Aruba switch PBR設定(policy base route)
1.簡介
本文件介紹如何在Aruba switch上設定PBR(policy base route/政策路由)。
在設定PBR的時候,先要創造class,接著創造policy並將class放進去,
接著定義如果命中這個class,要執行怎樣的動作(action),
最後再將plocy放入vlan裡面即可(要注意你只能用PBR限制進入vlan的封包)
接著定義如果命中這個class,要執行怎樣的動作(action),
最後再將plocy放入vlan裡面即可(要注意你只能用PBR限制進入vlan的封包)
在PBR的設定中,有以下元素
Class->設定要針對的封包(Source IP to Destination IP)
Policy->設定命中條件的封包的動作
Vlan->最後要將policy分配到vlan上
雖然步驟只有三個,但是在class的設定上就有ipv4/ipv6/mac三種類型,
而且可以針對封包的IP/種類/協定來做分類,所以在設定上可以說是千變萬化
而且可以針對封包的IP/種類/協定來做分類,所以在設定上可以說是千變萬化
2.設定
A.設定class
(config)#class ipv4 XXX 創造一個名叫XXX的class並進入(針對ipv4的封包、也可以針對ipv6或mac)
(config-class)#10 match ip 192.168.10.0/24 any 設定順序為10(PBR會依序比對然後命中),
命中來源IP的192.168.10.0網段、目的網段是所有網段的封包。
命中來源IP的192.168.10.0網段、目的網段是所有網段的封包。
B.設定policy
(config)# policy pbr XXX 創造一個pbr的policy並進入
(policy-pbr)#class ipv4 XXX 將剛剛創造的class XXX放進來並進入
(policy-pbr-class)#action ip next-hop X.X.X.X設定此class的封包往X.X.X.X丟
C.在vlan裡面啟用
(config)#vlan X 進入vlanX
(vlan-X)# service-policy XXX in 將剛剛創造的policy XXX放入vlan
3.範例
A.讓所有的網段來的封包都不能到google的DNS
(config)#class ipv4 "denygoogle" 創造一個ipv4的class名叫denygoogle並進入
(config-class)#10 match ip 0.0.0.0 255.255.255.255 8.8.8.8 0.0.0.0 設定命中條件,
此處的命中條件是 來源IP->所有 目的IP->8.8.8.8
此處的命中條件是 來源IP->所有 目的IP->8.8.8.8
(config)#policy pbr "denygoogle" 創造一個pbr policy名叫denygoogle並進入
(policy-pbr)#class ipv4 "denygoogle 將剛剛創造的class放入,並進入
(policy-pbr-class)# action interface null 設定命中的封包都會被丟到null interface(黑洞)
(config)#vlan 10 進入vlan10
(vlan-10)# service-policy denygoogle in 將剛剛設定好的policy(denygoogle)設定進vlan10
接著可以驗證clinet可以ping到其它網段,但是ping不到google
B.
一間公司有兩個網段
vlan1->192.168.7.0
vlan2->192.168.8.0
Aruba Core switch的IP是192.168.7.254、192.168.8.254
要將vlan1往192.168.7.253丟、vlan2往192.168.7.252丟
設定概念:
將Core switch的default route設定給192.168.7.253、在vlan2裡面新增一筆policy route,
全部vlan2的封包都往192.168.7.252丟
全部vlan2的封包都往192.168.7.252丟
(config)#class ipv4 "vlan2forward" 創造一個ipv4的class名叫vlan2forward並進入
(config-class)#10 match ip 192.168.8.0 255.255.255.0 any 設定命中條件,此處的命中條件是
來源IP->192.168.8.0 目的IP->所有
來源IP->192.168.8.0 目的IP->所有
(config)#policy pbr "vlan2forward" 創造一個pbr policy名叫denygoogle並進入
(policy-pbr)#class ipv4 vlan2forward 將剛剛創造的class放入,並進入
(policy-pbr-class)# action ip next-hop 192.168.7.252設定命中的封包都會被丟到192.168.7.252
(config)#vlan 2 進入vlan 2
(vlan-10)# service-policy vlan2forward in 將剛剛設定好的policy(denygoogle)設定到vlan10裡
C.
vlan203的封包往10.236.99.97送
(config)#class ipv4 "vlan203forward"
(config-class)#10 match ip 10.236.97.64 0.0.0.63 0.0.0.0 255.255.255.255
(config)#policy pbr "vlan203forward"
(policy-pbr)#class ipv4 vlan203forward
(policy-pbr-class)# action ip next-hop 10.236.99.97
(config)#vlan 203
(vlan-203)# service-policy vlan203forward in