策略路由技術在多鏈路網絡中的應用

李媛

摘 要：單鏈路出口的網絡已經越來越不適應網絡的飛速發展。而結合實際情況對現有的網絡進行升級改造，增加一路鏈路作為出口，并在核心交換機上應用策略路由技術對不同vlan進行鏈路的選擇，可實現對網絡流量的分流，提升了網絡的訪問速度，從而達到對網絡整體性能的提高。

關鍵詞：核心交換機 策略路由 vlan

網絡技術的飛速發展和網內用戶及網絡中各種應用軟件的不斷壯大和更新，導致網絡流量的增加而影響了網絡速度，這對網絡提出了更進一步的要求。單路由或者單防火墻等單鏈路作為外網出口的情況已經不能適應網絡技術的發展需求。為了給用戶提供一個更快速、更安全可靠、更穩定的網絡平臺，筆者在原有單鏈路作為出口的情況下進行網絡改造，增加了另一路鏈路出口并利用策略路由技術實現對不同鏈路的路由選擇。

一、策略路由技術

策略路由即PBR（Policy-Based Routing）是路由技術中的一項新技術。它是一種靈活性強的轉發機制。在傳統路由中，路由器在由路由協議產生的路由表中，根據目的地址轉發報文。相比之下，策略路由的靈活性在于，它除了能夠根據目的地址轉發報文，還能根據協議類型、報文大小、源IP地址等等來選擇轉發路徑。簡單地說，只要IP標準或擴展的訪問控制列表（Standard/Extended ACL）能設置的，都可以作為策略路由的匹配規則進行轉發。它可以進行多種組合的路由選擇，有效地控制網絡的負載均衡、單一鏈路上報文轉發的QOS或者滿足某種特定需求。

在具體的應用中，策略路由有基于目的地址策略、基于源地址策略和智能均衡的策略：基于目的地址的策略路由一般用于網絡的出口，針對訪問不同的目的地設置不同的路由；基于源地址的策略路由，主要針對數據包的來源設置不同策略規則，這樣可以根據用戶IP地址的不同設置不同的策略路由，源地址策略路由適合于對不同級別的用戶設置不同的路由策略。而智能均衡的策略方式，是策略路由的發展趨勢。

二、策略路由技術的應用

1.網絡拓撲結構

網絡拓撲結構如下圖所示，結合粵東高級技工學校網絡實例。改造前是以H3C F1000-A防火墻作為單鏈路出口，使用電信100M的光纖，所有的流量都從此鏈路出去，防火墻壓力巨大，容易造成上網速度卡，以及防火墻CPU被高度占用的情況，導致設備性能下降、死機等問題。我們利用原有的移動30M的光纖進行網絡改造，加入H3C U200防火墻作為另一個鏈路的出口。

圖 網絡拓撲結構

由于不是單路由器（防火墻）雙鏈路出口，而是雙路由器（防火墻）雙鏈路出口。所以我們沒有選擇基于目的的策略路由應用到鏈路出口上，而是把策略路由布置在核心交換機Cisco catalyst 3560上，這就是基于源地址的策略路由。因此我們根據不同的vlan，設置不同的策略路由，實現了網絡流量的分流。

筆者將策略路由布置在核心交換機上，更加符合實際的需求，也是進一步升級改造的基礎。例如，在兩路鏈路的兩個出口設備上，可以再進行基于目的地址的策略路由，針對訪問不同的目的地設置不同的策略路由，把流量再進行細分，兩臺設備可以變成4路鏈路出口，甚至可以通過升級出口設備的模塊來達到擁有更多出口的目的。這就是智能均衡的策略方式了，留待進一步升級改造需要，便可更進一步提高網絡的整體性能。

2.策略路由技術的實現

根據網絡改造的思路，我們把網內劃分成四個vlan，分別為財務、辦公、教學、宿舍。設計財務網段是從移動30M光纖訪問公網，其他三個網段是從電信100M光纖訪問公網。由于Cisco catalyst 3560的IOS版本配備有ipbase和ipservices特性集，而ipservices特性集方可配置策略路由。因原版本是ipbase，所以我們必須先把IOS升級為ipservices。此次改造的主要工作就是通過tftp服務器實現對核心交換機Cisco catalyst 3560的IOS升級，并在其上實現vlan的劃分、訪問控制列表ACL的控制和配置策略路由功能，使得網內不同網段的計算機可以通過核心交換機自動實現對不同路線的網絡出口的選擇。

（1）IOS版本升級。由于原有的IOS文件C3560-ipbase-mz.122-35.SE5.bin無法實現策略路由功能，必須升級IOS文件，匹配的IOS文件為C3560-ipservices-mz.122-25.SEE1.bin。

接下來的步驟是配置tftp服務器，使得它可以實現在交換機上對文件的上傳與下載的功能。下載tftp文件Cisco TFTP Server，并運行文件。然后進入3560的配置，通過指令把原有的IOS文件下載下來保存，然后再把交換機上的IOS刪掉，再上傳新的IOS，具體的操作如下：

執行備份前先用dir、cd、pwd等命令查看交換機flash中的目錄結構。此交換機IOS的bin文件以及html文件夾都在flash中的C3560-ipbase-mz.122-35.SE5目錄下。

①刪除原IOS，將原IOS備份到IP為192.168.1.100的tftp服務器上并刪除交換機上的IOS文件。

②上傳新的IOS，將新IOS復制到flash的根目錄下。

③讓交換機用新的IOS啟動。

啟動完成后就實現了對IOS的更新。

（2）vlan的劃分和訪問控制列表ACL。在實現策略路由的功能之前，先對vlan進行劃分。vlan1為網絡設備的管理地址，再劃分四個vlan，辦公vlan2 、教學vlan3、宿舍vlan4和財務vlan100，并且通過訪問控制列表ACL控制四個vlan不可互訪。

①設置vlan1即是管理地址為192.168.1.2作為3560的管理地址。endprint

②設置vlan2的地址為192.168.2.1，并且設置編號為151的vlan2的訪問列表，實現vlan2不能訪問到vlan3、vlan4和vlan100，具體如下：

③設置vlan3的地址為192.168.3.1，并且設置編號為152的vlan3的訪問列表，實現vlan3不能訪問到vlan2、vlan4和vlan100，具體如下：

④設置vlan100的地址為192.168.100.1，并且設置編號為153的vlan100的訪問列表，實現vlan100不能訪問到vlan2、vlan3和vlan4，具體如下：

這樣就實現了對vlan的劃分，為每一個vlan分配了地址，并且通過訪問控制列表ACL的控制使得四個網段vlan2、vlan3、vlan4和vlan100之間不能互訪了。

（3）策略路由的實現。前面已經實現了不同網段不能互訪的功能，接下來是如何設置使得財務網vlan100和其他三個網段vlan2、vlan3和vlan4可以通過3560交換機實現對不同路由線路的自動選擇，也就是策略路由的實現。具體的步驟如下：

①設置編號為100的訪問列表，實現把vlan100與vlan2、vlan3、vlan4和vlan1等分開，作為策略路由應用的前提條件，目的是要讓vlan100與vlan2、vlan3、vlan4等走不同的路由線路。

②接下來做一條默認路由的指令，使得默認的通路是走192.168.1.1即為H3C F1000-A防火墻這個地址的路由的，即vlan2、vlan3和vlan4會從電信100M訪問公網。指令如下：

③接下來把3560上連接到H3C U200防火墻（地址為192.168.168.2）的端口FastEthernet0/1設定一個地址，此地址必須跟防火墻地址192.168.168.2為同一個網段才可以實現通路，把這個端口的地址設定為192.168.168.1，具體如下：

④接下來是實現策略路由，設置一個名為caiwu的路由表，匹配了編號為100的訪問列表，并且把這個列表的下一跳指定到192.168.168.2，即是到H3C U200防火墻的地址上去，就是讓財務網段vlan100從這條路由線路訪問公網，而不是選擇192.168.1.1即為H3C F1000-A這條默認路由。

⑤最后一個步驟是要把caiwu這個策略路由應用到vlan100中，就啟用了策略路由功能。

通過以上步驟，我們實現了在核心交換機上對vlan100和vlan2、vlan3、vlan4的不同策略路由的自動選擇。

三、結論

通過網絡改造，我們在核心交換機Cisco catalyst 3560上實現了對vlan的劃分、vlan間的訪問控制和策略路由，對不同網段使用ping和tracert等指令測試網段對鏈路的選擇，效果顯著。策略路由實現了不同的網段對不同的鏈路的選擇，實現了對網絡流量的分流，有效地控制了單鏈路流量太大導致網絡不穩定的情況，提升了網絡訪問速度，從而提高了網絡的整體性能。這充分證明了策略路由技術在實現復雜的網絡功能時的強大優勢。

參考文獻：

[1]詹偉薄.策略路由技術在多出口校園網絡中的應用[J].軟件導刊，2012（11）.

[2]陳志平.校園網絡安全與防火墻技術[J].現代計算機，2007（25）.

[3]羅達強.基于UTM策略路由的網絡多接入應用[J].甘肅科技縱橫，2013（42）.

[4]王建峰.訪問控制列表的應用與研究[J].咸寧學院學報，2007（6）.

[5]賀文華.基于三層交換與路由的CISCO設備的VLAN設置技術[J].網絡安全技術與應用，2006.

（作者單位：廣東省粵東高級技工學校）endprint

②設置vlan2的地址為192.168.2.1，并且設置編號為151的vlan2的訪問列表，實現vlan2不能訪問到vlan3、vlan4和vlan100，具體如下：

③設置vlan3的地址為192.168.3.1，并且設置編號為152的vlan3的訪問列表，實現vlan3不能訪問到vlan2、vlan4和vlan100，具體如下：

④設置vlan100的地址為192.168.100.1，并且設置編號為153的vlan100的訪問列表，實現vlan100不能訪問到vlan2、vlan3和vlan4，具體如下：

這樣就實現了對vlan的劃分，為每一個vlan分配了地址，并且通過訪問控制列表ACL的控制使得四個網段vlan2、vlan3、vlan4和vlan100之間不能互訪了。

（3）策略路由的實現。前面已經實現了不同網段不能互訪的功能，接下來是如何設置使得財務網vlan100和其他三個網段vlan2、vlan3和vlan4可以通過3560交換機實現對不同路由線路的自動選擇，也就是策略路由的實現。具體的步驟如下：

①設置編號為100的訪問列表，實現把vlan100與vlan2、vlan3、vlan4和vlan1等分開，作為策略路由應用的前提條件，目的是要讓vlan100與vlan2、vlan3、vlan4等走不同的路由線路。

②接下來做一條默認路由的指令，使得默認的通路是走192.168.1.1即為H3C F1000-A防火墻這個地址的路由的，即vlan2、vlan3和vlan4會從電信100M訪問公網。指令如下：

③接下來把3560上連接到H3C U200防火墻（地址為192.168.168.2）的端口FastEthernet0/1設定一個地址，此地址必須跟防火墻地址192.168.168.2為同一個網段才可以實現通路，把這個端口的地址設定為192.168.168.1，具體如下：

④接下來是實現策略路由，設置一個名為caiwu的路由表，匹配了編號為100的訪問列表，并且把這個列表的下一跳指定到192.168.168.2，即是到H3C U200防火墻的地址上去，就是讓財務網段vlan100從這條路由線路訪問公網，而不是選擇192.168.1.1即為H3C F1000-A這條默認路由。

⑤最后一個步驟是要把caiwu這個策略路由應用到vlan100中，就啟用了策略路由功能。

通過以上步驟，我們實現了在核心交換機上對vlan100和vlan2、vlan3、vlan4的不同策略路由的自動選擇。

三、結論

通過網絡改造，我們在核心交換機Cisco catalyst 3560上實現了對vlan的劃分、vlan間的訪問控制和策略路由，對不同網段使用ping和tracert等指令測試網段對鏈路的選擇，效果顯著。策略路由實現了不同的網段對不同的鏈路的選擇，實現了對網絡流量的分流，有效地控制了單鏈路流量太大導致網絡不穩定的情況，提升了網絡訪問速度，從而提高了網絡的整體性能。這充分證明了策略路由技術在實現復雜的網絡功能時的強大優勢。

參考文獻：

[1]詹偉薄.策略路由技術在多出口校園網絡中的應用[J].軟件導刊，2012（11）.

[2]陳志平.校園網絡安全與防火墻技術[J].現代計算機，2007（25）.

[3]羅達強.基于UTM策略路由的網絡多接入應用[J].甘肅科技縱橫，2013（42）.

[4]王建峰.訪問控制列表的應用與研究[J].咸寧學院學報，2007（6）.

[5]賀文華.基于三層交換與路由的CISCO設備的VLAN設置技術[J].網絡安全技術與應用，2006.

（作者單位：廣東省粵東高級技工學校）endprint

②設置vlan2的地址為192.168.2.1，并且設置編號為151的vlan2的訪問列表，實現vlan2不能訪問到vlan3、vlan4和vlan100，具體如下：

③設置vlan3的地址為192.168.3.1，并且設置編號為152的vlan3的訪問列表，實現vlan3不能訪問到vlan2、vlan4和vlan100，具體如下：

④設置vlan100的地址為192.168.100.1，并且設置編號為153的vlan100的訪問列表，實現vlan100不能訪問到vlan2、vlan3和vlan4，具體如下：

這樣就實現了對vlan的劃分，為每一個vlan分配了地址，并且通過訪問控制列表ACL的控制使得四個網段vlan2、vlan3、vlan4和vlan100之間不能互訪了。

（3）策略路由的實現。前面已經實現了不同網段不能互訪的功能，接下來是如何設置使得財務網vlan100和其他三個網段vlan2、vlan3和vlan4可以通過3560交換機實現對不同路由線路的自動選擇，也就是策略路由的實現。具體的步驟如下：

①設置編號為100的訪問列表，實現把vlan100與vlan2、vlan3、vlan4和vlan1等分開，作為策略路由應用的前提條件，目的是要讓vlan100與vlan2、vlan3、vlan4等走不同的路由線路。

②接下來做一條默認路由的指令，使得默認的通路是走192.168.1.1即為H3C F1000-A防火墻這個地址的路由的，即vlan2、vlan3和vlan4會從電信100M訪問公網。指令如下：

③接下來把3560上連接到H3C U200防火墻（地址為192.168.168.2）的端口FastEthernet0/1設定一個地址，此地址必須跟防火墻地址192.168.168.2為同一個網段才可以實現通路，把這個端口的地址設定為192.168.168.1，具體如下：

④接下來是實現策略路由，設置一個名為caiwu的路由表，匹配了編號為100的訪問列表，并且把這個列表的下一跳指定到192.168.168.2，即是到H3C U200防火墻的地址上去，就是讓財務網段vlan100從這條路由線路訪問公網，而不是選擇192.168.1.1即為H3C F1000-A這條默認路由。

⑤最后一個步驟是要把caiwu這個策略路由應用到vlan100中，就啟用了策略路由功能。

通過以上步驟，我們實現了在核心交換機上對vlan100和vlan2、vlan3、vlan4的不同策略路由的自動選擇。

三、結論

通過網絡改造，我們在核心交換機Cisco catalyst 3560上實現了對vlan的劃分、vlan間的訪問控制和策略路由，對不同網段使用ping和tracert等指令測試網段對鏈路的選擇，效果顯著。策略路由實現了不同的網段對不同的鏈路的選擇，實現了對網絡流量的分流，有效地控制了單鏈路流量太大導致網絡不穩定的情況，提升了網絡訪問速度，從而提高了網絡的整體性能。這充分證明了策略路由技術在實現復雜的網絡功能時的強大優勢。

參考文獻：

[1]詹偉薄.策略路由技術在多出口校園網絡中的應用[J].軟件導刊，2012（11）.

[2]陳志平.校園網絡安全與防火墻技術[J].現代計算機，2007（25）.

[3]羅達強.基于UTM策略路由的網絡多接入應用[J].甘肅科技縱橫，2013（42）.

[4]王建峰.訪問控制列表的應用與研究[J].咸寧學院學報，2007（6）.

[5]賀文華.基于三層交換與路由的CISCO設備的VLAN設置技術[J].網絡安全技術與應用，2006.

（作者單位：廣東省粵東高級技工學校）endprint