ip rule命令
背景
一般情况下的路由算法仅仅使用目的地址做出路由决策,在Linux操作系统提供了一种根据其他字段(源地址,协议,端口等等)进行路由决策的方案,成为“策略路由”,策略路由下,进入系统的数据先匹配策略表选择一个路由表,然后基于目的地址的路由系统(最长匹配规则)
在Linux启动时内核为策略路由数据库(RPDB)默认配置三个策略表
- 优先级:0,选择器:匹配任何内容,查找本地表local(ID 255),本地表是一种特殊的路由表,包含本地和广播地址的高优先级控制路由,该表不能被删除或者覆盖
- 优先级:32766,选择器:匹配任何内容,操作:查找路由表main(ID 254)。主表是包含所有非策略路由的常规路由表。此规则可以被删除和/或由其他规则覆盖管理员
- 优先级:32767,选择器:匹配任何内容,操作:查找路由表默认值(ID253)。默认表为空。如果没有先前的默认规则选择数据包,则它将保留用于某些后处理。这条规则也可能将被删除。
ip rule命令
ip rule的命令格式
Usage: ip rule { add | del } SELECTOR ACTION prio NUMBER
ip rule { flush }
ip rule [ list ]
SELECTOR := [ not ] [ from PREFIX ] [ to PREFIX ] [ tos TOS ]
[ fwmark FWMARK[/MASK] ]
[ iif STRING ] [ oif STRING ] [ pref NUMBER ]
ACTION := [ table TABLE_ID ]
[ nat ADDRESS ]
[ realms [SRCREALM/]DSTREALM ]
[ goto NUMBER ]
TABLE_ID := [ local | main | default | NUMBER ]
一些常用的选项
- type TYPE (default):规则类型
- from PREFIX:选择要匹配的源前缀
- to PREFIX:选择要匹配的目的前缀
- iif NAME:选择要匹配的传入设备。如果接口是环回,则该规则仅匹配源自此主机的数据包。这意味着您可以为转发的数据包和本地数据包创建单独的路由表,从而完全隔离它们。
- oif NAME:选择要匹配的传出设备。传出接口仅适用于来自绑定到设备的本地套接字的数据包
- tos TOS/dsfield TOS:选择要匹配的TOS值
- fwmark MARK:选择要匹配的标记值
- priority PREFERENCE:此规则的优先级。每个规则都应该有一个显式设置的唯一优先级值
- table TABLEID:如果规则选择器匹配,则要查找的路由表标识符。也可以使用查找而不是表格
一开始学的时候经常分不清楚ip rule和ip route的区别,首先ip rule和ip route都是新型的IP配置命令,用于替换原来的ifconfig,route,arp等命令,下面是一个例子
在命令行下输入ip rule,如下:
最左边的数字是系统内策略数据库的三个表,数字最小优先级最高,在进行路由决策时,如果策略数据库匹配则会根据最右端的路由表进行路由查找
增加一个策略
ip rule add
如下图是创建一个策略表的例子
如图所述命令的意思是,创建一个策略表,规则是源地址为192.168.88/24网,如果一个数据包匹配这个策略表则查找路由表23进行路由处理,可以看到220的优先级大于main(在/etc/iproute2/rt_tables定义)路由表所在的优先级,如果路由表23里面有符合的路由规则可直接进行路由,
如果没有prio参数,系统会自动指定一个优先级,需要强调的是如果prio冲突仍然会添加成功。
删除一个策略
ip rule del proi
刷新路由规则
ip rule flush
列出路由规则
ip rule list
ip route命令
ip route用于替换route命令,参考ip rule我们知道,系统可以维护1-252个路由表,而route命令只能操作main路由表,如下图
