PBR & VRF — Routage avancé Cisco

 Forcer le trafic HTTP/HTTPS vers un proxy transparent
 Acheminer le trafic selon lIP source clients VIP vs standard
 WAN diffrenci  voix sur lien MPLS web sur Internet
 Contourner la table de routage pour un service spcifique

! 1. Définir le trafic à intercepter
ip access-list extended MATCH_HTTP
 permit tcp any any eq 80
 permit tcp any any eq 443
! 2. Créer la route-map
route-map PBR_MAP permit 10
 match ip address MATCH_HTTP
 set ip next-hop {{PROXY_IP}}
! 3. Clause par défaut : laisser passer le reste normalement
route-map PBR_MAP permit 20
 ! (pas de match = correspond à tout le reste)
 ! (pas de set = utilise la table de routage normale)
! 4. Appliquer sur l'interface d'ENTRÉE du trafic
interface {{INGRESS_INTERFACE}}
 ip policy route-map PBR_MAP

! Vérifier la disponibilité du next-hop avant de l'utiliser
route-map PBR_FAILOVER permit 10
 match ip address MATCH_HTTP
 set ip next-hop verify-availability {{PROXY_IP}} 1 track 1
 set ip next-hop verify-availability {{BACKUP_PROXY}} 2 track 2
 ! Si aucun next-hop disponible → table de routage normale

! Pour le trafic initié par le routeur (pings, SSH sortants, syslog)
ip local policy route-map {{MAP_NAME}}

show route-map
show route-map {{MAP_NAME}}
show ip policy
! Debug : ATTENTION très verbeux, désactiver rapidement
debug ip policy
undebug all

Multi-tenant           isoler les clients sur un mme quipement physique
Sparation mgmt/data   plan de management dans un VRF ddi
Dual-ISP               deux tables de routage une par oprateur
Test/staging           environnement isol sur le mme routeur

! Définir le VRF avec Route Distinguisher
ip vrf {{VRF_NAME}}
 rd {{AS}}:{{ID}}
 ! Route Targets pour le route leaking (optionnel sans MPLS)
 route-target export {{AS}}:{{ID}}
 route-target import {{AS}}:{{ID}}

interface {{INTERFACE}}
 ! ATTENTION : cette commande supprime l'adresse IP existante
 ip vrf forwarding {{VRF_NAME}}
 ! Reconfigurer l'adresse IP immédiatement après
 ip address {{IP}} {{MASK}}
 no shutdown

! Route statique dans un VRF
ip route vrf {{VRF_NAME}} {{NET}} {{MASK}} {{NEXT_HOP}}
! Route statique avec next-hop global (route leaking VRF → global)
ip route vrf {{VRF_NAME}} 0.0.0.0 0.0.0.0 {{GW}} global
! OSPF dans un VRF
router ospf {{PROCESS_ID}} vrf {{VRF_NAME}}
 network {{NET}} {{WILDCARD}} area {{AREA}}
! BGP dans un VRF
router bgp {{AS}}
 address-family ipv4 vrf {{VRF_NAME}}
  neighbor {{PEER_IP}} remote-as {{PEER_AS}}
  network {{NET}} mask {{MASK}}
 exit-address-family

! Option 1 : route statique avec mot-clé global ou vrf cible
ip route vrf {{VRF_SRC}} {{NET}} {{MASK}} {{NEXT_HOP}} global
ip route {{NET}} {{MASK}} vrf {{VRF_SRC}} {{NEXT_HOP}}
! Option 2 : via BGP avec Route Targets (plus propre, scalable)
router bgp {{AS}}
 address-family ipv4 vrf {{VRF_A}}
  route-target import {{AS}}:200   ! importer les routes du VRF_B
 address-family ipv4 vrf {{VRF_B}}
  route-target export {{AS}}:200   ! exporter les routes du VRF_B

show ip vrf
show ip vrf interfaces
show ip vrf detail {{VRF_NAME}}
! Table de routage d'un VRF spécifique
show ip route vrf {{VRF_NAME}}
! Ping dans le contexte d'un VRF
ping vrf {{VRF_NAME}} {{DEST_IP}}
! Traceroute dans un VRF
traceroute vrf {{VRF_NAME}} {{DEST_IP}}
! SSH ou telnet dans un VRF
ssh -vrf {{VRF_NAME}} -l admin {{DEVICE_IP}}

Use case              VRFs           Routage inter-VRF    Notes
Multi-tenant          1 par client     Non isolation      RD unique par client
Mgmt  Data plane     MGMT  default   Route leaking SSH    Scuriser laccs mgmt
Dual-ISP              ISP_A  ISP_B    Non                  PBR pour slection ISP
Test  Staging        PROD  TEST      Optionnel            Partage matriel