策略路由技術(shù)在多鏈路網(wǎng)絡(luò)中的應(yīng)用

1、策略路由技術(shù)在多鏈路網(wǎng)絡(luò)中的應(yīng)用摘 要：單鏈路出口的網(wǎng)絡(luò)已經(jīng)越來越不適應(yīng)網(wǎng)絡(luò)的飛速發(fā)展。而結(jié) 合實際情況對現(xiàn)有的網(wǎng)絡(luò)進行升級改造，增加一路鏈路作為出口，并在核 心交換機上應(yīng)用策略路山技術(shù)對不同vlan進行鏈路的選擇，可實現(xiàn)對網(wǎng) 絡(luò)流量的分流，提升了網(wǎng)絡(luò)的訪問速度，從而達到對網(wǎng)絡(luò)整體性能的提高。關(guān)鍵詞：核心交換機 策略路由vlan網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和網(wǎng)內(nèi)用戶及網(wǎng)絡(luò)中各種應(yīng)用軟件的不斷壯大 和更新，導(dǎo)致網(wǎng)絡(luò)流量的增加而影響了網(wǎng)絡(luò)速度，這對網(wǎng)絡(luò)提出了更進一 步的要求。單路由或者單防火墻等單鏈路作為外網(wǎng)出口的情況已經(jīng)不能適 應(yīng)網(wǎng)絡(luò)技術(shù)的發(fā)展需求。為了給用戶提供一個更快速、更安全可靠、更穩(wěn) 定的網(wǎng)絡(luò)平臺

2、，筆者在原冇單鏈路作為出口的情況下進行網(wǎng)絡(luò)改造，增加 了另一路鏈路出口并利用策略路由技術(shù)實現(xiàn)對不同鏈路的路由選擇。一、策略路山技術(shù)策略路由即pbr (policy-based routing)是路由技術(shù)中的一項新技 術(shù)。它是一種靈活性強的轉(zhuǎn)發(fā)機制。在傳統(tǒng)路由中，路由器在由路由協(xié)議 產(chǎn)生的路由表屮，根據(jù)目的地址轉(zhuǎn)發(fā)報文。相比之下，策略路由的靈活性 在于，它除了能夠根據(jù)目的地址轉(zhuǎn)發(fā)報文，還能根據(jù)協(xié)議類型、報文大小、 源ip地址等等來選擇轉(zhuǎn)發(fā)路徑。簡單地說,只要ip標準或擴展的訪問控 制列表(standard/extended acl)能設(shè)置的,都可以作為策略路由的匹配規(guī)則進行轉(zhuǎn)發(fā)。它可以進行多種組

3、合的路由選擇，有效地控制網(wǎng)絡(luò)的負 載均衡、單一鏈路上報文轉(zhuǎn)發(fā)的qos或者滿足某種特定需求。在具體的應(yīng)用中，策略路由有基于日的地址策略、基于源地址策略和 智能均衡的策略：基于目的地址的策略路由一般用于網(wǎng)絡(luò)的出口，針對訪 問不同的日的地設(shè)置不同的路由；基于源地址的策略路由，主要針對數(shù)據(jù) 包的來源設(shè)置不同策略規(guī)則，這樣可以根據(jù)用戶ip地址的不同設(shè)置不同 的策略路由，源地址策略路由適合于對不同級別的用戶設(shè)置不同的路由策 略。而智能均衡的策略方式，是策略路由的發(fā)展趨勢。二、策略路由技術(shù)的應(yīng)用1網(wǎng)絡(luò)拓撲結(jié)構(gòu)網(wǎng)絡(luò)拓撲結(jié)構(gòu)如下圖所示，結(jié)合粵東高級技丁學(xué)校網(wǎng)絡(luò)實例。改造前 是以ii3c f1000-a防火墻作為

4、單鏈路出口，使用電信100m的光纖，所有 的流量都從此鏈路出去，防火墻壓力巨大，容易造成上網(wǎng)速度卡，以及防 火墻cpu被高度占用的情況，導(dǎo)致設(shè)備性能下降、死機等問題。我們利用 原有的移動30m的光纖進行網(wǎng)絡(luò)改造，加入h3c u200防火墻作為另一個 鏈路的出口。圖網(wǎng)絡(luò)拓撲結(jié)構(gòu)由于不是單路由器（防火墻）雙鏈路出口，而是雙路由器（防火墻） 雙鏈路出口。所以我們沒冇選擇基于目的的策略路由應(yīng)用到鏈路出口上， 而是把策略路由布置在核心交換機cisco catalyst 3560 ±,這就是基于 源地址的策略路山。因此我們根據(jù)不同的vlan,設(shè)置不同的策略路山，實 現(xiàn)了網(wǎng)絡(luò)流量的分流。筆者將策略

5、路由布置在核心交換機上，更加符合實際的需求，也是進 一步升級改造的基礎(chǔ)。例如，在兩路鏈路的兩個出口設(shè)備上，可以再進行 基于冃的地址的策略路由，針對訪問不同的目的地設(shè)置不同的策略路由， 把流量再進行細分，兩臺設(shè)備可以變成4路鏈路出口，甚至可以通過升級 出口設(shè)備的模塊來達到擁有更多出口的目的。這就是智能均衡的策略方式 t,留待進一步升級改造需要，便可更進一步提高網(wǎng)絡(luò)的整體性能。2.策略路由技術(shù)的實現(xiàn)根據(jù)網(wǎng)絡(luò)改造的思路，我們把網(wǎng)內(nèi)劃分成四個vlan,分別為財務(wù)、辦 公、教學(xué)、豬舍。設(shè)計財務(wù)網(wǎng)段是從移動30m光纖訪問公網(wǎng)，其他三個網(wǎng) 段是從電信100m光纖訪問公網(wǎng)。由于cisco catalyst 3

6、560的ios版本 配備有ipbase和ipservices特性集,而ipservices特性集方可配置策 略路由。因原版本是ipbase,所以我們必須先把ios升級為ipservices0 此次改造的主要工作就是通過tftp服務(wù)器實現(xiàn)對核心交換機cisco catalyst 3560的ios升級，并在其上實現(xiàn)vlan的劃分、訪問控制列表 acl的控制和配置策略路由功能，使得網(wǎng)內(nèi)不同網(wǎng)段的計算機可以通過核 心交換機自動實現(xiàn)對不同路線的網(wǎng)絡(luò)出口的選擇。(1 ) i0s版本升級。由于原有的ios文件 c3560-ipbase-mz. 122-35. se5. bin無法實現(xiàn)策略路由功能，必須升級i

7、0s 文件,匹配的 i0s 文件為 c3560-ipservices-mz. 122-25. see1. bin。接下來的步驟是配置tftp服務(wù)器，使得它可以實現(xiàn)在交換機上對文 件的上傳與下載的功能。下載tftp文件cisco tftp server,并運行文件。 然后進入3560的配置，通過指令把原有的i0s文件下載下來保存，然后 再把交換機上的i0s刪掉，再上傳新的i0s,具體的操作如下:執(zhí)行備份前先用dir cd、pwd等命令查看交換機flash中的日錄結(jié) 構(gòu)。此交換機ios的bin文件以及html文件夾都在flash中的 c3560一ipbase一mz. 122-35. se5 目錄卜

8、。%1 刪除原tos,將原tos備份到ip為192. 168. 1. 100的tftp服務(wù)器 上并刪除交換機上的i0s文件。%1 上傳新的ios,將新i0s復(fù)制到flash的根目錄下。%1 讓交換機用新的i0s啟動。啟動完成后就實現(xiàn)了對i0s的更新。（2）vlan的劃分和訪問控制列表acl。在實現(xiàn)策略路由的功能之前, 先對vlan進行劃分。vlanl為網(wǎng)絡(luò)設(shè)備的管理地址，再劃分四個vlan, 辦公vlan2、教學(xué)vlan3>宿舍vlan4和財務(wù)vlanloo,并且通過訪問控 制列表acl控制四個vlan不可互訪。%1 設(shè)置vlanl即是管理地址為192. 168. 1. 2作為3560的

9、管理地址。%1 設(shè)置vlan2的地址為192. 168. 2. 1,并且設(shè)置編號為151的vlan2的訪 問列表，實現(xiàn)vlan2不能訪問到vlan3> vlan4和vlanloo,具體如下：%1 設(shè)置vlan3的地址為192. 168. 3. 1,并且設(shè)置編號為152的vlan3 的訪問列表，實現(xiàn)vlan3不能訪問到vlan2> viand和vlanloo,具體如下:%1 設(shè)置vlanloo的地址為192. 168. 100. 1,并且設(shè)置編號為153的 vlanloo的訪問列表，實現(xiàn)vlanloo不能訪問到vlan2> vlan3和vlan4, 具體如下：這樣就實現(xiàn)了對vl

10、em的劃分，為每一個vlan分配了地址，并.且通過訪問控制列表acl的控制使得四個網(wǎng)段vlan2> vlan3> viand和vlanloo 之間不能互訪了。(3) 策略路由的實現(xiàn)。前面已經(jīng)實現(xiàn)了不同網(wǎng)段不能互訪的功能， 接下來是如何設(shè)置使得財務(wù)網(wǎng)vlanloo和其他三個網(wǎng)段vlan2、vlan3和 vlan4可以通過3560交換機實現(xiàn)對不同路由線路的自動選擇，也就是策略 路山的實現(xiàn)。具體的步驟如下：%1 設(shè)置編號為100的訪問列表,實現(xiàn)把vlanloo與vlan2、vlan3、vlan4 和vbnl等分開，作為策略路由應(yīng)用的前提條件，目的是要讓vlanloo與 vlan2>

11、 vlan3> vlan4等走不同的路由線路。%1 接下來做一條默認路由的指令，使得默認的通路是走192.168. 1.1 即為h3c f1000-a防火墻這個地址的路由的,即vlan2. vlan3和vlan4 會從電信100m訪問公網(wǎng)。指令如下：%1 接下來把3560上連接到h3c u200防火墻(地址為192. 168. 168. 2) 的端口 fastetherneto/1設(shè)定一個地址，此地址必須跟防火墻地址 192. 168. 16& 2為同一個網(wǎng)段才可以實現(xiàn)通路，把這個端口的地址設(shè)定為 192. 168.168.1,具體如下：%1 接下來是實現(xiàn)策略路由，設(shè)置一個名為c

12、aiwu的路由表，匹配了編 號為100的訪問列表，并且把這個列表的下一跳指定到192. 16& 16& 2, 即是到h3c u200防火墻的地址上去，就是讓財務(wù)網(wǎng)段vlanloo從這條路 由線路訪問公網(wǎng)，而不是選擇192. 168. 1. 1即為h3c f1000-a這條默認路 山。%1 最后一個步驟是要把caiwu這個策略路由應(yīng)用到vlanloo中，就啟用了策略路由功能。通過以上步驟，我們實現(xiàn)了在核心交換機上對vlanloo和vlan2. vlan3 viand的不同策略路由的自動選擇。三、結(jié)論通過網(wǎng)絡(luò)改造，我們在核心交換機cisco catalyst 3560 _h實現(xiàn)了對 vlan的劃分、vlan間的訪問控制和策略路山，對不同網(wǎng)段使用ping和 tracert等指令測試網(wǎng)段對鏈路的選擇，效果顯著。策略路由實現(xiàn)了不同 的網(wǎng)段對不同的鏈路的選擇，實現(xiàn)了対網(wǎng)絡(luò)流量的分流，有效地控制了單 鏈路流量太大導(dǎo)致網(wǎng)絡(luò)不穩(wěn)泄的情況，提升了網(wǎng)絡(luò)訪問速度，從而提高了 網(wǎng)絡(luò)的整體性能。這充分證明了策略路由技術(shù)在實現(xiàn)復(fù)雜的網(wǎng)絡(luò)功能時的 強大優(yōu)勢。參考文獻：1 詹偉薄策略路由技術(shù)在多出