định.
PBR khác biệt ở chỗ nó cho phép bạn kiểm soát nhiều hơn ngoài điểm đến - đối với quá trình chuyển tiếp lưu lượng truy cập.
PBR là gì?
PBR là quá trình sử dụng bản đồ tuyến đường (route map) để chỉ định một thuộc tính khác với điểm đến và sau đó xác định đường dẫn ra khỏi Router dựa trên các điều kiện đó.
Với PBR, quản trị viên mạng có thể chọn các chính sách theo các thông số cụ thể, chẳng hạn như:
Khi các tham số như thế này được thiết lập, các gói dữ liệu sẽ được định tuyến tương ứng. Điều này cho phép bạn tăng cường độ linh hoạt của mạng.
Bởi vì bạn có thể xác định chiến lược định tuyến của mình bằng cách sử dụng các thuộc tính của ứng dụng, bạn có thể thực thi các chính sách quản lý lưu lượng cụ thể để kiểm soát cách các gói được chuyển tiếp.
Bằng cách này, bạn có thể tối ưu hóa cách băng thông được sử dụng bởi các ứng dụng quan trọng.
Cách thức hoạt động của
PBR
PBR được coi là một ngoại lệ đối với cơ sở thông tin định tuyến (RIB) và được xem xét trước khi kiểm tra RIB. Điều này cho phép nhiều tùy chọn định tuyến hơn.
Ví dụ: trong route map được sử dụng cho PBR, bạn có thể đối sánh trên danh sách kiểm soát truy cập (ACL) sau đó đối sánh trên nguồn, đích, loại giao thức và/hoặc số cổng.
Bạn cũng có thể kết hợp trên:
Đánh giá chất lượng dịch vụ (QoS), chẳng hạn như mức độ ưu tiên của Giao thức Internet (IP) hoặc dịch vụ khác biệt (DSCP)
Khi bạn có kết quả phù hợp, bạn có thể đặt địa chỉ và/hoặc cổng đầu ra của thiết bị kế tiếp. Bạn cũng có thể đặt các giá trị QoS cùng lúc, điều này cho phép bạn đảm bảo ứng dụng nhận được tài nguyên cần thiết để hoạt động tốt như bạn cần.
Route map có thể có nhiều statements, các statements này thường được sắp xếp theo số gia là 10. Điều này cho phép bạn kiểm soát để so khớp trên nhiều tập hợp các điều kiện so khớp.
Route map cũng có thể có câu lệnh “deny”. (Mặc định, nếu không được chỉ định, là “permit”.) Chúng cũng có thể được sử dụng để hoạt động như một bộ lọc. Khi Route map khớp với một ACL, nếu nó khớp với lệnh deny, nó sẽ thoát ra khỏi câu lệnh đó của Route map và tiếp tục đến câu lệnh tiếp theo trong map. Việc deny hoặc drop được xác định bởi Route map, không phải ACL được tham chiếu bởi Route map.
Nếu không có kết quả phù hợp nào trong route map hoặc bạn thêm vào một route map mà không có sự cho phép, thì nó được chỉ định là “chính sách bị từ chối”. Nếu bạn bị từ chối chính sách, thì lưu lượng được chuyển tiếp bình thường dựa trên RIB.
Khi bạn sử dụng lệnh show ip route hoặc sh ipv6 route, bạn sẽ không thấy rằng PBR đang được sử dụng. Bạn có thể sử dụng lệnh show ip policy hoặc show ipv6 policy. Điều này sẽ cho bạn thấy rằng có một chính sách được xác định cho PBR, nhưng không phải là chính sách liên minh. Để xem nó được áp dụng cho một cổng, hãy sử dụng show ip int. Tất nhiên, nếu bạn có quyền truy cập, bạn có thể chỉ cần xem cấu hình.
Cách sử dụng PBR
Định tuyến thông thường chỉ quan tâm đến việc chuyển tiếp dựa trên đích, trong khi PBR cho phép bạn kiểm soát nhiều hơn.
Tạo liên kết dự phòng cho lưu lượng truy cập quan trọng nhất, vì vậy nếu liên kết chính bị ngừng hoạt động, vẫn có thể duy trì tính liên tục.
Ví dụ về các sử dụng PBR
Dưới đây là một vài ví dụ về cấu hình PBR có thể như thế nào trong thực tế. Mỗi ví dụ cung cấp một cái nhìn chung về những gì PBR đạt được trong bối cảnh cụ thể đó, nhưng bạn có thể sử dụng các cấu hình này để thiết kế tùy chỉnh cách mà mạng của bạn xử lý lưu lượng nhằm mang lại lợi ích cho nhiều quy trình kinh doanh.
Ví dụ: bằng cách sử dụng cấu hình ví dụ đầu tiên, tập trung vào việc cung cấp quyền truy cập bình đẳng, bạn có thể sử dụng nó để đảm bảo việc sử dụng băng thông được cân bằng giữa hai ứng dụng quan trọng đối với doanh nghiệp bằng cách đảm bảo chúng có quyền truy cập bình đẳng vào các nhà cung cấp dịch vụ.
switch (config)# access-list 1 permit ip 1.1.1.1
!
interface boostedethernet 3/1
!
ip poicy route-map equal-access
!
route-map equal-access permit 10
match ip address 1
set ip default next-hop
6.6.6.6
route-map equal-access permit 20
match ip address 2 set ip default next-hop 7.7.7.7
route-map equal-access permit 30
set default interface null0
Việc sử dụng PBR để xác định next hop sẽ có thể đạt được một số mục tiêu khác nhau khi đề cập đến hiệu quả hoặc sự an toàn của mạng của bạn.
Ví dụ: nếu bạn đã chắc chắn rằng một Router đã cấu hình các biện pháp phòng ngừa an toàn và các công cụ cần thiết để cung cấp next hop an toàn nhất có thể, bạn có thể muốn gửi lưu lượng truy cập đến Router này từ một Router.
Nếu bạn chắc chắn rằng firmware đã được cập nhật, firewall được kích hoạt và có thông tin về mối đe dọa mới nhất, đồng thời có một tên duy nhất và mật khẩu khó đoán, định tuyến dữ liệu trực tiếp đến nó có thể là một cách tốt để duy trì sự an toàn cho đường truyền của bạn ít nhất là cho hop đó.
Đây là cấu hình để xác định next hop như thế nào. Trong ví dụ này, lưu lượng truy cập đang đi từ nguồn 2.2.2.2 đến next hop ở 5.5.5.7 và các gói đến từ nguồn 8.8.8.8 đang chuyển sang 4.4.4.4.
access-list 1 permit ip
2.2.2.2
access list 2 permit ip
8.8.8.8
!
interface boostedether-net 3/1
ip policy route-map Mas-sachusetts
!
route-map Massachusetts permit 10
match ip address 1
set ip next-hop 5.5.5.7
!
route-map Massachusetts
permit 20
match ip address 2
set ip next-hop 4.4.4.4
Hạn chế của PBR
Một vấn đề với PBR là nó giống như một tuyến tĩnh ở chỗ là nó cục bộ. Nếu bạn cần áp dụng chính sách trên nhiều Router trong một tuyến đường dẫn giữa các thiết bị, PBR sẽ phải được cấu hình từng bước.
PBR là một công cụ thú vị để kiểm soát luồng lưu lượng dựa trên một thứ khác với định tuyến dựa trên đích thông thường, nhưng một số lại thấy nó cồng kềnh và khó mở rộng.
Tuy nhiên, định tuyến dựa trên chính sách bổ sung tính linh hoạt và kiểm soát mà các kỹ thuật định tuyến khác không có. Nó cung cấp cho bạn một mức độ kiểm soát mà bản thân giao thức định tuyến không thể thực hiện được. Với tính linh hoạt, thường có chi phí và trong trường hợp này, đó là khả năng mở rộng và khả năng quản lý.
Đó là một công cụ tuyệt vời, nhưng không phải là một công cụ được sử dụng cho mọi trường hợp. Khi bạn có nhu cầu chuyển tiếp dựa trên một thứ khác ngoài điểm đến, thì PBR chính là câu trả lời của bạn.
Mai Trâm
Những gì chúng tôi đề cập trong bài viết này:
- PBR là gì, bắt đầu với phần giới thiệu cơ bản về định tuyến
- Cách thức hoạt động của PBR
- Cách sử dụng PBR
- Một số ví dụ về PBR
Routing là quá trình khám phá các mạng đích, quảng bá chúng, xác định đường dẫn tốt nhất cho lưu lượng truy cập và duy trì thông tin đó.
Routing không phải là quá trình di chuyển dữ liệu thông qua Router. Điều đó được gọi là chuyển mạch bên trong Router, không nên nhầm lẫn với Switch.
Theo định nghĩa ngày nay, Switch là một thiết bị dựa trên phần cứng hoặc phần mềm để chuyển tiếp lưu lượng truy cập. Điều này thường dựa trên địa chỉ Lớp 2 - nhưng cũng có thể được thực hiện trong khuôn khổ nhiều lớp. Mặt khác, định tuyến thường xảy ra trên Lớp 3. Có nhiều giao thức định tuyến khác nhau, tùy thuộc vào giao thức lớp 3. Giao thức có địa chỉ ở Lớp 3 được gọi là giao thức định tuyến. Điều quan trọng cần hiểu là các giao thức định tuyến không chuyển lưu lượng truy cập của người dùng, chúng chuyển thông tin về mạng đích. Bất kể loại giao thức nào, tất cả chúng đều làm những việc giống nhau: quảng bá mạng, xây dựng một số loại bảng cục bộ, chọn đường dẫn tốt nhất, cố gắng đóng góp vào bảng định tuyến - còn được gọi là cơ sở thông tin định tuyến (RIB) và sau đó phải duy trì thông tin đó để đảm bảo rằng nó vẫn còn mới.
Bạn có thể triển khai chính sách trong các giao thức này, nhưng đây không phải là PBR. Chính sách trong các giao thức động được liệt kê sẽ lọc hoặc thao túng cách bạn sử dụng thông tin.
Với định tuyến tĩnh, bất kỳ ai đã định cấu hình tĩnh sẽ kiểm soát giao thức định tuyến. Điều đó quyết định đường dẫn đến một mạng đích hoặc máy chủ nhất định.
PBR khác biệt ở chỗ nó cho phép bạn kiểm soát nhiều hơn ngoài điểm đến - đối với quá trình chuyển tiếp lưu lượng truy cập.
PBR là gì?
PBR là quá trình sử dụng bản đồ tuyến đường (route map) để chỉ định một thuộc tính khác với điểm đến và sau đó xác định đường dẫn ra khỏi Router dựa trên các điều kiện đó.
Với PBR, quản trị viên mạng có thể chọn các chính sách theo các thông số cụ thể, chẳng hạn như:
- Địa chỉ IP của nguồn hoặc đích
- Cổng của nguồn hoặc đích
- Loại traffic
- Giao thức mạng
- Kích thước của gói dữ liệu
- Một ACL
Khi các tham số như thế này được thiết lập, các gói dữ liệu sẽ được định tuyến tương ứng. Điều này cho phép bạn tăng cường độ linh hoạt của mạng.
Bởi vì bạn có thể xác định chiến lược định tuyến của mình bằng cách sử dụng các thuộc tính của ứng dụng, bạn có thể thực thi các chính sách quản lý lưu lượng cụ thể để kiểm soát cách các gói được chuyển tiếp.
Bằng cách này, bạn có thể tối ưu hóa cách băng thông được sử dụng bởi các ứng dụng quan trọng.
Cách thức hoạt động của
PBR
PBR được coi là một ngoại lệ đối với cơ sở thông tin định tuyến (RIB) và được xem xét trước khi kiểm tra RIB. Điều này cho phép nhiều tùy chọn định tuyến hơn.
Ví dụ: trong route map được sử dụng cho PBR, bạn có thể đối sánh trên danh sách kiểm soát truy cập (ACL) sau đó đối sánh trên nguồn, đích, loại giao thức và/hoặc số cổng.
Bạn cũng có thể kết hợp trên:
Đánh giá chất lượng dịch vụ (QoS), chẳng hạn như mức độ ưu tiên của Giao thức Internet (IP) hoặc dịch vụ khác biệt (DSCP)
- Kích thước của các gói, cho phép bạn gửi dữ liệu đến nơi bạn muốn một cách hiệu quả dựa trên mức độ lớn hay nhỏ của các gói
Khi bạn có kết quả phù hợp, bạn có thể đặt địa chỉ và/hoặc cổng đầu ra của thiết bị kế tiếp. Bạn cũng có thể đặt các giá trị QoS cùng lúc, điều này cho phép bạn đảm bảo ứng dụng nhận được tài nguyên cần thiết để hoạt động tốt như bạn cần.
Route map có thể có nhiều statements, các statements này thường được sắp xếp theo số gia là 10. Điều này cho phép bạn kiểm soát để so khớp trên nhiều tập hợp các điều kiện so khớp.
Route map cũng có thể có câu lệnh “deny”. (Mặc định, nếu không được chỉ định, là “permit”.) Chúng cũng có thể được sử dụng để hoạt động như một bộ lọc. Khi Route map khớp với một ACL, nếu nó khớp với lệnh deny, nó sẽ thoát ra khỏi câu lệnh đó của Route map và tiếp tục đến câu lệnh tiếp theo trong map. Việc deny hoặc drop được xác định bởi Route map, không phải ACL được tham chiếu bởi Route map.
Nếu không có kết quả phù hợp nào trong route map hoặc bạn thêm vào một route map mà không có sự cho phép, thì nó được chỉ định là “chính sách bị từ chối”. Nếu bạn bị từ chối chính sách, thì lưu lượng được chuyển tiếp bình thường dựa trên RIB.
Khi bạn sử dụng lệnh show ip route hoặc sh ipv6 route, bạn sẽ không thấy rằng PBR đang được sử dụng. Bạn có thể sử dụng lệnh show ip policy hoặc show ipv6 policy. Điều này sẽ cho bạn thấy rằng có một chính sách được xác định cho PBR, nhưng không phải là chính sách liên minh. Để xem nó được áp dụng cho một cổng, hãy sử dụng show ip int. Tất nhiên, nếu bạn có quyền truy cập, bạn có thể chỉ cần xem cấu hình.
Cách sử dụng PBR
Định tuyến thông thường chỉ quan tâm đến việc chuyển tiếp dựa trên đích, trong khi PBR cho phép bạn kiểm soát nhiều hơn.
- Điều hướng nguồn lưu lượng downlinks, được dành riêng cho các loại lưu lượng hoặc mức độ ưu tiên cụ thể.
- Điều hương lưu lượng truy cập dựa trên nguồn, không phải đích, để hướng lưu lượng truy cập của khách hàng cụ thể xuống các liên kết phù hợp với thỏa thuận dịch vụ của họ.
- Hướng lưu lượng vào đường hầm kỹ thuật lưu lượng chuyển mạch nhãn đa giao thức (MPLS TE), cụ thể là khi bạn sử dụng nó kết hợp với MPLS TE.
- Tùy chọn cung cấp cho từng ứng dụng cụ thể bao nhiêu bandwidth.
Tạo liên kết dự phòng cho lưu lượng truy cập quan trọng nhất, vì vậy nếu liên kết chính bị ngừng hoạt động, vẫn có thể duy trì tính liên tục.
- Tùy chọn lưu lượng nào được kiểm tra gói kĩ, đối với một số ứng dụng quan trọng đối với doanh nghiệp.
- Phân tầng lưu lượng truy cập, ưu tiên một số thay vì những cái khác, đặc biệt để đáp ứng các yêu cầu của SLA.
- Chọn ra lưu lượng của các ứng dụng nhất định để tối ưu hóa mạng diện rộng (WAN).
Ví dụ về các sử dụng PBR
Dưới đây là một vài ví dụ về cấu hình PBR có thể như thế nào trong thực tế. Mỗi ví dụ cung cấp một cái nhìn chung về những gì PBR đạt được trong bối cảnh cụ thể đó, nhưng bạn có thể sử dụng các cấu hình này để thiết kế tùy chỉnh cách mà mạng của bạn xử lý lưu lượng nhằm mang lại lợi ích cho nhiều quy trình kinh doanh.
Ví dụ: bằng cách sử dụng cấu hình ví dụ đầu tiên, tập trung vào việc cung cấp quyền truy cập bình đẳng, bạn có thể sử dụng nó để đảm bảo việc sử dụng băng thông được cân bằng giữa hai ứng dụng quan trọng đối với doanh nghiệp bằng cách đảm bảo chúng có quyền truy cập bình đẳng vào các nhà cung cấp dịch vụ.
- Quyền truy cập bình đẳng
switch (config)# access-list 1 permit ip 1.1.1.1
!
interface boostedethernet 3/1
!
ip poicy route-map equal-access
!
route-map equal-access permit 10
match ip address 1
set ip default next-hop
6.6.6.6
route-map equal-access permit 20
match ip address 2 set ip default next-hop 7.7.7.7
route-map equal-access permit 30
set default interface null0
- Xác định next hop
Việc sử dụng PBR để xác định next hop sẽ có thể đạt được một số mục tiêu khác nhau khi đề cập đến hiệu quả hoặc sự an toàn của mạng của bạn.
Ví dụ: nếu bạn đã chắc chắn rằng một Router đã cấu hình các biện pháp phòng ngừa an toàn và các công cụ cần thiết để cung cấp next hop an toàn nhất có thể, bạn có thể muốn gửi lưu lượng truy cập đến Router này từ một Router.
Nếu bạn chắc chắn rằng firmware đã được cập nhật, firewall được kích hoạt và có thông tin về mối đe dọa mới nhất, đồng thời có một tên duy nhất và mật khẩu khó đoán, định tuyến dữ liệu trực tiếp đến nó có thể là một cách tốt để duy trì sự an toàn cho đường truyền của bạn ít nhất là cho hop đó.
Đây là cấu hình để xác định next hop như thế nào. Trong ví dụ này, lưu lượng truy cập đang đi từ nguồn 2.2.2.2 đến next hop ở 5.5.5.7 và các gói đến từ nguồn 8.8.8.8 đang chuyển sang 4.4.4.4.
access-list 1 permit ip
2.2.2.2
access list 2 permit ip
8.8.8.8
!
interface boostedether-net 3/1
ip policy route-map Mas-sachusetts
!
route-map Massachusetts permit 10
match ip address 1
set ip next-hop 5.5.5.7
!
route-map Massachusetts
permit 20
match ip address 2
set ip next-hop 4.4.4.4
Hạn chế của PBR
Một vấn đề với PBR là nó giống như một tuyến tĩnh ở chỗ là nó cục bộ. Nếu bạn cần áp dụng chính sách trên nhiều Router trong một tuyến đường dẫn giữa các thiết bị, PBR sẽ phải được cấu hình từng bước.
PBR là một công cụ thú vị để kiểm soát luồng lưu lượng dựa trên một thứ khác với định tuyến dựa trên đích thông thường, nhưng một số lại thấy nó cồng kềnh và khó mở rộng.
Tuy nhiên, định tuyến dựa trên chính sách bổ sung tính linh hoạt và kiểm soát mà các kỹ thuật định tuyến khác không có. Nó cung cấp cho bạn một mức độ kiểm soát mà bản thân giao thức định tuyến không thể thực hiện được. Với tính linh hoạt, thường có chi phí và trong trường hợp này, đó là khả năng mở rộng và khả năng quản lý.
Đó là một công cụ tuyệt vời, nhưng không phải là một công cụ được sử dụng cho mọi trường hợp. Khi bạn có nhu cầu chuyển tiếp dựa trên một thứ khác ngoài điểm đến, thì PBR chính là câu trả lời của bạn.
Mai Trâm