李媛

摘 要：?jiǎn)捂溌烦隹诘木W(wǎng)絡(luò)已經(jīng)越來越不適應(yīng)網(wǎng)絡(luò)的飛速發(fā)展。而結(jié)合實(shí)際情況對(duì)現(xiàn)有的網(wǎng)絡(luò)進(jìn)行升級(jí)改造，增加一路鏈路作為出口，并在核心交換機(jī)上應(yīng)用策略路由技術(shù)對(duì)不同vlan進(jìn)行鏈路的選擇，可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的分流，提升了網(wǎng)絡(luò)的訪問速度，從而達(dá)到對(duì)網(wǎng)絡(luò)整體性能的提高。

關(guān)鍵詞：核心交換機(jī) 策略路由 vlan

網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和網(wǎng)內(nèi)用戶及網(wǎng)絡(luò)中各種應(yīng)用軟件的不斷壯大和更新，導(dǎo)致網(wǎng)絡(luò)流量的增加而影響了網(wǎng)絡(luò)速度，這對(duì)網(wǎng)絡(luò)提出了更進(jìn)一步的要求。單路由或者單防火墻等單鏈路作為外網(wǎng)出口的情況已經(jīng)不能適應(yīng)網(wǎng)絡(luò)技術(shù)的發(fā)展需求。為了給用戶提供一個(gè)更快速、更安全可靠、更穩(wěn)定的網(wǎng)絡(luò)平臺(tái)，筆者在原有單鏈路作為出口的情況下進(jìn)行網(wǎng)絡(luò)改造，增加了另一路鏈路出口并利用策略路由技術(shù)實(shí)現(xiàn)對(duì)不同鏈路的路由選擇。

一、策略路由技術(shù)

策略路由即PBR（Policy-Based Routing）是路由技術(shù)中的一項(xiàng)新技術(shù)。它是一種靈活性強(qiáng)的轉(zhuǎn)發(fā)機(jī)制。在傳統(tǒng)路由中，路由器在由路由協(xié)議產(chǎn)生的路由表中，根據(jù)目的地址轉(zhuǎn)發(fā)報(bào)文。相比之下，策略路由的靈活性在于，它除了能夠根據(jù)目的地址轉(zhuǎn)發(fā)報(bào)文，還能根據(jù)協(xié)議類型、報(bào)文大小、源IP地址等等來選擇轉(zhuǎn)發(fā)路徑。簡(jiǎn)單地說，只要IP標(biāo)準(zhǔn)或擴(kuò)展的訪問控制列表（Standard/Extended ACL）能設(shè)置的，都可以作為策略路由的匹配規(guī)則進(jìn)行轉(zhuǎn)發(fā)。它可以進(jìn)行多種組合的路由選擇，有效地控制網(wǎng)絡(luò)的負(fù)載均衡、單一鏈路上報(bào)文轉(zhuǎn)發(fā)的QOS或者滿足某種特定需求。

在具體的應(yīng)用中，策略路由有基于目的地址策略、基于源地址策略和智能均衡的策略：基于目的地址的策略路由一般用于網(wǎng)絡(luò)的出口，針對(duì)訪問不同的目的地設(shè)置不同的路由；基于源地址的策略路由，主要針對(duì)數(shù)據(jù)包的來源設(shè)置不同策略規(guī)則，這樣可以根據(jù)用戶IP地址的不同設(shè)置不同的策略路由，源地址策略路由適合于對(duì)不同級(jí)別的用戶設(shè)置不同的路由策略。而智能均衡的策略方式，是策略路由的發(fā)展趨勢(shì)。

二、策略路由技術(shù)的應(yīng)用

1.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示，結(jié)合粵東高級(jí)技工學(xué)校網(wǎng)絡(luò)實(shí)例。改造前是以H3C F1000-A防火墻作為單鏈路出口，使用電信100M的光纖，所有的流量都從此鏈路出去，防火墻壓力巨大，容易造成上網(wǎng)速度卡，以及防火墻CPU被高度占用的情況，導(dǎo)致設(shè)備性能下降、死機(jī)等問題。我們利用原有的移動(dòng)30M的光纖進(jìn)行網(wǎng)絡(luò)改造，加入H3C U200防火墻作為另一個(gè)鏈路的出口。

圖 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

由于不是單路由器（防火墻）雙鏈路出口，而是雙路由器（防火墻）雙鏈路出口。所以我們沒有選擇基于目的的策略路由應(yīng)用到鏈路出口上，而是把策略路由布置在核心交換機(jī)Cisco catalyst 3560上，這就是基于源地址的策略路由。因此我們根據(jù)不同的vlan，設(shè)置不同的策略路由，實(shí)現(xiàn)了網(wǎng)絡(luò)流量的分流。

筆者將策略路由布置在核心交換機(jī)上，更加符合實(shí)際的需求，也是進(jìn)一步升級(jí)改造的基礎(chǔ)。例如，在兩路鏈路的兩個(gè)出口設(shè)備上，可以再進(jìn)行基于目的地址的策略路由，針對(duì)訪問不同的目的地設(shè)置不同的策略路由，把流量再進(jìn)行細(xì)分，兩臺(tái)設(shè)備可以變成4路鏈路出口，甚至可以通過升級(jí)出口設(shè)備的模塊來達(dá)到擁有更多出口的目的。這就是智能均衡的策略方式了，留待進(jìn)一步升級(jí)改造需要，便可更進(jìn)一步提高網(wǎng)絡(luò)的整體性能。

2.策略路由技術(shù)的實(shí)現(xiàn)

根據(jù)網(wǎng)絡(luò)改造的思路，我們把網(wǎng)內(nèi)劃分成四個(gè)vlan，分別為財(cái)務(wù)、辦公、教學(xué)、宿舍。設(shè)計(jì)財(cái)務(wù)網(wǎng)段是從移動(dòng)30M光纖訪問公網(wǎng)，其他三個(gè)網(wǎng)段是從電信100M光纖訪問公網(wǎng)。由于Cisco catalyst 3560的IOS版本配備有ipbase和ipservices特性集，而ipservices特性集方可配置策略路由。因原版本是ipbase，所以我們必須先把IOS升級(jí)為ipservices。此次改造的主要工作就是通過tftp服務(wù)器實(shí)現(xiàn)對(duì)核心交換機(jī)Cisco catalyst 3560的IOS升級(jí)，并在其上實(shí)現(xiàn)vlan的劃分、訪問控制列表ACL的控制和配置策略路由功能，使得網(wǎng)內(nèi)不同網(wǎng)段的計(jì)算機(jī)可以通過核心交換機(jī)自動(dòng)實(shí)現(xiàn)對(duì)不同路線的網(wǎng)絡(luò)出口的選擇。

（1）IOS版本升級(jí)。由于原有的IOS文件C3560-ipbase-mz.122-35.SE5.bin無法實(shí)現(xiàn)策略路由功能，必須升級(jí)IOS文件，匹配的IOS文件為C3560-ipservices-mz.122-25.SEE1.bin。

接下來的步驟是配置tftp服務(wù)器，使得它可以實(shí)現(xiàn)在交換機(jī)上對(duì)文件的上傳與下載的功能。下載tftp文件Cisco TFTP Server，并運(yùn)行文件。然后進(jìn)入3560的配置，通過指令把原有的IOS文件下載下來保存，然后再把交換機(jī)上的IOS刪掉，再上傳新的IOS，具體的操作如下：

執(zhí)行備份前先用dir、cd、pwd等命令查看交換機(jī)flash中的目錄結(jié)構(gòu)。此交換機(jī)IOS的bin文件以及html文件夾都在flash中的C3560-ipbase-mz.122-35.SE5目錄下。

①刪除原IOS，將原IOS備份到IP為192.168.1.100的tftp服務(wù)器上并刪除交換機(jī)上的IOS文件。

②上傳新的IOS，將新IOS復(fù)制到flash的根目錄下。

③讓交換機(jī)用新的IOS啟動(dòng)。

啟動(dòng)完成后就實(shí)現(xiàn)了對(duì)IOS的更新。

（2）vlan的劃分和訪問控制列表ACL。在實(shí)現(xiàn)策略路由的功能之前，先對(duì)vlan進(jìn)行劃分。vlan1為網(wǎng)絡(luò)設(shè)備的管理地址，再劃分四個(gè)vlan，辦公vlan2 、教學(xué)vlan3、宿舍vlan4和財(cái)務(wù)vlan100，并且通過訪問控制列表ACL控制四個(gè)vlan不可互訪。

①設(shè)置vlan1即是管理地址為192.168.1.2作為3560的管理地址。endprint

②設(shè)置vlan2的地址為192.168.2.1，并且設(shè)置編號(hào)為151的vlan2的訪問列表，實(shí)現(xiàn)vlan2不能訪問到vlan3、vlan4和vlan100，具體如下：

③設(shè)置vlan3的地址為192.168.3.1，并且設(shè)置編號(hào)為152的vlan3的訪問列表，實(shí)現(xiàn)vlan3不能訪問到vlan2、vlan4和vlan100，具體如下：

④設(shè)置vlan100的地址為192.168.100.1，并且設(shè)置編號(hào)為153的vlan100的訪問列表，實(shí)現(xiàn)vlan100不能訪問到vlan2、vlan3和vlan4，具體如下：

這樣就實(shí)現(xiàn)了對(duì)vlan的劃分，為每一個(gè)vlan分配了地址，并且通過訪問控制列表ACL的控制使得四個(gè)網(wǎng)段vlan2、vlan3、vlan4和vlan100之間不能互訪了。

（3）策略路由的實(shí)現(xiàn)。前面已經(jīng)實(shí)現(xiàn)了不同網(wǎng)段不能互訪的功能，接下來是如何設(shè)置使得財(cái)務(wù)網(wǎng)vlan100和其他三個(gè)網(wǎng)段vlan2、vlan3和vlan4可以通過3560交換機(jī)實(shí)現(xiàn)對(duì)不同路由線路的自動(dòng)選擇，也就是策略路由的實(shí)現(xiàn)。具體的步驟如下：

①設(shè)置編號(hào)為100的訪問列表，實(shí)現(xiàn)把vlan100與vlan2、vlan3、vlan4和vlan1等分開，作為策略路由應(yīng)用的前提條件，目的是要讓vlan100與vlan2、vlan3、vlan4等走不同的路由線路。

②接下來做一條默認(rèn)路由的指令，使得默認(rèn)的通路是走192.168.1.1即為H3C F1000-A防火墻這個(gè)地址的路由的，即vlan2、vlan3和vlan4會(huì)從電信100M訪問公網(wǎng)。指令如下：

③接下來把3560上連接到H3C U200防火墻（地址為192.168.168.2）的端口FastEthernet0/1設(shè)定一個(gè)地址，此地址必須跟防火墻地址192.168.168.2為同一個(gè)網(wǎng)段才可以實(shí)現(xiàn)通路，把這個(gè)端口的地址設(shè)定為192.168.168.1，具體如下：

④接下來是實(shí)現(xiàn)策略路由，設(shè)置一個(gè)名為caiwu的路由表，匹配了編號(hào)為100的訪問列表，并且把這個(gè)列表的下一跳指定到192.168.168.2，即是到H3C U200防火墻的地址上去，就是讓財(cái)務(wù)網(wǎng)段vlan100從這條路由線路訪問公網(wǎng)，而不是選擇192.168.1.1即為H3C F1000-A這條默認(rèn)路由。

⑤最后一個(gè)步驟是要把caiwu這個(gè)策略路由應(yīng)用到vlan100中，就啟用了策略路由功能。

通過以上步驟，我們實(shí)現(xiàn)了在核心交換機(jī)上對(duì)vlan100和vlan2、vlan3、vlan4的不同策略路由的自動(dòng)選擇。

三、結(jié)論

通過網(wǎng)絡(luò)改造，我們?cè)诤诵慕粨Q機(jī)Cisco catalyst 3560上實(shí)現(xiàn)了對(duì)vlan的劃分、vlan間的訪問控制和策略路由，對(duì)不同網(wǎng)段使用ping和tracert等指令測(cè)試網(wǎng)段對(duì)鏈路的選擇，效果顯著。策略路由實(shí)現(xiàn)了不同的網(wǎng)段對(duì)不同的鏈路的選擇，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)流量的分流，有效地控制了單鏈路流量太大導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定的情況，提升了網(wǎng)絡(luò)訪問速度，從而提高了網(wǎng)絡(luò)的整體性能。這充分證明了策略路由技術(shù)在實(shí)現(xiàn)復(fù)雜的網(wǎng)絡(luò)功能時(shí)的強(qiáng)大優(yōu)勢(shì)。

參考文獻(xiàn)：

[1]詹偉薄.策略路由技術(shù)在多出口校園網(wǎng)絡(luò)中的應(yīng)用[J].軟件導(dǎo)刊，2012（11）.

[2]陳志平.校園網(wǎng)絡(luò)安全與防火墻技術(shù)[J].現(xiàn)代計(jì)算機(jī)，2007（25）.

[3]羅達(dá)強(qiáng).基于UTM策略路由的網(wǎng)絡(luò)多接入應(yīng)用[J].甘肅科技縱橫，2013（42）.

[4]王建峰.訪問控制列表的應(yīng)用與研究[J].咸寧學(xué)院學(xué)報(bào)，2007（6）.

[5]賀文華.基于三層交換與路由的CISCO設(shè)備的VLAN設(shè)置技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006.

（作者單位：廣東省粵東高級(jí)技工學(xué)校）endprint

②設(shè)置vlan2的地址為192.168.2.1，并且設(shè)置編號(hào)為151的vlan2的訪問列表，實(shí)現(xiàn)vlan2不能訪問到vlan3、vlan4和vlan100，具體如下：

③設(shè)置vlan3的地址為192.168.3.1，并且設(shè)置編號(hào)為152的vlan3的訪問列表，實(shí)現(xiàn)vlan3不能訪問到vlan2、vlan4和vlan100，具體如下：

④設(shè)置vlan100的地址為192.168.100.1，并且設(shè)置編號(hào)為153的vlan100的訪問列表，實(shí)現(xiàn)vlan100不能訪問到vlan2、vlan3和vlan4，具體如下：

這樣就實(shí)現(xiàn)了對(duì)vlan的劃分，為每一個(gè)vlan分配了地址，并且通過訪問控制列表ACL的控制使得四個(gè)網(wǎng)段vlan2、vlan3、vlan4和vlan100之間不能互訪了。

（3）策略路由的實(shí)現(xiàn)。前面已經(jīng)實(shí)現(xiàn)了不同網(wǎng)段不能互訪的功能，接下來是如何設(shè)置使得財(cái)務(wù)網(wǎng)vlan100和其他三個(gè)網(wǎng)段vlan2、vlan3和vlan4可以通過3560交換機(jī)實(shí)現(xiàn)對(duì)不同路由線路的自動(dòng)選擇，也就是策略路由的實(shí)現(xiàn)。具體的步驟如下：

①設(shè)置編號(hào)為100的訪問列表，實(shí)現(xiàn)把vlan100與vlan2、vlan3、vlan4和vlan1等分開，作為策略路由應(yīng)用的前提條件，目的是要讓vlan100與vlan2、vlan3、vlan4等走不同的路由線路。

②接下來做一條默認(rèn)路由的指令，使得默認(rèn)的通路是走192.168.1.1即為H3C F1000-A防火墻這個(gè)地址的路由的，即vlan2、vlan3和vlan4會(huì)從電信100M訪問公網(wǎng)。指令如下：

③接下來把3560上連接到H3C U200防火墻（地址為192.168.168.2）的端口FastEthernet0/1設(shè)定一個(gè)地址，此地址必須跟防火墻地址192.168.168.2為同一個(gè)網(wǎng)段才可以實(shí)現(xiàn)通路，把這個(gè)端口的地址設(shè)定為192.168.168.1，具體如下：

④接下來是實(shí)現(xiàn)策略路由，設(shè)置一個(gè)名為caiwu的路由表，匹配了編號(hào)為100的訪問列表，并且把這個(gè)列表的下一跳指定到192.168.168.2，即是到H3C U200防火墻的地址上去，就是讓財(cái)務(wù)網(wǎng)段vlan100從這條路由線路訪問公網(wǎng)，而不是選擇192.168.1.1即為H3C F1000-A這條默認(rèn)路由。

⑤最后一個(gè)步驟是要把caiwu這個(gè)策略路由應(yīng)用到vlan100中，就啟用了策略路由功能。

通過以上步驟，我們實(shí)現(xiàn)了在核心交換機(jī)上對(duì)vlan100和vlan2、vlan3、vlan4的不同策略路由的自動(dòng)選擇。

三、結(jié)論

通過網(wǎng)絡(luò)改造，我們?cè)诤诵慕粨Q機(jī)Cisco catalyst 3560上實(shí)現(xiàn)了對(duì)vlan的劃分、vlan間的訪問控制和策略路由，對(duì)不同網(wǎng)段使用ping和tracert等指令測(cè)試網(wǎng)段對(duì)鏈路的選擇，效果顯著。策略路由實(shí)現(xiàn)了不同的網(wǎng)段對(duì)不同的鏈路的選擇，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)流量的分流，有效地控制了單鏈路流量太大導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定的情況，提升了網(wǎng)絡(luò)訪問速度，從而提高了網(wǎng)絡(luò)的整體性能。這充分證明了策略路由技術(shù)在實(shí)現(xiàn)復(fù)雜的網(wǎng)絡(luò)功能時(shí)的強(qiáng)大優(yōu)勢(shì)。

參考文獻(xiàn)：

[1]詹偉薄.策略路由技術(shù)在多出口校園網(wǎng)絡(luò)中的應(yīng)用[J].軟件導(dǎo)刊，2012（11）.

[2]陳志平.校園網(wǎng)絡(luò)安全與防火墻技術(shù)[J].現(xiàn)代計(jì)算機(jī)，2007（25）.

[3]羅達(dá)強(qiáng).基于UTM策略路由的網(wǎng)絡(luò)多接入應(yīng)用[J].甘肅科技縱橫，2013（42）.

[4]王建峰.訪問控制列表的應(yīng)用與研究[J].咸寧學(xué)院學(xué)報(bào)，2007（6）.

[5]賀文華.基于三層交換與路由的CISCO設(shè)備的VLAN設(shè)置技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006.

（作者單位：廣東省粵東高級(jí)技工學(xué)校）endprint

②設(shè)置vlan2的地址為192.168.2.1，并且設(shè)置編號(hào)為151的vlan2的訪問列表，實(shí)現(xiàn)vlan2不能訪問到vlan3、vlan4和vlan100，具體如下：

③設(shè)置vlan3的地址為192.168.3.1，并且設(shè)置編號(hào)為152的vlan3的訪問列表，實(shí)現(xiàn)vlan3不能訪問到vlan2、vlan4和vlan100，具體如下：

④設(shè)置vlan100的地址為192.168.100.1，并且設(shè)置編號(hào)為153的vlan100的訪問列表，實(shí)現(xiàn)vlan100不能訪問到vlan2、vlan3和vlan4，具體如下：

這樣就實(shí)現(xiàn)了對(duì)vlan的劃分，為每一個(gè)vlan分配了地址，并且通過訪問控制列表ACL的控制使得四個(gè)網(wǎng)段vlan2、vlan3、vlan4和vlan100之間不能互訪了。

（3）策略路由的實(shí)現(xiàn)。前面已經(jīng)實(shí)現(xiàn)了不同網(wǎng)段不能互訪的功能，接下來是如何設(shè)置使得財(cái)務(wù)網(wǎng)vlan100和其他三個(gè)網(wǎng)段vlan2、vlan3和vlan4可以通過3560交換機(jī)實(shí)現(xiàn)對(duì)不同路由線路的自動(dòng)選擇，也就是策略路由的實(shí)現(xiàn)。具體的步驟如下：

①設(shè)置編號(hào)為100的訪問列表，實(shí)現(xiàn)把vlan100與vlan2、vlan3、vlan4和vlan1等分開，作為策略路由應(yīng)用的前提條件，目的是要讓vlan100與vlan2、vlan3、vlan4等走不同的路由線路。

②接下來做一條默認(rèn)路由的指令，使得默認(rèn)的通路是走192.168.1.1即為H3C F1000-A防火墻這個(gè)地址的路由的，即vlan2、vlan3和vlan4會(huì)從電信100M訪問公網(wǎng)。指令如下：

③接下來把3560上連接到H3C U200防火墻（地址為192.168.168.2）的端口FastEthernet0/1設(shè)定一個(gè)地址，此地址必須跟防火墻地址192.168.168.2為同一個(gè)網(wǎng)段才可以實(shí)現(xiàn)通路，把這個(gè)端口的地址設(shè)定為192.168.168.1，具體如下：

④接下來是實(shí)現(xiàn)策略路由，設(shè)置一個(gè)名為caiwu的路由表，匹配了編號(hào)為100的訪問列表，并且把這個(gè)列表的下一跳指定到192.168.168.2，即是到H3C U200防火墻的地址上去，就是讓財(cái)務(wù)網(wǎng)段vlan100從這條路由線路訪問公網(wǎng)，而不是選擇192.168.1.1即為H3C F1000-A這條默認(rèn)路由。

⑤最后一個(gè)步驟是要把caiwu這個(gè)策略路由應(yīng)用到vlan100中，就啟用了策略路由功能。

通過以上步驟，我們實(shí)現(xiàn)了在核心交換機(jī)上對(duì)vlan100和vlan2、vlan3、vlan4的不同策略路由的自動(dòng)選擇。

三、結(jié)論

通過網(wǎng)絡(luò)改造，我們?cè)诤诵慕粨Q機(jī)Cisco catalyst 3560上實(shí)現(xiàn)了對(duì)vlan的劃分、vlan間的訪問控制和策略路由，對(duì)不同網(wǎng)段使用ping和tracert等指令測(cè)試網(wǎng)段對(duì)鏈路的選擇，效果顯著。策略路由實(shí)現(xiàn)了不同的網(wǎng)段對(duì)不同的鏈路的選擇，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)流量的分流，有效地控制了單鏈路流量太大導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定的情況，提升了網(wǎng)絡(luò)訪問速度，從而提高了網(wǎng)絡(luò)的整體性能。這充分證明了策略路由技術(shù)在實(shí)現(xiàn)復(fù)雜的網(wǎng)絡(luò)功能時(shí)的強(qiáng)大優(yōu)勢(shì)。

參考文獻(xiàn)：

[1]詹偉薄.策略路由技術(shù)在多出口校園網(wǎng)絡(luò)中的應(yīng)用[J].軟件導(dǎo)刊，2012（11）.

[2]陳志平.校園網(wǎng)絡(luò)安全與防火墻技術(shù)[J].現(xiàn)代計(jì)算機(jī)，2007（25）.

[3]羅達(dá)強(qiáng).基于UTM策略路由的網(wǎng)絡(luò)多接入應(yīng)用[J].甘肅科技縱橫，2013（42）.

[4]王建峰.訪問控制列表的應(yīng)用與研究[J].咸寧學(xué)院學(xué)報(bào)，2007（6）.

[5]賀文華.基于三層交換與路由的CISCO設(shè)備的VLAN設(shè)置技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006.

（作者單位：廣東省粵東高級(jí)技工學(xué)校）endprint