【摘要】本文主要介紹利用策略路由等技術(shù)對(duì)東北空管局寬帶網(wǎng)改造，實(shí)現(xiàn)網(wǎng)絡(luò)多出口的負(fù)載均衡和鏈路冗余功能。

【關(guān)鍵詞】策略路由靜態(tài)路由NAT

東北空管局寬帶網(wǎng)現(xiàn)有2000多戶，共有3條網(wǎng)絡(luò)出口，總帶寬500M，由于僅有1臺(tái)出口防火墻承擔(dān)安全防護(hù)、地址轉(zhuǎn)換和路由選擇等多項(xiàng)任務(wù)，負(fù)擔(dān)較重，且存在單點(diǎn)故障隱患，經(jīng)常出現(xiàn)負(fù)載不均衡現(xiàn)象，造成個(gè)別出口訪問(wèn)擁堵，用戶上網(wǎng)體驗(yàn)差，嚴(yán)重影響服務(wù)質(zhì)量。針對(duì)以上存在的問(wèn)題，我局于2012年初，基于路由協(xié)議對(duì)空管寬帶網(wǎng)進(jìn)行了改造，使其具有雙出口防火墻實(shí)現(xiàn)安全防護(hù)以及自動(dòng)選路功能。

1空管寬帶網(wǎng)系統(tǒng)介紹

空管寬帶網(wǎng)系統(tǒng)結(jié)構(gòu)分為核心層、匯聚層、接入層，采用雙出口、單核心、單匯聚、單鏈路的星型結(jié)構(gòu)設(shè)計(jì)；網(wǎng)絡(luò)主干采用千兆連接，接入層采用百兆上聯(lián)；兩臺(tái)出口防火墻實(shí)現(xiàn)安全防護(hù)以及自動(dòng)選路功能。網(wǎng)絡(luò)核心拓?fù)鋱D如圖1所示。

該系統(tǒng)三級(jí)網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)結(jié)構(gòu)清晰合理，核心層華為NE40萬(wàn)兆多業(yè)務(wù)路由器用于網(wǎng)絡(luò)數(shù)據(jù)交換和路由選擇，配置千兆光接口用于連接匯聚層交換機(jī)、防火墻及BAS設(shè)備。NE40與防火墻之間，通過(guò)配置靜態(tài)路由的方式，分別把訪問(wèn)聯(lián)通和電信的流量指向聯(lián)通和電信的防火墻，并配置默認(rèn)路由分別指向兩個(gè)防火墻，其中去往電信出口的防火墻的默認(rèn)路由優(yōu)先級(jí)更高，優(yōu)先從電信出口轉(zhuǎn)發(fā)。

網(wǎng)絡(luò)出口由兩臺(tái)防火墻組成，一臺(tái)USG5350防火墻連接聯(lián)通200M出口帶寬；另一臺(tái)USG5530防火墻連接100M和200M兩條電信出口。防火墻上配置nat轉(zhuǎn)換，用于內(nèi)部用戶上網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址。出口帶寬按需要可隨時(shí)增加。

2空管寬帶網(wǎng)多出口負(fù)載均衡實(shí)現(xiàn)

根據(jù)現(xiàn)有空管寬帶網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備實(shí)際情況出發(fā)，減少建設(shè)成本和改善網(wǎng)絡(luò)質(zhì)量為基礎(chǔ)，結(jié)合靜態(tài)路由、策略路由和默認(rèn)路由等技術(shù)，成功實(shí)現(xiàn)空管寬帶網(wǎng)多出口的負(fù)載均衡和鏈路冗余功能，現(xiàn)結(jié)合路由技術(shù)介紹設(shè)計(jì)思路。

（1）靜態(tài)路由

我局寬帶網(wǎng)有三條出口帶寬，由于我國(guó)存在電信、聯(lián)通運(yùn)營(yíng)商彼此互連不互通的跨網(wǎng)瓶頸，為了使訪問(wèn)電信的用戶走電信防火墻，使訪問(wèn)聯(lián)通的用戶走聯(lián)通防火墻，我們?cè)贜E40E與防火墻之間，通過(guò)配置靜態(tài)路由的方式，分別把訪問(wèn)聯(lián)通和電信的流量指向聯(lián)通和電信的防火墻，并配置默認(rèn)路由分別指向兩個(gè)防火墻。其中，去往電信出口的防火墻的默認(rèn)路由優(yōu)先級(jí)更高，優(yōu)先從電信出口轉(zhuǎn)發(fā)。增加默認(rèn)路由的好處是在電信或聯(lián)通其中某條線路中斷，所有路由將自動(dòng)轉(zhuǎn)到另一條線路上，而不影響整網(wǎng)的訪問(wèn)。

（2）策略路由

由于我局電信防火墻上有兩條出口，分別為100M和200M出口，為了使這兩條出口實(shí)現(xiàn)負(fù)載均衡，我們?cè)赨SG5530防火墻上采用了策略路由技術(shù)來(lái)實(shí)現(xiàn)多出口的負(fù)載均衡。

首先把寬帶網(wǎng)的用戶按ip劃分成兩組，組1: 172.17.8.0 0.0.7.255。組2：172.17.16.0 0.0.7.255

a、正常情況下組1從出口200M出口NAT轉(zhuǎn)化成59.46.83.98的地址，組2從出口100M出口NAT轉(zhuǎn)化成59.44.39.114的地址，實(shí)現(xiàn)負(fù)載均衡。

b、USG5530雙出口的某一條鏈路down，所有用戶NAT成同一地址段出去，實(shí)現(xiàn)鏈路冗余。

c、正常路由順序?yàn)橄炔呗月酚?，然后默認(rèn)路由，再執(zhí)行地址轉(zhuǎn)換規(guī)則。

具體配置說(shuō)明入下：

步驟1配置100M出口地址池tel1

ip address-set tel1 type object //建立一個(gè)tel1的地址池

address 0 172.17.16.0 mask 21 //把172.17.16.0的地址段加入tel1地址池中

步驟2配置接口IP地址并將接口加入對(duì)應(yīng)安全區(qū)域

#配置接口5為電信200M出口IP地址

interface GigabitEthernet0/0/5

ip address 59.46.83.98 255.255.255.240

#配置接口7為電信100M出口IP地址

interface GigabitEthernet0/0/7

ip address 59.44.39.114 255.255.255.240

#配置接口6為連接內(nèi)部核心路由器NE40IP地址

interface GigabitEthernet0/0/6

ip address 172.17.1.13 255.255.255.252

#配置接口加入相應(yīng)安全區(qū)域

把接口6加入名為trust的信任區(qū)域

firewall zone trust

set priority 85

add interface GigabitEthernet0/0/6

把接口5加入名為untrust的不信任區(qū)域

firewall zone untrust

set priority 5

add interface GigabitEthernet0/0/5

把接口8加入名為m100的不信任區(qū)域

firewall zone name m100

set priority 11

add interface GigabitEthernet0/0/8

步驟3配置策略路由

acl number 2001 //建立訪問(wèn)控制列表2001

rule 5 permit source address-set tel1 //匹配源地址為tel1地址池的報(bào)文

#定義名為tel的5號(hào)節(jié)點(diǎn)，使源地址為tel1地址池的報(bào)文被發(fā)到下一跳電信100M出口

policy-based-route tel permit node 5

if-match acl 2001

apply ip-address next-hop 59.44.39.113

#在接口6上應(yīng)用定義的策略tel，處理此接口接收的報(bào)文

interface GigabitEthernet0/0/6

ip policy-based-route tel

3小結(jié)

東北空管局寬帶網(wǎng)經(jīng)過(guò)改造后，目前運(yùn)行平穩(wěn)，網(wǎng)絡(luò)負(fù)載均衡，用戶體驗(yàn)明顯改善，在幾次出口鏈路意外中斷的情況下，路由自動(dòng)切換，沒(méi)有造成網(wǎng)絡(luò)中斷的現(xiàn)象。實(shí)踐證明只要合理利用靜態(tài)路由、策略路由和默認(rèn)路由技術(shù)，可以實(shí)現(xiàn)網(wǎng)絡(luò)多出口的負(fù)載均衡和鏈路冗余。