概述
在Linux中,我們通常使用route 命令來做路由資訊的管理。但是該命令僅僅只能用於基本路由資訊的管理,面對功能更加強大的基於策略的路由機制,route 命令就顯得捉襟見肘。在傳統路由演算法中,只能基於目的地址進行路由選擇。但是如果對路由選擇有更復雜的要求,比如針對不同源地址、傳輸層埠甚至是payload進行更細緻的路由控制,傳統的基於目的地址的路由表就無法滿足需求了,需要使用功能更加強大的路由策略資料庫routeing database: RPDB 來處理。
命令安裝
安裝很簡單,按照如下命令安裝即可。
# 檢視iproute是否安裝
# 檢視iproute版本
]# ip -V
ip utility, iproute2-ss170501
# 安裝
yum install iproute -y
路由策略資料庫(RPDB)
RPDB是存放策略的資料庫,被策略匹配的資料包會執行相關的操作,可以透過ip rule 來管理。
在系統啟動時,核心會配置三條預設策略:
# 透過ip rule show可以檢視當前RPDB中的規則
]# ip rule show
0: from all lookup local # 優先順序為0,匹配任意源地址,查詢local路由錶轉發
32766: from all lookup main # 優先順序為32766,匹配任意源地址,查詢main路由錶轉發
32767: from all lookup default # 優先順序為32767,匹配任意源地址,查詢default路由錶轉發
1. local路由表是一個特殊的路由表,包含本地地址和廣播地址的高優先順序控制路由, 例如訪問127.0.0.1就是參考的這條規則。
2. main路由表是一個通用路由表,正常透過route -n命令操作的就是這個路由表。
3. default路由表預設是一個空表,除非有特別的要求,否則保持為空即可。
每條策略路由的規則由一個選擇器 和一個動作 組成,RPDB按照優先順序順序進行規則匹配,優先順序數字越小越優先。被選擇器 匹配的報文會執行對應的操作,操作如果成功,則根據指定的路由轉發資料,之後終止RPDB匹配,如果執行失敗,則報錯並且終止RPDB匹配。否則RPDB將繼續執行下一條規則。
ip rule命令說明
# 執行ip rule help可以檢視幫助資訊,如果需要更詳細的幫助資訊,可以執行man ip-rule
]# ip rule help
Usage: ip rule { add | del } SELECTOR ACTION
ip rule { flush | save | restore }
ip rule [ list [ SELECTOR ]]
SELECTOR := [ not ] [ from PREFIX ] [ to PREFIX ] [ tos TOS ] [ fwmark FWMARK[/MASK] ]
[ iif STRING ] [ oif STRING ] [ pref NUMBER ] [ l3mdev ]
[ uidrange NUMBER-NUMBER ]
ACTION := [ table TABLE_ID ]
[ nat ADDRESS ]
[ realms [SRCREALM/]DSTREALM ]
[ goto NUMBER ]
SUPPRESSOR
SUPPRESSOR := [ suppress_prefixlength NUMBER ]
[ suppress_ifgroup DEVGROUP ]
TABLE_ID := [ local | main | default | NUMBER ]選擇器(SELECTOR)
from PREFIX: 根據源地址字首匹配
to PREFIX: 根據目的地址字首匹配
tos TOS: 根據ip包頭TOS欄位的值進行匹配
fwmark FWMARK[/MASK]: 配合iptables -t mangle 打標記,根據標記進行匹配
iif STRING: 選擇要匹配的資料包的輸入介面。
oif STRING: 選擇要匹配的出介面裝置。只對來自本地套接字並與裝置繫結的報文有效
pref NUMBER: 規則的優先順序。這裡的pref可以替換成priority或者order,效果是一樣的。
動作(ACTION)
table TABLE_ID: 在規則匹配的時候,指定使用的路由表,被匹配的資料包將按照指定的路由表進行路由。此處的table也可以替換為lookup,效果是一樣的。
blackhole: 丟棄匹配的資料包。
unreachable: 丟棄匹配的資料包,並生成"Network is unreachable"錯誤。
prohibit: 丟棄匹配的資料包,並生成"Communication is administratively prohibited"錯誤。
檢視策略
]# ip rule show
0: from all lookup local
32766: from all lookup main
32767: from all lookup default
新增策略
# 來自192.168.22.3的資料包,都參考id為10的路由表進行轉發
ip rule add from 192.168.22.3 table 10
# 設定規則的優先順序為100,發往192.168.23.0/24的資料包,都參考id為100的路由表進行轉發
ip rule add to 192.168.23.0/24 table 20 pref 100
# 給協議是tcp,源地址是192.168.24.0/24,目的埠是80的資料包,在路由前打上1的標記
iptables -t mangle -A PREROUTING -p tcp -m multiport --dports 80 -s 192.168.24.0/24 -j MARK --set-mark 1
# 將標記為1的資料包,參考id為iptables_table的路由表進行轉發
ip rule add fwmark 1 table iptables_table
# 來自192.168.25.0/24的資料包都將丟棄
ip rule add from 192.168.25.0/24 blackhole
ip rule add from 192.168.26.0/24 unreachable
ip rule add from 192.168.27.0/24 prohibit
注意,新增動作是table TABLE_ID時,預設情況下,只能新增數字,如果新增的是字元的話,會有如下報錯。
]# ip rule add from 192.168.22.3 table iptables_table
Error: argument "iptables_table" is wrong: invalid table ID
這就帶來一個問題,如果時間久了,就不知道自己當時新增的這個路由表是啥意思了。所以需要有一個數字和字元的對應關係。這個對應關係,就儲存在/etc/iproute2/rt_tables 這個檔案裡。
# 編輯/etc/iproute2/rt_tables,新增iptables_table表的id為100
]# cat /etc/iproute2/rt_tables
#
# reserved values
#
255 local
254 main
253 default
0 unspec
# 自定義路由表
100 iptables_table
#
# local
#
#1 inr.ruhep
新增之後,就可以正常執行ip rule add from 192.168.22.3 table iptables_table 了。並且執行ip rule show的時候,路由表也是按照定義的字元顯示。
刪除策略
# 根據路由表刪除
ip rule del table iptables_table
# 根據來源地址刪除
ip rule del from 192.168.22.0/24
# 根據優先順序刪除
ip rule del pref 100
# 根據標記刪除
ip rule del fwmark 100
路由表管理
目前看,透過ip rule命令,可以根據不同的規則,選擇不同的路由表來轉發資料。那麼如何對不同的路由表做管理呢? 很簡單,只要在正常執行的命令之後,加上table TABLE_ID 即可。
檢視路由表路由條目
# ip route show等價於ip route show table main,也就是查的是預設的main路由表
ip route show
# 檢視指定目標的路由
ip route show 192.168.22.0/24
# 檢視指定路由表iptables_table中的路由
ip route show table iptables_table
ip route show table 100
新增路由
# 向iptables_table中新增預設路由
ip route add default via 192.168.22.1 dev eth1 src 192.168.22.3 table iptables_table
]# ip route show table 100
default via 192.168.22.1 dev eth1 src 192.168.22.3
刪除路由
# 刪除iptables_table路由表中的路由
ip route del default via 192.168.22.1 dev eth1 src 192.168.22.3 table iptables_table
京東雲官網最新活動:https://www.jdcloud.com/cn/pages/jinqiucaigou