引言：對策略路由、動(dòng)態(tài)路由和默認(rèn)路由的靈活應(yīng)用在整個(gè)核心網(wǎng)絡(luò)數(shù)據(jù)的轉(zhuǎn)發(fā)中起到至關(guān)重要的作用。下面筆者將從實(shí)際網(wǎng)絡(luò)結(jié)構(gòu)出發(fā)，以擴(kuò)容互聯(lián)網(wǎng)出口為契機(jī)，通過合理的使用這三種路由來滿足各個(gè)方面的網(wǎng)絡(luò)需求。

一提到路由，相信大家都不會(huì)陌生。路由（routing）是指分組從源到目的地時(shí)，決定端到端路徑的網(wǎng)絡(luò)范圍的進(jìn)程。路由工作在OSI參考模型第三層—網(wǎng)絡(luò)層，路由器通過轉(zhuǎn)發(fā)數(shù)據(jù)包來實(shí)現(xiàn)網(wǎng)絡(luò)互連。

路由的靈活應(yīng)用對于整個(gè)核心網(wǎng)絡(luò)數(shù)據(jù)的轉(zhuǎn)發(fā)起到至關(guān)重要的作用。通常在核心網(wǎng)絡(luò)中，特別是面對復(fù)雜的網(wǎng)絡(luò)需求，更需要熟知路由的使用，從而為解決網(wǎng)絡(luò)需求以及合理規(guī)劃整個(gè)網(wǎng)絡(luò)布局打下堅(jiān)實(shí)基礎(chǔ)。

圖 1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

本文將從實(shí)際網(wǎng)絡(luò)結(jié)構(gòu)出發(fā)，以擴(kuò)容互聯(lián)網(wǎng)出口為契機(jī)，通過合理的使用多種路由，巧妙地滿足了各個(gè)方面的網(wǎng)絡(luò)需求。下面就詳細(xì)介紹一下網(wǎng)絡(luò)實(shí)現(xiàn)的過程。

近日，根據(jù)對互聯(lián)網(wǎng)出口流量監(jiān)視和分析的結(jié)果，我們發(fā)現(xiàn)目前的互聯(lián)網(wǎng)出口帶寬已經(jīng)遠(yuǎn)遠(yuǎn)滿足不了當(dāng)前發(fā)展的需要。為了更好的解決問題，我們首先先了解下網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),如圖1所示。我們可以看到目前核心網(wǎng)絡(luò)主要由兩臺(tái)流控設(shè)備、路由器和BRAS組成，其中互聯(lián)網(wǎng)出口均連接至流控設(shè)備上。

具體的路由轉(zhuǎn)發(fā)是這樣的：互聯(lián)網(wǎng)用戶從BRAS上通過BGP路由和路由器建立通訊關(guān)系，路由器再通過默認(rèn)路由將數(shù)據(jù)轉(zhuǎn)發(fā)至流控設(shè)備，然后在流控設(shè)備上依靠基于源地址的策略路由來實(shí)現(xiàn)不同IP地址使用不同的互聯(lián)網(wǎng)出口。

剛才我們提到互聯(lián)網(wǎng)出口已經(jīng)告急，為了完成互聯(lián)網(wǎng)出口的擴(kuò)容，當(dāng)前最好的辦法就是將出口連接至流控設(shè)備上，這是最有效也是最直接的方法，但是兩臺(tái)流控設(shè)備的硬件只能承載10G的流量，目前兩臺(tái)設(shè)備都已經(jīng)超負(fù)荷運(yùn)行。

為了避免設(shè)備超負(fù)荷運(yùn)行而帶來的安全隱患，只有增加大容量流控設(shè)備，或者直接將互聯(lián)網(wǎng)出口下移至兩臺(tái)核心路由器上，也就是將流控設(shè)備-1撤掉，只保留流控設(shè)備-2用來連接第三方出口。

這樣將省公司出口連接至核心路由器上，第三方出口繼續(xù)保留在流控設(shè)備-2上。因此就會(huì)涉及到在兩臺(tái)核心路由器上IP地址如何選路的問題，這兒有兩個(gè)方案可供選擇：

第一種，在核心路由器上應(yīng)用策略路由，基于不同的源地址使用將數(shù)據(jù)直接送達(dá)至省公司或者流控設(shè)備-2上。

第二種，將使用省公司的出口使用策略路由進(jìn)行轉(zhuǎn)發(fā)，然后在核心路由器上配置默認(rèn)路由，指向流控設(shè)備-2。

接下來我們將具體分析這兩個(gè)方案的可行性。方案一是最容易想到的方法，擁有多個(gè)出口，就要使用基于源地址的策略路由，即用省公司出口的IP地址段指向省公司方向，用第三方出口的IP地址指向流控設(shè)備-2。

這樣比較容易實(shí)現(xiàn)，其原理也很簡單，但是方案一應(yīng)用到我們目前的實(shí)際網(wǎng)絡(luò)中就會(huì)出現(xiàn)水土不服的癥狀，具體原因是我們在城區(qū)BRAS-1上部署了多臺(tái)10.66.64.1/21的服務(wù)器，在核心路由器-1也部署了172.29.0.0/24的服務(wù)器。這兩段IP地址有兩個(gè)需求：

第一，需要從其他BRAS上來的部分地址可以訪問這些服務(wù)器。

第二，這些服務(wù)器都具有上網(wǎng)的需求，因?yàn)檫@兩段地址并非省公司合法的地址，所以只能使用第三方出口，即走流控設(shè)備-2。

我們剛才說到按照方案一在核心路由器上應(yīng)用策略路由，這樣會(huì)出現(xiàn)從BRAS上來的匹配策略路由條目的IP地址被直接送至省公司或者第三方出口，導(dǎo)致不能正常訪問服務(wù)器，這是為什么呢？

原來省公司出口的IP地址與服務(wù)器通訊時(shí)，使用的是BGP路由，而策略路由的優(yōu)先級(jí)要高于BGP路由，所以就會(huì)出現(xiàn)使用省公司出口的IP地址不能正常訪問服務(wù)器。同樣的道理使用第三方出口的IP地址也不能正常訪問服務(wù)器。

我們曾經(jīng)嘗試在策略路由的ACL條目中定義基于目的地址的策略，但是該服務(wù)器有訪問互聯(lián)網(wǎng)的需求，還需要在定義基于源地址的ACL，這樣就會(huì)引起路由器條目匹配的問題，導(dǎo)致數(shù)據(jù)來回轉(zhuǎn)發(fā)錯(cuò)誤，所以方案一不可行，否定！

為了同時(shí)滿足上述條件，我們可以打破思維，重新考慮網(wǎng)絡(luò)需求。既然使用省公司出口的IP地址很多，那么我們就可以定義使用省公司出口的IP地址來匹配策略路由，而剩下的IP地址包括其他的省公司不認(rèn)可的地址一律通過流控設(shè)備。具體哪些IP地址可以訪問互聯(lián)網(wǎng)，我們在流控設(shè)備-2上再做具體的要求。

這樣，除了使用省公司出口的IP地址直接匹配策略路由被轉(zhuǎn)發(fā)出去，剩下的IP地址段包括服務(wù)器IP地址則通過默認(rèn)路由轉(zhuǎn)發(fā)至流控設(shè)備-2上。大家都知道，默認(rèn)路由的優(yōu)先級(jí)最低，有訪問服務(wù)器需求的IP地址（不在省公司出口的IP地址范圍內(nèi)）可以使用BGP路由通信。

我們仔細(xì)核實(shí)了訪問服務(wù)器的網(wǎng)段均是172.24.0.0/16、172.23.0.0/16和10.66.64.1/21/的地址，而這些地址使用的都是第三方出口，這樣就會(huì)保證它們在匹配默認(rèn)路由前使用BGP路由進(jìn)行訪問。現(xiàn)在我們既解決了服務(wù)器需要上網(wǎng)的問題，又保證了與服務(wù)器通訊的需求，達(dá)到了一石二鳥的好效果。

接下來我們開始配置設(shè)備，這里主要介紹一下策略路由在核心路由上的使用，其他的配置這里就不再介紹。

ipv4-access-list SHENGGONGSI

rule 2 permit 10.220.240.0 0.0.7.255

rule 3 permit 10.219.96.0 0.0.15.255

rule 4 permit 10.219.128.0 0.0.15.255

rule 5 permit 10.219.176.0 0.0.7.255

rule 6 permit 10.219.160.0 0.0.15.255

rule 7 permit 10.219.60.0 0.0.3.255

rule 8 permit 10.219.36.0 0.0.3.255

rule 9 permit 10.219.48.0 0.0.3.255

//創(chuàng)建ACL列表，并在ACL列表中增加條目

route-map ZTE permit 10

//創(chuàng)建route-map

match ip address SHENGGONGSI

//匹配ACL列表

set ip next-hop 192.168.0.89

//設(shè)置下一跳地址

ip policy interface xgei-0/0/0/1 route-map ZTE

ip policy interface smartgroup4 route-map ZTE

ip policy interface smartgroup11 route-map ZTE

ip policy interface smartgroup12 route-map ZTE

ip policy interface smartgroup13 route-map ZTE

ip policy interface smartgroup15 route-map ZTE

ip policy interface smartgroup16 route-map ZTE

ip policy interface smartgroup19 route-map ZTE

ip policy interface smartgroup20 route-map ZTE

ip policy interface smartgroup21 route-map ZTE

ip poli--cy interface smartgroup22 route-map ZTE

//在端口上應(yīng)用策略路由

通過上面的配置，完成了核心路由器上使用省公司出口的IP地址匹配策略路由，其他的IP地址匹配默認(rèn)路由指向流控設(shè)備-2。

設(shè)備配置完，我們對網(wǎng)絡(luò)進(jìn)行了測試，包括對使用省公司出口、使用第三方出口以及訪問服務(wù)器的情況進(jìn)行長時(shí)間監(jiān)視，結(jié)果正常。這樣本次互聯(lián)網(wǎng)出口的擴(kuò)容和網(wǎng)絡(luò)的優(yōu)化升級(jí)成功。

這次我們根據(jù)當(dāng)前的網(wǎng)絡(luò)情況以及自身網(wǎng)絡(luò)的需求，合理的使用路由之間的優(yōu)先級(jí)，巧妙的將策略路由、BGP路由和默認(rèn)路由進(jìn)行了混搭，在完成互聯(lián)網(wǎng)出口擴(kuò)容的基礎(chǔ)上，也滿足了現(xiàn)有網(wǎng)絡(luò)通訊的需要，達(dá)到了兩全其美的效果，并且有效地保證了網(wǎng)絡(luò)結(jié)構(gòu)在最小程度改變的情況下，完成網(wǎng)絡(luò)需求，真正做到了小動(dòng)作解決大問題的效果。