PBR на маршрутизаторах серии ME реализуется посредством расширенного функционала ACL, в связи с этим для работы PBR необходимо внести изменения в модуль управления аппаратными ресурсами.
Во первых, необходимо проверить выделенные аппаратные ресурсы под ACL (по умолчанию их 0). Проверить распределенные ресурсы можно командой:
0/ME5200:R17-180# sh hw-module maximum Thu Feb 29 10:08:48 2024 FLAGS: N/S - Not Supported Transport-tunnels: MPLS transport tunnels, L3VPN service PHP tunnels Service-tunnels: MPLS L2VPN service tunnels, L3VPN service non-PHP tunnels Switch entries: MPLS Ingress Label Table Shared resources Resource Current Configured Approx. Cap. Used ----------------------- ------------ ------------ ------------- ----- CPU punt entries 65536 65536 N/S 14 Ingress shapers 128 128 N/S 2 Service tunnels 6144 6144 N/S 1 Mirrors 15 N/S N/S 1 TPID 3 N/S N/S 1 VLAN profiles 8 N/S N/S 3 Ingress rewrite 68 N/S N/S 3 Egress rewrite 260 N/S N/S 3 BFD timers 8 N/S N/S 2 BFD local RX/TX timers 8 N/S N/S 2 BFD source addresses 47 47 N/S 1 FEC 126970 N/S N/S 13 ECMP 4094 N/S N/S 0 ACL entries 0 0 N/S 0 <<<<<<<<<<< текущее значение Transport tunnels 2048 2048 N/S 35 IPv4 flows 100 100 N/S 0 IPv6 flows 0 0 N/S 0 IPv4 routes 1289709 1289709 3453931 46 IPv6 routes 110 110 2153077 11 ARP 53242 N/S N/S 11 Interfaces 8192 N/S N/S 51 VSI 8190 N/S N/S 17 Switch entries N/S N/S N/S 0 Rate limiters 1023 N/S N/S 2 0/ME5200:R17-180#
Если выделенных ресурсов для ACL не достаточно, то следует добавить требуемое количество ресурсов выполнив команду:
0/ME5200revX:R17-180(config)# hw-module maximum acl-entries 10
Во вторых, необходимо включить возможность настройки ACL для трафика использующего default-route.
0/ME5200revX:R17-180(config)#hw-module enable acl-default
После внесении всех изменении в модуле распределения аппаратных ресурсов и применение команды: "hw-module enable acl-default", необходимо перезагрузить устройство.
0/ME5200:R17-180# sh hw-module maximum Thu Feb 29 10:11:17 2024 FLAGS: N/S - Not Supported Transport-tunnels: MPLS transport tunnels, L3VPN service PHP tunnels Service-tunnels: MPLS L2VPN service tunnels, L3VPN service non-PHP tunnels Switch entries: MPLS Ingress Label Table Shared resources Resource Current Configured Approx. Cap. Used ----------------------- ------------ ------------ ------------- ----- CPU punt entries 65536 65536 N/S 14 Ingress shapers 128 128 N/S 2 Service tunnels 6144 6144 N/S 1 Mirrors 15 N/S N/S 1 TPID 3 N/S N/S 1 VLAN profiles 8 N/S N/S 3 Ingress rewrite 68 N/S N/S 3 Egress rewrite 260 N/S N/S 3 BFD timers 8 N/S N/S 2 BFD local RX/TX timers 8 N/S N/S 2 BFD source addresses 47 47 N/S 1 FEC 126970 N/S N/S 13 ECMP 4094 N/S N/S 0 ACL entries 10 10 N/S 2 <<<<<<<<<<< изменённое значение Transport tunnels 2048 2048 N/S 35 IPv4 flows 100 100 N/S 0 IPv6 flows 0 0 N/S 0 IPv4 routes 1289709 1289709 3453931 46 IPv6 routes 110 110 2153077 11 ARP 53242 N/S N/S 11 Interfaces 8192 N/S N/S 51 VSI 8190 N/S N/S 17 Switch entries N/S N/S N/S 0 Rate limiters 1023 N/S N/S 2 0/ME5200:R17-180#
Пример ACL и его применение на интерфейсе показано ниже.
interface tengigabitethernet 0/0/11.100124
encapsulation outer-vid 100 inner-vid 124
access-group ingress pbr
ipv4 address 100.124.0.1/24
exit
access-list pbr
seq-num 10
action redirect
nexthop 1
ipv4 192.168.55.22
exit
source
ipv4 100.124.0.0/24
exit
exit
exit
В данном случае весь трафик из сети 100.124.0.0/24 будет отправлен по адресу nexthop 192.168.55.22. Если адрес 192.168.55.22 отсутствует в таблице маршрутизации, то трафик будет отброшен
Ниже пример несколько расширенного PBR.
access-list pbr-default
seq-num 20
action redirect
default
nexthop 1
ipv4 192.168.55.22
exit
nexthop 2
ipv4 10.0.0.2
exit
source
ipv4 100.124.0.0/24
exit
exit
exit
В данном случае, при применении команды default под правила PBR будет попадать трафик из сети 100.124.0.0/24, но не имеющий специфичных маршрутов в таблице маршрутизации.
В случае отсутствия маршрута до адреса 192.168.55.22 трафик будет перенаправляться на адрес 10.0.0.2, в случае недоступности и его будет отброшен.
С помощью PBR можно также перенаправить трафик из GRT в VRF или наоборот.
Если этот acl будет применён на интерфейсе в GRT, то трафик будет перенаправлен на nexthop в vrf vrf_eltex.
access-list pbr
seq-num 10
action redirect
destination
ipv4 172.20.20.0/23
exit
nexthop 1
ipv4 192.168.55.22
vrf vrf_eltex
exit
exit
exit
Если же acl будет применён на интерфейсе в VRF, то трафик будет перенаправлен на nexthop в GRT.
access-list pbr
seq-num 10
action redirect
destination
ipv4 172.20.20.0/23
exit
nexthop 1
ipv4 192.168.55.22
exit
exit
exit