8.ip route -- 路由策略数据库管理命令
8.1.缩写
rule、ru
8.2.对象
路由策略数据库的规则用于控制选择路由的算法。
Internet上采用的路由算法一般是基于数据包目的地址的。理论上,也可以由TOS域决定,不过这没有实际应用。要了解经典路由算法的详细情况请参考RFC-1812。
而在某些情况下,我们不只是需要通过数据包的目的地址决定路由,可能还需要通过其他一些域:源地址、IP协议、传输层端口甚至数据包的负载。这就叫做:策略路由(policy routing)。
注意:策略路由(policy routing)不等于路由策略(rouing policy)。
在这种情况下,传统的基于目的地址的路由表就无法满足要求了,需要使用路由策略数据库(routing policy database,RPDB)代替,通过它选择执行某些路由。这些规则可以由很多不同的状态,而且它们没有天生的次序,要由系统管理员决定。RPDB可以匹配以下的域:
|
数据包的源地址;
数据包的目的地址;
服务类型(Type of Service);
进入的网络接口;
|
匹配IP协议和传输层端口也是可能的,不过这要依靠iptables或者ipchains通过fwmark为某些数据包做标记,并重定向。
每个路由策略由一个选择符(selector)和一个操作(action)组成。系统按照顺序搜索路由策略数据库,把选择符和{源地址、目的地址、进入接口、tos、fwmark}等关键词进行匹配,如果匹配成功,就执行action定义的操作。操作或者成功返回,或者失败并且中止对路由策略。否则,系统继续查询路由策略数据库。
操作如何定义?最原始的操作是选择下一跳(nexthop)和输出设备(output device)。Cisco IOS使用这种方式,我们姑且把这叫做匹配并设置(match & set)。而Linux的方式则更为灵活,Linux允许的操作包括:基于目的地址的路由表查询以及按照最长匹配的原则从路由表中选择路由。因此,匹配并设置(match & set)的方式只是一个最简单的特例而已。
再系统启动时,内核会为路由策略数据库配置三条缺省的规则:
| 优先级 |
选择符 |
操作 |
解释
|
| 0 |
匹配任何条件 |
查询路由表local(ID 255) |
路由表local是一个特殊的路由表,包含对于本地和广播地址的高优先级控制路由。rule 0非常特殊,不能被删除或者覆盖。
|
| 32766 |
匹配任何条件 |
查询路由表main(ID 254) |
路由表main(ID 254)是一个通常的表,包含所有的无策略路由。系统管理员可以删除或者使用另外的规则覆盖这条规则。
|
| 32767 |
匹配任何条件 |
查询路由表default(ID 253) |
路由表default(ID 253)是一个空表,它是为一些后续处理保留的。对于前面的缺省策略没有匹配到的数据包,系统使用这个策略进行处理。这个规则也可以删除。
|
不要混淆路由表和策略:规则指向路由表,多个规则可以引用一个路由表,而且某些路由表可以没有策略指向它。如果系统管理员删除了指向某个路由表的所有规则,这个表就没有用了,但是仍然存在,直到里面的所有路由都被删除,它才会消失。
8.3.规则类型
路由策略规则数据库可以包括如下类型的规则:
| unicast |
返回从被引用的路由表中发现的路由
|
| blackhole |
丢弃数据包,不做任何反应
|
| unreachable |
产生网络不可达(Network is unreachable)的ICMP错误信息
|
| prohibit |
产生通讯被禁止(Communication is administratively prohibited)的ICMP错误信息
|
| nat |
把数据报的源地址转换为其它的值。详情请参考附录C
|
8.4.命令
add、delete、show(或者list)
8.5.ip rule add -- 插入新的规则
ip rule delete -- 删除规则
缩写:add、a;delete、del、d
参数
| type TYPE(default) |
这个规则的类型。有效的类型上一节已经介绍过了。
|
| from PREFIX |
匹配的源地址
|
| iif NAME |
选择数据包进入的设备。如果接口是回环设备,这个规则就只匹配源于本机的数据包。这意味着,你可以为本机发出的数据包和要转发的数据包分别建立路由表,使两者完全隔离。
|
| tos TOS或者dsfield TOS |
选择匹配的TOS值
|
| fwmark MARK |
选择要匹配的fwmark值
|
| priority PREFERENCE |
设置这个规则的优先级。每个规则的优先级都应该明确设置为一个唯一的数值。实际上,由于历史的原因,ip roule add命令无需任何优先级的值,也不必是唯一的。如果用户没有在命令中提供优先级的值,内核会自动选择。如果用户提供的优先级值已经存在,内核也不会拒绝这次请求,而是在相同优先级的规则前面插入新的规则。
|
| table TABLEID |
如果规则选择符匹配,就被查询的路由表识别符。
|
如果您对本文有任何疑问或者建议,请到讨论区发表您的意见:
>>
论坛入口 <<
上一篇:Linux简明系统维护手册
下一篇:双启动型USB优盘的使用举例和注意问题
【文章评论】
【收藏本文】
【推荐好友】
【打印本文】
【我要投稿】 【论坛讨论】
更多相关文章
|
