淺談基于策略的路由應(yīng)用

張傳嶺

摘 要：本文介紹了在IP網(wǎng)絡(luò)中傳統(tǒng)的路由方式與策略路由的區(qū)別、策略路由的應(yīng)用場(chǎng)景，以及如何通過策略路由靈活控制數(shù)據(jù)包的流轉(zhuǎn)，并通過實(shí)例進(jìn)行了驗(yàn)證。

關(guān)鍵詞：路由表；策略路由；IP地址；策略

通常來說，路由器中IP報(bào)文的轉(zhuǎn)發(fā)是根據(jù)路由表來轉(zhuǎn)發(fā)。路由表中主要包含以下關(guān)鍵項(xiàng)：目的地址/掩碼、下一跳地址、出接口和度量值。路由器根據(jù)最長匹配原則匹配目的IP地址轉(zhuǎn)發(fā)數(shù)據(jù)。IP報(bào)文中的其他信息不作為報(bào)文轉(zhuǎn)發(fā)的依據(jù)。這種機(jī)制下，路由器只根據(jù)報(bào)文的目的IP為用戶提供比較單一的路由方式，數(shù)據(jù)流只能沿著路由協(xié)議產(chǎn)生的路徑流動(dòng)，而不能根據(jù)數(shù)據(jù)流的種類及應(yīng)用要求選擇最佳路徑。

一、基于策略的路由（PBR）概述

基于策略的路由（Policy-Based-Route，簡(jiǎn)稱策略路由）是一種靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機(jī)制，可依據(jù)用戶指定的策略進(jìn)行路由選擇的機(jī)制，比如IP報(bào)文的源地址、協(xié)議類型、長度等信息。當(dāng)數(shù)據(jù)包經(jīng)過路由器轉(zhuǎn)發(fā)時(shí)，路由器根據(jù)預(yù)先設(shè)定的策略對(duì)數(shù)據(jù)包進(jìn)行匹配，如果匹配到一條策略，就根據(jù)該條策略指定的路由進(jìn)行轉(zhuǎn)發(fā)；如果沒有匹配到任何策略，就使用路由表來根據(jù)目的地址對(duì)報(bào)文進(jìn)行路由。

策略路由主要應(yīng)用在企業(yè)路由表復(fù)雜或者需要對(duì)路由進(jìn)行控制的情況下，特別是當(dāng)企業(yè)網(wǎng)絡(luò)出口有兩條甚至多條，需要對(duì)不同服務(wù)和應(yīng)用或者不同客戶端的路由進(jìn)行控制時(shí)，當(dāng)然企業(yè)內(nèi)部運(yùn)行兩個(gè)網(wǎng)絡(luò)或者更多的網(wǎng)絡(luò)時(shí)也經(jīng)常要用到路由策略；另外，策略路由除了應(yīng)用在非正常的路由選路之外，它還可以用來防止病毒或黑客的攻擊，使用條件語句將病毒或攻擊的特征碼匹配出來，然后再指定一個(gè)安全策略（如使用黑洞路由）將攻擊阻斷。

黑洞路由是對(duì)動(dòng)態(tài)路由選擇協(xié)議的一個(gè)補(bǔ)充。黑洞路由可以將不想要的流量轉(zhuǎn)發(fā)到一個(gè)稱為null0的接口中去。我們可以建立一條或一些靜態(tài)路由，將精確匹配這些路由的流量丟棄。

二、基于策略的路由（PBR）實(shí)例解析

下面我們就以一個(gè)實(shí)驗(yàn)來描述策略路由根據(jù)源地址不同選擇不同鏈路轉(zhuǎn)發(fā)的功能。

企業(yè)路由器RT的G0/0口作為內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān)，地址為10.0.0.1，內(nèi)部網(wǎng)絡(luò)有一個(gè)FTP服務(wù)器，IP地址為10.0.0.2，和一個(gè)Web服務(wù)器， IP地址為10.0.0.3。有兩條互聯(lián)網(wǎng)出口，使用G2/0和G2/1與ISP互聯(lián)，接口IP分別為11.0.0.0/30和12.0.0.0/30。Internet上有一臺(tái)IP地址為20.0.0.2的PC。要求使用PBR實(shí)現(xiàn)FTP服務(wù)器到Internet的數(shù)據(jù)流使用G2/0發(fā)送，Web服務(wù)器到Internet的數(shù)據(jù)流使用G2/1發(fā)送。網(wǎng)絡(luò)拓?fù)淙缦拢?/p>

在路由器上配置相關(guān)的地址，并測(cè)試與10.0.0.2、10.0.0.3，11.0.0.1和11.0.0.2、12.0.0.1和12.0.0.2的連通性。

在路由器配置模式下執(zhí)行如下操作：