楊 林

（保山學(xué)院網(wǎng)絡(luò)中心，云南 保山 678000）

0 引言

策略路由目前最大的應(yīng)用主要是用于解決電信、網(wǎng)通、鐵通之間的互聯(lián)互通問題，由于電信訪問網(wǎng)通、鐵通的線路較慢，網(wǎng)通、鐵通訪問電信的線路也較慢，于是各高校的網(wǎng)絡(luò)出口連接著電信、網(wǎng)通、鐵通等多條線路，以保證校園網(wǎng)絡(luò)用戶訪問連接在不同線路上的服務(wù)器資源時(shí)不受互聯(lián)互通的影響[1]。在這種情況下策略路由起到了關(guān)鍵作用，通過在路由設(shè)備上添加策略路由包的方式，就能實(shí)現(xiàn)電信數(shù)據(jù)沿電信線路出口、網(wǎng)通數(shù)據(jù)沿網(wǎng)通線路出口、鐵通數(shù)據(jù)沿鐵通線路出口，互不干擾，大大提高網(wǎng)絡(luò)訪問速度。

1 策略路由

1.1 概念

策略路由是一種比基于目標(biāo)網(wǎng)絡(luò)進(jìn)行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機(jī)制，它實(shí)質(zhì)上是數(shù)據(jù)包的轉(zhuǎn)發(fā)規(guī)則,故有些地方也將“策略路由”理解為“轉(zhuǎn)發(fā)策略”。應(yīng)用了策略路由后，路由器通過路由表決定如何對(duì)需要路由的數(shù)據(jù)包進(jìn)行處理，路由表決定了一個(gè)數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)路由器地址。

通常，一個(gè)路由表由很多條策略組成，每個(gè)策略都定義了1個(gè)或多個(gè)的匹配規(guī)則和對(duì)應(yīng)操作。一個(gè)接口應(yīng)用策略路由后，將對(duì)該接口接收到的所有包進(jìn)行檢查，不符合路由表任何策略的數(shù)據(jù)包將按照通常的路由轉(zhuǎn)發(fā)進(jìn)行處理，只有符合路由表中某個(gè)策略的數(shù)據(jù)包才按照該策略中定義的操作進(jìn)行處理。[2]

1.2 轉(zhuǎn)發(fā)規(guī)則

傳統(tǒng)的路由策略都是使用從路由協(xié)議派生出來的路由表，根據(jù)目的地址進(jìn)行報(bào)文的轉(zhuǎn)發(fā)方式。在這種機(jī)制下，路由器只能根據(jù)報(bào)文的目的地址為用戶提供比較單一的路由方式，它更多的是解決網(wǎng)絡(luò)數(shù)據(jù)的轉(zhuǎn)發(fā)問題，而不能提供有差別的服務(wù)。

基于策略的路由為網(wǎng)絡(luò)管理人員提供了比傳統(tǒng)路由協(xié)議對(duì)報(bào)文的轉(zhuǎn)發(fā)和存儲(chǔ)更強(qiáng)的控制能力。[3]它使網(wǎng)絡(luò)管理人員不僅能夠根據(jù)目的地址，而且能夠根據(jù)協(xié)議類型、報(bào)文大小、IP源地址來選擇轉(zhuǎn)發(fā)路徑。根據(jù)實(shí)際應(yīng)用需要定義控制多個(gè)路由器之間的負(fù)載均衡、單一鏈路上報(bào)文轉(zhuǎn)發(fā)的Qos或者滿足某種特定需求。當(dāng)數(shù)據(jù)包經(jīng)過路由器轉(zhuǎn)發(fā)時(shí)，路由器根據(jù)預(yù)先設(shè)定的策略對(duì)數(shù)據(jù)包進(jìn)行匹配，如果匹配到一條策略，就根據(jù)該條策略指定的路由進(jìn)行轉(zhuǎn)發(fā)。如果沒有匹配到任何策略，就使用路由表中的各項(xiàng)目的地址對(duì)報(bào)文進(jìn)行路由。[4]

2 策略路由實(shí)現(xiàn)及配置技術(shù)

2.1 多鏈路接入

為了保證網(wǎng)絡(luò)的可用性，很多高校一般都向兩個(gè)或兩個(gè)以上的ISP申請(qǐng)網(wǎng)絡(luò)接入，如國內(nèi)各大高校普遍采用同時(shí)接入電信網(wǎng)和教育網(wǎng)等多網(wǎng)接入，實(shí)現(xiàn)多鏈路并行。如圖1所示。

圖1 高校網(wǎng)絡(luò)多鏈路出口

訪問國內(nèi)教育網(wǎng)的流量使用教育網(wǎng)出口，訪問國際流量（因教育網(wǎng)出國流量要根據(jù)流量收費(fèi)，故一般不建議從教育網(wǎng)出口）和國內(nèi)除教育網(wǎng)外的其它流量使用電信網(wǎng)出口。同時(shí)，當(dāng)一條鏈路發(fā)生故障時(shí)，所有的流量可以實(shí)現(xiàn)從另一條鏈路通過。

2.2 策略路由(Policy Based Routing)技術(shù)

通常路由器中的轉(zhuǎn)發(fā)策略是基于目的地址的。當(dāng)需要按我們自己的策略進(jìn)行路由時(shí)，這種方式的路由就不夠了。策略路由提供了一種更復(fù)雜的包轉(zhuǎn)發(fā)機(jī)制.通過定義適當(dāng)?shù)牟呗?，不僅可以實(shí)現(xiàn)基于數(shù)據(jù)包目的lP地址的路由選擇策略，而且可以實(shí)現(xiàn)基于數(shù)據(jù)包源lP地址、數(shù)據(jù)包大小、應(yīng)用層協(xié)議、負(fù)載平衡等策略選擇路由。在我們的問題中需要解決的是如何根據(jù)源lP地址和目的lP地址來選擇路由。

策略路由選擇禁止內(nèi)部局域網(wǎng)用戶從教育網(wǎng)這條鏈路訪問非免費(fèi)網(wǎng)站，有效控制了國際流入量的費(fèi)用。對(duì)所有需要使用教育網(wǎng)出口的內(nèi)部用戶制定源地址路由。所有對(duì)校園網(wǎng)資源的訪問增加了相應(yīng)的策略路由，同時(shí)制定了安全策略，增強(qiáng)了內(nèi)部網(wǎng)絡(luò)安全性，比較理想地解決了高校用戶的需求。

3 配置實(shí)現(xiàn)

根據(jù)上述要求，用一個(gè)實(shí)例加以說明，如某高校有雙鏈路接入，除配置出口路由器實(shí)現(xiàn)負(fù)載均衡（根據(jù)目標(biāo)IP地址選擇出口）和冗余（任一條ISP鏈路故障，另外一條ISP鏈路可以轉(zhuǎn)發(fā)所有流量）外，進(jìn)一步部署策略路由。具體做法是給每一個(gè)用戶分配兩個(gè) IP地址，如 192.168.1.2和192.168.2.2，其中192.168.1.0（奇數(shù)）網(wǎng)絡(luò)從ISP1（R1）出口，192.168.2.0（偶數(shù)）網(wǎng)絡(luò)從ISP2（R3）出口，用戶自己可以改變IP地址，來選擇不同的出口。實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)如圖2所示。

圖2 網(wǎng)絡(luò)實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)

3.1 配置操作步驟[5]

配置策略路由通常包括以下幾個(gè)步驟：

①定義路由映射來控制數(shù)據(jù)包的出口；

②為定義的路由映射設(shè)置匹配標(biāo)準(zhǔn)；

③為與給定標(biāo)準(zhǔn)相符的數(shù)據(jù)包設(shè)定路由器處理行為(選擇路由路徑)；

④為需要進(jìn)行策略路由的端口指定相應(yīng)的策略路由；

⑤設(shè)置相應(yīng)的訪問控制列表作為路由映射的匹配標(biāo)準(zhǔn)。

3.2 具體配置內(nèi)容[6]

具體配置如下：

（1）對(duì)路由器R1做基本配置（注：斜體加黑字體為配置命令，以下同）

（2）對(duì)路由器R2做基本配置()

（3）對(duì)路由器R3做基本配置

（4）對(duì)路由器R4做基本配置

（5）測(cè)試數(shù)據(jù)包的走向

將筆記本的 IP地址改為 192.168.1.2，子網(wǎng)掩碼255.255.255.0，網(wǎng)關(guān)是192.168.1.1，DNS是222.56.127.168。在命令提示符窗口中使用tracert命令，驗(yàn)證數(shù)據(jù)包的通信路徑，查看數(shù)據(jù)包經(jīng)過的路徑是否是 R2→R3→R4，然后再將筆記本的IP地址改為192.168.2.2，其它不變，查看數(shù)據(jù)包經(jīng)過的路徑是否仍然是R2→R3→R4。

在路由器R2上使用traceroute測(cè)試到10.10.10.10經(jīng)過的路徑，發(fā)現(xiàn)通過的數(shù)據(jù)包流向并無規(guī)律。

（6）根據(jù)流量區(qū)分，配置策略路由

在路由器 R2上使用 ACL把來源 192.168.1.0和來源192.168.2.0的數(shù)據(jù)包區(qū)分開發(fā)。R2的配置如下：

（7）創(chuàng)建route-map

（8）調(diào)用route-map

（9）測(cè)試

把筆記本的 IP的地址改為 192.168.1.2，掩碼255.255.255.0，網(wǎng)關(guān)設(shè)置成192.168.1.1，測(cè)試到10.10.10.10的路徑，結(jié)果變成了從路由器 R2到路由器 R1再到路由器R4，跟沒有配置策略路由時(shí)已大不一樣了。

再把筆記本 IP地址改為 192.168.2.2，子網(wǎng)掩碼255.255.255.0，網(wǎng)關(guān)設(shè)置成192.168.2.1，測(cè)試到10.10.10.10的路徑，結(jié)果為從R2路由器到R3路由器再到R4路由器。

4 結(jié)語

實(shí)踐表明，應(yīng)用策略路由實(shí)現(xiàn)校園網(wǎng)多出口的設(shè)計(jì)是一套行之有效的方案，首先，它實(shí)現(xiàn)了網(wǎng)絡(luò)負(fù)載均衡，提高了用戶上網(wǎng)的速度。通過教育網(wǎng)出口訪問教育網(wǎng)資源，通過公網(wǎng)出口訪問其它資源，出口速度大大提高，同時(shí)也實(shí)現(xiàn)了網(wǎng)絡(luò)的負(fù)載均衡[7]。其次，降低了教育網(wǎng)資費(fèi)。通過靜態(tài)路由和策略路由相結(jié)合，使得訪問教育網(wǎng)內(nèi)資源走教育網(wǎng)出口，其它資源走公網(wǎng)出口，極大地降低了教育網(wǎng)的資費(fèi)，每個(gè)月只需向教育網(wǎng)繳納固定月租費(fèi)，無須繳納國際流量費(fèi)用。最后，它還提高了內(nèi)網(wǎng)的安全性。由于是采用 NAT在訪問公網(wǎng)資源，外部主機(jī)無法看到其真實(shí)地址，大大提高了網(wǎng)絡(luò)的安全性。

[1] 蔡昭權(quán).策略路由和動(dòng)態(tài) DNS在校園網(wǎng)中的應(yīng)用[J].計(jì)算機(jī)工程與設(shè)計(jì),2005,26(05):1396-1398.

[2] 吳文剛.策略路由在校園網(wǎng)雙出口中的應(yīng)用[J].山西經(jīng)濟(jì)管理干部學(xué)院學(xué)報(bào),2008,16(04):86-87.

[3] 黃美東.基于 PKI的網(wǎng)絡(luò)教學(xué)系統(tǒng)信息安全策略[J].通信技術(shù),2008,41(02):32-34.

[4] 吳向東.構(gòu)建基于 PKI高校校園網(wǎng)身份認(rèn)證系統(tǒng)[J].通信技術(shù),2009,42(06):203-204;207.

[5] 李義勇,張煥遠(yuǎn),李風(fēng)燕,等.策略路由和NAT技術(shù)在資源共享中的應(yīng)用[J].中國教育信息化，2007(03)：49-51.

[6] 劉海韜，黃家林.策略路由技術(shù)在多出口校園網(wǎng)中的應(yīng)用[J].電腦與信息技術(shù),2002(04):51-53.

[7] 陳阿林，肖丹燕，肖嵬，等.校園網(wǎng)的路由策略選擇及實(shí)現(xiàn)[J].電訊技術(shù),2002(06):134-137.