林爍銘，羅浩銘

（惠州經濟職業(yè)技術學院，廣東惠州，515057）

1 概述

隨著半導體技術的飛速發(fā)展,通用處理器的性能得到了極大地提高,在某些特定的場合已經可以勝任很多之前只有專用處理器才能完成的任務。隨著硬件技術的發(fā)展, 普通服務器與專用硬件路由器的硬件性能差距縮短,使得我們能夠使用普通服務器配置軟路由來代替專用硬件路由器.本論文路由器整機是基于x86架構的主流PC機并增加網卡，并在VMware 虛擬機上安裝Ruter OS，pfsense和Oper WRT等適用于嵌入式設備的 Linux 發(fā)行版本，搭建一個具有開放性和易用性的路由器，幫助中小企業(yè)管理辦公室網絡。

2 關鍵技術

此路由器在主流PC上安裝VMware EXSI虛擬機系統(tǒng)，在VMware EXSI平臺上安裝Ruter OS、Pfsense和Open wrt系統(tǒng)，并通過內部邏輯交換機，搭建一個功能強大的路由器。

PC主機：本文路由器使用的PC主機為DELL OptiPlex 9020，4 CPUs x Intel(R) Xeon(R) CPU E3-1265L v3 @2.50GHz，內存16G。

VMware EXSI：VMware ESXI適用于X86架構的虛擬計算機軟件。它能提供完全動態(tài)的資源可測量控制，可以實現(xiàn)服務器部署整合，為企業(yè)未來成長所需擴展空間，可因兼并服務器減少設備購買及維護成本。讓IT人員做更有效的資源調度，并獲得更好且安全周密的防護，當系統(tǒng)發(fā)生災難時，可以在最短時間迅速復原系統(tǒng)的運作。本論文路由器使用的EXSI版本為免費版本，功能滿足要求。

Router OS：一種路由操作系統(tǒng)，并通過該軟件將標準的PC電腦變成專用的路由器，在軟件的開發(fā)和應用上不斷的更新和發(fā)展，功能在不斷增強和完善。特別在無線、認證、策略路由、帶寬控制和防火墻過濾等功能上有著非常突出的功能。

Open WRT ：一個為嵌入式設備(通常是無線路由器)開發(fā)的高擴展度的GNU/Linux發(fā)行版。

PFsense：一個基于FreeBSD,專為防火墻和路由器功能定制的開源版本。它被安裝在計算機上作為網絡中的防火墻和路由器存在,并以可靠性著稱。

3 平臺分析

■3.1 平臺的需求分析

目前，在企業(yè)與外部網絡的交接處通常部署防火墻作為通信必要設備。企業(yè)通常購買思科，華為等廠家的硬件防火墻。并且企業(yè)內部網絡架構設計、部署和維護基本由廠家完成，廠家固定，成本高。本論文采用軟件路由器取代專業(yè)硬件路由器，有效降低中小企業(yè)網絡部署和維護成本，增加部署和維護的靈活性，可擴展性。

X86架構PC機上實現(xiàn)軟路由功能，即可擁有企業(yè)級的路由器及防火墻，具有上網行為管理，流量控制，抵御外界網絡攻擊等防火墻功能。從性能上，軟路由的硬件架構是基于當前的主流PC，使用了X86架構的處理器性能要遠遠優(yōu)于專業(yè)路由器設備。電腦端擴展性很強，容易添加內存提升整體的數(shù)據(jù)吞吐量。從價格上，實現(xiàn)同樣性能的軟路由，價格要遠遠低于硬路由。

■3.2 平臺的可行性分析

從技術可行性的角度分析，硬件上可選PC主機，并增加多網口網卡。軟件上，虛擬機平臺選擇使用WMware EXSi，EXSi直接運行在硬件上，在ESXi 服務器上創(chuàng)建多個VM（虛擬機），在為這些虛擬機安裝好不同的路由系統(tǒng)，包括OpenWRT、Router OS 和Pfsense 系統(tǒng)。使之成為能提供各種網絡應用服務的虛擬服務器。ESXi 也是從內核級支持硬件虛擬化，運行于其中的虛擬服務器在性能與穩(wěn)定性上不亞于普通的硬件服務器，而且更易于管理維護。

VMware ESXi提供虛擬化層組件的作用。ESXi用于協(xié)調物理計算機的資源，同時通過ESXi管理其上的虛擬機，進行部署、遷移等操作。 同時還可以通過ESXi對物理計算機上的網絡存儲資源進行管理，ESXi通過配置虛擬交換機上的vSwitch管理配置網絡資源。

從經濟可行性的角度分析，硬件主機可選使用了3到5年的PC主機。虛擬機VMware ESXi提供免費版本，免費版本的功能足夠完成任務。路由系統(tǒng)OpenWRT、Router OS和Pfsense都是免費的。

因此，從技術和經濟可行性來看，平臺的開發(fā)應用是可行的。

■3.3 平臺的功能分析

3.3.1 平臺的角色

本論文的軟路由器主要做為企業(yè)網絡管理中心，既提供連接互聯(lián)網運營商的出口防火墻功能，也提供內部網絡管理功能，在一般的網絡架構中，充當核心層交換機或路由器，以及出口防火墻的地位。

3.3.2 功能分析

3.3.2.1 平臺的管理

虛擬機VMware ESXi提供web接入，在ESXi的web頁面，為各個路由系統(tǒng)提供控制臺窗口。在控制臺窗口上，可使用命令行對各個路由系統(tǒng)進行管理和配置。除了ESXi的控制臺窗口，各個路由系統(tǒng)還提供web接入。在web頁面，可以對各個路由系統(tǒng)進行高級功能配置和管理。實現(xiàn)各個路由系統(tǒng)web接入的原因是EXSi自帶虛擬交換機，而虛擬交換機連接物理主機的網口，那么外部的管理主機就可以通過網口接入各個路由系統(tǒng)。

3.3.2.2 內部網絡管理

在物理接入上，物理主機增加了多網口網卡，網卡提供網口給其它PC主機、交換機和無線路由器接入。在功能上，此軟路由器平臺提供DHCP功能，為用戶分配IP地址；提供DNS服務器功能，內部用戶訪問企業(yè)內部web服務器和其它服務器時提供DNS解析服務；提供DNS解析分流功能，在用戶訪問互聯(lián)網時，分流到出口。

3.3.2.3 外部網絡管理

此軟路由器平臺提供PPPoE撥號和固定IP連接運營商網絡功能；提供NAT功能，為內部用戶訪問互聯(lián)網提供地址轉換；提供防火墻功抵御外部網絡攻擊。為企業(yè)提供企業(yè)分支機構之間互聯(lián)，提供的方式多種，包括PPTP，L2TP/IPSec PSK、Open Vpn等。

4 平臺設計

■4.1 平臺技術架構設計

平臺采用WMware EXSi虛擬化機構。在WMware EXSi虛擬化系統(tǒng)上安裝路由系統(tǒng)。架構設計圖如圖1所示。

圖1 WMware EXSI 平臺架構

■4.2 平臺邏輯連接設計

此VMware EXSi虛擬化套件自帶虛擬交換機實現(xiàn)路由系統(tǒng)之間的連接，并且虛擬交換機能與物理機的網絡接口進行連接，實現(xiàn)虛擬路由系統(tǒng)與外界設備也能進行連接。本論文的軟路由器平臺的邏輯連接設計如圖2所示。

圖2 軟路由平臺邏輯設計

■4.3 平臺功能設計

在VMware EXSi上的各個路由系統(tǒng)負責的功能如表1所示。

表1 各路由系統(tǒng)的功能

■4.4 平臺業(yè)務流程設計

用戶在上網的過程中，通過Pfsense1的DHCP服務器獲得IP地址。網關為一個Router OS系統(tǒng)，此Router OS做為內部網絡訪問內部網和互聯(lián)網的DNS緩存，提供DNS轉發(fā)功能，把用戶的DNS請求消息發(fā)給Open Wrt系統(tǒng)。OpenWrt系統(tǒng)提供DNS分流功能。當內部用戶訪問企業(yè)內網web服務器和其它服務器時，DNS請求就會發(fā)給Pfsense-2進行DNS解析。而當內部用戶訪問互聯(lián)網時，此DNS請求消息就會發(fā)給Router OS主路由器，由這個RouterOS主路由向外部的DNS服務器請求DNS解析。

5 平臺實現(xiàn)

■5.1 硬件平臺的實現(xiàn)

本方案硬件平臺采用DELL OptiPlex 9020，加裝16G內存和4個1000M網口的網卡，把原機械硬盤替換為128G固態(tài)硬盤。

■5.2 軟件平臺的實現(xiàn)

5.2.1 ESXi的安裝和管理配置

軟件虛擬機平臺采用ESXi-6.7.0標準版本。ESXi不依賴于任何操作系統(tǒng)，它本身就可以看作一個操作系統(tǒng)，可直接在PC機上安裝。安裝過程與普通Liunx安裝過程相似。安裝完成后，可使用web瀏覽器登錄EXSi。登錄EXSi第一步要設置網卡直通，把PC主機的網卡接入EXSi進行管理。接著添加虛擬交換機，根據(jù)圖2所示的邏輯連接圖，wlan交換機連接PC機的0號接口，而lan1，lan2和lan3交換機分別連接PC機的1號，2號和3號接口，為各個路由系統(tǒng)的連接做好準備。

5.2.2 各路由系統(tǒng)的安裝

各路由系統(tǒng)需要在ESXi系統(tǒng)上作為虛擬機運行。因此需要登錄ESXi上，使用ESXi上的工具來進行安裝。安裝過程類似在VMware workstation上安裝Linux操作系統(tǒng)。以安裝Router OS為例，首先新建虛擬機，設置客戶機操作系統(tǒng)系列Linux，以及存儲設置；接著創(chuàng)建目錄，上傳Router OS固件；接著添加PCI設備，其實就是虛擬網口，安裝之后可以連接虛擬交換機接口；最后完成安裝。

5.2.3 各路由系統(tǒng)的連接和配置管理

各個路由系統(tǒng)安裝完成之后，根據(jù)之前的邏輯連接設計在把各個路由系統(tǒng)通過EXSi上的虛擬交換機連接起來，組成一個功能強大的復合型的路由器平臺。接下來根據(jù)各個路由系統(tǒng)在平臺擔任的功能角色進行配置。以負責主路由的Router OS的為例說明。

5.2.3.1 Router OS登錄

設置使用WinBox，首先Winbox可以通過mac地址找到Router OS系統(tǒng)，初始使用mac地址登錄，設置IP地址之后，可以用ip地址登錄，初始密碼為空。

5.2.3.2 設置網口和地址

Router OS系統(tǒng)上的一個接口，此接口連接EXSi上名為wlan虛擬交換機，此交換機連接PC主機的一個0號網口，因此設置此接口為撥號口，定義為wan口。其它接口作為連接其它路由系統(tǒng)的接口，定義為lan口，根據(jù)邏輯連接圖配置IP地址。

接著實現(xiàn)PPPOE撥號，定義各一個PPPOE client接口，選擇wan口作為撥號出口，設置撥號的賬號和密碼。

5.2.3.3 設置防火墻和外部DNS

Router OS自帶防火墻功能，在防火前選項中新建NAT規(guī)則，在“action”選項卡中，選擇masquerade，地址偽裝選項，這樣防火墻的NAT就設置完成了。然后設置防火前的過濾規(guī)則，如禁止某些IP地上網，禁止訪問某些外網IP地址。在DNS選項卡中設置外部互聯(lián)網運營商提供的DNS地址，為內部用戶連接互聯(lián)網提供DNS解析服務。

■5.3 各個路由系統(tǒng)的配置

除了上面的主路由Router OS的設置外，還需要完成擔任DNS緩存功能的Router OS設置；負責DNS分流的Open WRT的設置；負責DHCP功能的pfsense-1的設置；負責企業(yè)內網DNS解析服務的pfsense-2的設置。完成這些設置之后，這臺高性能的路由平臺才能正常工作。

6 平臺測試云運行

業(yè)務測試是設備集成開發(fā)必不可少的重要環(huán)節(jié)。平臺在開發(fā)過程中，始終堅持變開發(fā)變測試的做法，在不同的階段測試相應的功能。例如，在完成ESXi的邏輯交換機連接物理PC機接口后，通過連接網線，測試EXSi對物理接口的狀態(tài)獲取。在各個路由系統(tǒng)接口完成連接并配置IP地址之后，測試各個接口的連接是否正常。在完成安裝主路由Router OS之后進行配置防火墻。測試防火墻的功能。

7 結束語

本文對軟路由平臺進行分析、設計，運用WMware EXSi虛擬機架設平臺，安裝各種路由系統(tǒng)包括Router OS、Open WRT和Pfsense，使用虛擬交換機實施連接系統(tǒng)內部和主機外部網卡，實現(xiàn)一個功能強大的軟路由器。從平臺運行的情況來看，能有效的進行網絡流量分流，并有效的限制內部用戶的上網行為。為中小型企業(yè)提供一個低成本的網絡管理中心平臺選項。