策略路由基础命令(Linux)策略路由策略性是指对于IP包的路由是以网络管理员根据需要定下的一些策略为主要依据进行路由的。例如我们可以有这样的策略:所有来直自网A的包,选择X路径;其他选择Y路径,或者是所有
策略路由基础命令(Linux)
策略路由 策略性是指对于IP包的路由是以网络管理员根据需要定下的一些策略为主要依据进行路由的。例如我们可以有这样的策略:“所有来直自网A的包,选择X路径;其他选择Y路径”,或者是“所有TOS为A的包选择路径F;其他选者路径K” Linux最多可以支持255张路由表,其中有3张表是内置的: 存在文件/etc/iproute2/rt_tables中 表255 本地路由表(Local table)本地接口地址,广播地址,已及NAT地址都放在这个表。该路由表由自动维护,管理员不能直接修改。 表254 主路由表(Main table)如果没有指明路由所属的表,所有的路由都默认都放在这个表里,一般来说,旧的路由工具(如route)所添加的路由都会加到这个表。一般是普通的路由。 表253 默认路由表(Default table)一般来说默认的路由都放在这张表,但是如果特别指明放的也可以是所有的网关路由。 表0 保留 路由配置命令的格式如下: Usage: ip route list SELECTOR ip route { change | del| add | append | replace | monitor } ROUTE 如果想查看路由表的内容,可以通过命令: ip route list table table_number ip -6 route list table table_number(对于IPv6) 对于路由的操作包括change、del、add 、append 、replace 、 monitor这些。例如添加路由可以用: router># ip route add 0/0 via 192.168.0.4 table main router># ip route add 192.168.3.0/24 via192.168.0.3 table 1 第一条命令是向主路由表(main table)即表254添加一条路由,路由的内容是设置192.168.0.4成为网关。 第二条命令代表向路由表1添加一条路由,子网192.168.3.0(子网掩码是255.255.255.0)的网关是192.168.0.3。 在多路由表的路由体系里,所有的路由的操作,例如网路由表添加路由,或者在路由表里寻找特定的路由,需要指明要操作的路由表,所有没有指明路由表,默认是对主路由表(表254)进行操作。而在单表体系里,路由的操作是不用指明路由表的。 规则的配置 IP Rule 在里,总共可以定义232个优先级的规则,一个优先级别只能有一条规则,即理论上总共可以有条规则。其中有3个规则是默认的。命令用法如下: Usage: ip rule [ list | add | del ] SELECTORACTION SELECTOR := [ from PREFIX ] [ to PREFIX ] [tos TOS ] [ dev STRING ] [ pref NUMBER ] ACTION := [ table TABLE_ID ] [ nat ADDRESS ] [ prohibit | reject | unreachable ] [ flowid CLASSID ] TABLE_ID := [ local | main | default | new |NUMBER 首先我们可以看看路由表默认的所有规则: root@netmonster# ip rule list 0: from all lookup local 32766: from all lookup main 32767: from all lookup default 注:数字越小,优先级越高 规则0,它是优先级别最高的规则,规则规定,所有的包,都必须首先使用local表(254)进行路由。本规则不能被更改和删除。 规则32766,规定所有的包,使用表main进行路由。本规则可以被更改和删除。 规则32767,规定所有的包,使用表default进行路由。本规则可以被更改和删除。 在默认情况下进行路由时,首先会根据规则0在本地路由表里寻找路由,如果目的地址是本网络,或是广播地址的话,在这里就可以找到合适的路由;如果路由失败,就会匹配下一个不空的规则,在这里只有32766规则,在这里将会在主路由表里寻找路由;如果失败,就会匹配32767规则,即寻找默认路由表。如果失败,路由将失败。重这里可以看出,策略性路由是往前兼容的。 还可以添加规则: router># ip rule add [from 0/0] table 1 pref 32800 router >#ip rule add from 192.168.3.112/32 [tos 0x10] table 2 pref 1500 prohibit 第一条命令将向规则链增加一条规则,规则匹配的对象是所有的数据包,动作是选用路由表1的路由,这条规则的优先级是32800。 第二条命令将向规则链增加一条规则,规则匹配的对象是IP为192.168.3.112,tos等于0x10的包,使用路由表2,这条规则的优先级是1500,动作是。添加以后,我们可以看看系统规则的变化。 router># ip rule 0: from all lookup local 1500 from 192.168.3.112/32 [tos 0x10] lookup 2 32766: from all lookup main 32767: from all lookup default 32800: from all lookup 1 上面的规则是以源地址为关键字,作为是否匹配的依据的。除了源地址外,还可以用以下的信息: From -- 源地址 To -- 目的地址(这里是选择规则时使用,查找路由表时也使用) Tos -- IP包头的TOS(type of sevice)域 Dev -- 物理接口 Fwmark -- 防火墙参数 采取的动作除了指定表,还可以指定下面的动作: Table 指明所使用的表 Nat 透明网关 Action prohibit 丢弃该包,并发送 COMM.ADM.PROHIITED的ICMP信息 Reject 单纯丢弃该包 Unreachable丢弃该包,并发送 NET UNREACHABLE的ICMP信息
