PBR на маршрутизаторах серии ME реализуется посредством расширенного функционала ACL, в связи с этим для работы PBR необходимо внести изменения в модуль управления аппаратными ресурсами.
Во первых, необходимо проверить выделенные аппаратные ресурсы под ACL (по умолчанию их 0). Проверить распределенные ресурсы можно командой:
0/ME5200:R17-180# sh hw-module maximum Thu Nov 24 09:17:11 2022 FLAGS: N/S - Not Supported Transport-tunnels: MPLS transport tunnels, L3VPN service PHP tunnels Service-tunnels: MPLS L2VPN service tunnels, L3VPN service non-PHP tunnels Switch entries: MPLS Ingress Label Table Shared resources Resource Current Configured Approx. Cap. Used ----------------------- ------------ ------------ ------------- ----- CPU punt entries 65536 65536 N/S 15 Ingress shapers 128 128 N/S 0 Service tunnels 6144 6144 N/S 2 Mirrors 15 N/S N/S 0 TPID 3 N/S N/S 1 VLAN profiles 8 N/S N/S 3 Ingress rewrite 68 N/S N/S 3 Egress rewrite 260 N/S N/S 3 BFD timers 8 N/S N/S 1 BFD local RX/TX timers 8 N/S N/S 1 BFD source addresses 16 N/S N/S 0 FEC 126970 N/S N/S 18 ECMP 4094 N/S N/S 0 IPv4 acl-entries 0 0 N/S 0 <<<<<< текущее значение IPv6 acl-entries 0 0 N/S 0 Transport tunnels 2048 2048 N/S 1 IPv4 flows 0 0 N/S 0 IPv6 flows 0 0 N/S 0 IPv4 routes 1289709 1289709 3050236 47 IPv6 routes 100 100 1908168 2 ARP 53242 N/S N/S 10 Interfaces 8192 N/S N/S 56 VSI 8190 N/S N/S 19 Switch entries 0 N/S N/S 0 Rate limiters 1023 N/S N/S 0 0/ME5200:R17-180#
Если выделенных ресурсов для ACL не достаточно, то следует добавить требуемое количество ресурсов выполнив команду:
0/ME5200revX:R17-180(config)# hw-module maximum acl-entries 10
Во вторых, необходимо включить возможность настройки ACL для трафика использующего default-route.
0/ME5200revX:R17-180(config)#hw-module enable acl-default
После внесении всех изменении в модуле распределения аппаратных ресурсов и применение команды: "hw-module enable acl-default", необходимо перезагрузить устройство.
0/ME5200:R17-180# sh hw-module maximum Thu Nov 24 09:25:15 2022 FLAGS: N/S - Not Supported Transport-tunnels: MPLS transport tunnels, L3VPN service PHP tunnels Service-tunnels: MPLS L2VPN service tunnels, L3VPN service non-PHP tunnels Switch entries: MPLS Ingress Label Table Shared resources Resource Current Configured Approx. Cap. Used ----------------------- ------------ ------------ ------------- ----- CPU punt entries 65536 65536 N/S 15 Ingress shapers 128 128 N/S 0 Service tunnels 6144 6144 N/S 2 Mirrors 15 N/S N/S 0 TPID 3 N/S N/S 1 VLAN profiles 8 N/S N/S 3 Ingress rewrite 68 N/S N/S 3 Egress rewrite 260 N/S N/S 3 BFD timers 8 N/S N/S 1 BFD local RX/TX timers 8 N/S N/S 1 BFD source addresses 16 N/S N/S 0 FEC 126970 N/S N/S 18 ECMP 4094 N/S N/S 0 IPv4 acl-entries 10 10 N/S 2 <<<<<<< измененное значение IPv6 acl-entries 0 0 N/S 0 Transport tunnels 2048 2048 N/S 1 IPv4 flows 0 0 N/S 0 IPv6 flows 0 0 N/S 0 IPv4 routes 1289709 1289709 3050236 47 IPv6 routes 100 100 1908168 2 ARP 53242 N/S N/S 10 Interfaces 8192 N/S N/S 56 VSI 8190 N/S N/S 19 Switch entries 0 N/S N/S 0 Rate limiters 1023 N/S N/S 0 0/ME5200:R17-180#
Пример ACL и его применение на интерфейсе показано ниже.
interface tengigabitethernet 0/0/11.100124
description "labr02 te 1/0/1.124"
encapsulation outer-vid 100 inner-vid 124
ipv4 access-group ingress pbr-default
ipv4 address 100.124.0.1/24
exit
ipv4 access-list pbr
seq-num 10
action redirect
nexthop 1
address 192.168.55.22
exit
source 100.124.0.0/24
exit
exit
В данном случае весь трафик из сети 100.124.0.0/24 будет отправлен по адресу nexthop 192.168.55.22. Если адрес 192.168.55.22 отсутствует в таблице маршрутизации, то трафик будет отброшен
Ниже пример несколько расширенного PBR.
ipv4 access-list pbr-default
seq-num 20
action redirect
default
nexthop 1
address 192.168.55.22
exit
nexthop 2
address 10.0.0.2
exit
source 100.124.0.0/24
exit
exit
В данном случае, при применении команды default под правила PBR будет попадать трафик из сети 100.124.0.0/24, но не имеющий специфичных маршрутов в таблице маршрутизации.
В случае отсутствия маршрута до адреса 192.168.55.22 трафик будет перенаправляться на адрес 10.0.0.2, в случае недоступности и его будет отброшен.