淺談基于策略的路由應用

張傳嶺

摘 要：本文介紹了在IP網絡中傳統的路由方式與策略路由的區別、策略路由的應用場景，以及如何通過策略路由靈活控制數據包的流轉，并通過實例進行了驗證。

關鍵詞：路由表；策略路由；IP地址；策略

通常來說，路由器中IP報文的轉發是根據路由表來轉發。路由表中主要包含以下關鍵項：目的地址/掩碼、下一跳地址、出接口和度量值。路由器根據最長匹配原則匹配目的IP地址轉發數據。IP報文中的其他信息不作為報文轉發的依據。這種機制下，路由器只根據報文的目的IP為用戶提供比較單一的路由方式，數據流只能沿著路由協議產生的路徑流動，而不能根據數據流的種類及應用要求選擇最佳路徑。

一、基于策略的路由（PBR）概述

基于策略的路由（Policy-Based-Route，簡稱策略路由）是一種靈活的數據包路由轉發機制，可依據用戶指定的策略進行路由選擇的機制，比如IP報文的源地址、協議類型、長度等信息。當數據包經過路由器轉發時，路由器根據預先設定的策略對數據包進行匹配，如果匹配到一條策略，就根據該條策略指定的路由進行轉發；如果沒有匹配到任何策略，就使用路由表來根據目的地址對報文進行路由。

策略路由主要應用在企業路由表復雜或者需要對路由進行控制的情況下，特別是當企業網絡出口有兩條甚至多條，需要對不同服務和應用或者不同客戶端的路由進行控制時，當然企業內部運行兩個網絡或者更多的網絡時也經常要用到路由策略；另外，策略路由除了應用在非正常的路由選路之外，它還可以用來防止病毒或黑客的攻擊，使用條件語句將病毒或攻擊的特征碼匹配出來，然后再指定一個安全策略（如使用黑洞路由）將攻擊阻斷。

黑洞路由是對動態路由選擇協議的一個補充。黑洞路由可以將不想要的流量轉發到一個稱為null0的接口中去。我們可以建立一條或一些靜態路由，將精確匹配這些路由的流量丟棄。

二、基于策略的路由（PBR）實例解析

下面我們就以一個實驗來描述策略路由根據源地址不同選擇不同鏈路轉發的功能。

企業路由器RT的G0/0口作為內部網絡的網關，地址為10.0.0.1，內部網絡有一個FTP服務器，IP地址為10.0.0.2，和一個Web服務器， IP地址為10.0.0.3。有兩條互聯網出口，使用G2/0和G2/1與ISP互聯，接口IP分別為11.0.0.0/30和12.0.0.0/30。Internet上有一臺IP地址為20.0.0.2的PC。要求使用PBR實現FTP服務器到Internet的數據流使用G2/0發送，Web服務器到Internet的數據流使用G2/1發送。網絡拓撲如下：

在路由器上配置相關的地址，并測試與10.0.0.2、10.0.0.3，11.0.0.1和11.0.0.2、12.0.0.1和12.0.0.2的連通性。

在路由器配置模式下執行如下操作：