淺析三種路由的靈活應用

引言：對策略路由、動態路由和默認路由的靈活應用在整個核心網絡數據的轉發中起到至關重要的作用。下面筆者將從實際網絡結構出發，以擴容互聯網出口為契機，通過合理的使用這三種路由來滿足各個方面的網絡需求。

一提到路由，相信大家都不會陌生。路由（routing）是指分組從源到目的地時，決定端到端路徑的網絡范圍的進程。路由工作在OSI參考模型第三層—網絡層，路由器通過轉發數據包來實現網絡互連。

路由的靈活應用對于整個核心網絡數據的轉發起到至關重要的作用。通常在核心網絡中，特別是面對復雜的網絡需求，更需要熟知路由的使用，從而為解決網絡需求以及合理規劃整個網絡布局打下堅實基礎。

圖 1 網絡拓撲結構

本文將從實際網絡結構出發，以擴容互聯網出口為契機，通過合理的使用多種路由，巧妙地滿足了各個方面的網絡需求。下面就詳細介紹一下網絡實現的過程。

近日，根據對互聯網出口流量監視和分析的結果，我們發現目前的互聯網出口帶寬已經遠遠滿足不了當前發展的需要。為了更好的解決問題，我們首先先了解下網絡拓撲結構,如圖1所示。我們可以看到目前核心網絡主要由兩臺流控設備、路由器和BRAS組成，其中互聯網出口均連接至流控設備上。

具體的路由轉發是這樣的：互聯網用戶從BRAS上通過BGP路由和路由器建立通訊關系，路由器再通過默認路由將數據轉發至流控設備，然后在流控設備上依靠基于源地址的策略路由來實現不同IP地址使用不同的互聯網出口。

剛才我們提到互聯網出口已經告急，為了完成互聯網出口的擴容，當前最好的辦法就是將出口連接至流控設備上，這是最有效也是最直接的方法，但是兩臺流控設備的硬件只能承載10G的流量，目前兩臺設備都已經超負荷運行。

為了避免設備超負荷運行而帶來的安全隱患，只有增加大容量流控設備，或者直接將互聯網出口下移至兩臺核心路由器上，也就是將流控設備-1撤掉，只保留流控設備-2用來連接第三方出口。

這樣將省公司出口連接至核心路由器上，第三方出口繼續保留在流控設備-2上。因此就會涉及到在兩臺核心路由器上IP地址如何選路的問題，這兒有兩個方案可供選擇：

第一種，在核心路由器上應用策略路由，基于不同的源地址使用將數據直接送達至省公司或者流控設備-2上。

第二種，將使用省公司的出口使用策略路由進行轉發，然后在核心路由器上配置默認路由，指向流控設備-2。

接下來我們將具體分析這兩個方案的可行性。方案一是最容易想到的方法，擁有多個出口，就要使用基于源地址的策略路由，即用省公司出口的IP地址段指向省公司方向，用第三方出口的IP地址指向流控設備-2。

這樣比較容易實現，其原理也很簡單，但是方案一應用到我們目前的實際網絡中就會出現水土不服的癥狀，具體原因是我們在城區BRAS-1上部署了多臺10.66.64.1/21的服務器，在核心路由器-1也部署了172.29.0.0/24的服務器。這兩段IP地址有兩個需求：

第一，需要從其他BRAS上來的部分地址可以訪問這些服務器。

第二，這些服務器都具有上網的需求，因為這兩段地址并非省公司合法的地址，所以只能使用第三方出口，即走流控設備-2。

我們剛才說到按照方案一在核心路由器上應用策略路由，這樣會出現從BRAS上來的匹配策略路由條目的IP地址被直接送至省公司或者第三方出口，導致不能正常訪問服務器，這是為什么呢？

原來省公司出口的IP地址與服務器通訊時，使用的是BGP路由，而策略路由的優先級要高于BGP路由，所以就會出現使用省公司出口的IP地址不能正常訪問服務器。同樣的道理使用第三方出口的IP地址也不能正常訪問服務器。

我們曾經嘗試在策略路由的ACL條目中定義基于目的地址的策略，但是該服務器有訪問互聯網的需求，還需要在定義基于源地址的ACL，這樣就會引起路由器條目匹配的問題，導致數據來回轉發錯誤，所以方案一不可行，否定！

為了同時滿足上述條件，我們可以打破思維，重新考慮網絡需求。既然使用省公司出口的IP地址很多，那么我們就可以定義使用省公司出口的IP地址來匹配策略路由，而剩下的IP地址包括其他的省公司不認可的地址一律通過流控設備。具體哪些IP地址可以訪問互聯網，我們在流控設備-2上再做具體的要求。

這樣，除了使用省公司出口的IP地址直接匹配策略路由被轉發出去，剩下的IP地址段包括服務器IP地址則通過默認路由轉發至流控設備-2上。大家都知道，默認路由的優先級最低，有訪問服務器需求的IP地址（不在省公司出口的IP地址范圍內）可以使用BGP路由通信。

我們仔細核實了訪問服務器的網段均是172.24.0.0/16、172.23.0.0/16和10.66.64.1/21/的地址，而這些地址使用的都是第三方出口，這樣就會保證它們在匹配默認路由前使用BGP路由進行訪問。現在我們既解決了服務器需要上網的問題，又保證了與服務器通訊的需求，達到了一石二鳥的好效果。

接下來我們開始配置設備，這里主要介紹一下策略路由在核心路由上的使用，其他的配置這里就不再介紹。

ipv4-access-list SHENGGONGSI

rule 2 permit 10.220.240.0 0.0.7.255

rule 3 permit 10.219.96.0 0.0.15.255

rule 4 permit 10.219.128.0 0.0.15.255

rule 5 permit 10.219.176.0 0.0.7.255

rule 6 permit 10.219.160.0 0.0.15.255

rule 7 permit 10.219.60.0 0.0.3.255

rule 8 permit 10.219.36.0 0.0.3.255

rule 9 permit 10.219.48.0 0.0.3.255

//創建ACL列表，并在ACL列表中增加條目

route-map ZTE permit 10

//創建route-map

match ip address SHENGGONGSI

//匹配ACL列表

set ip next-hop 192.168.0.89

//設置下一跳地址

ip policy interface xgei-0/0/0/1 route-map ZTE

ip policy interface smartgroup4 route-map ZTE

ip policy interface smartgroup11 route-map ZTE

ip policy interface smartgroup12 route-map ZTE

ip policy interface smartgroup13 route-map ZTE

ip policy interface smartgroup15 route-map ZTE

ip policy interface smartgroup16 route-map ZTE

ip policy interface smartgroup19 route-map ZTE

ip policy interface smartgroup20 route-map ZTE

ip policy interface smartgroup21 route-map ZTE

ip poli--cy interface smartgroup22 route-map ZTE

//在端口上應用策略路由

通過上面的配置，完成了核心路由器上使用省公司出口的IP地址匹配策略路由，其他的IP地址匹配默認路由指向流控設備-2。

設備配置完，我們對網絡進行了測試，包括對使用省公司出口、使用第三方出口以及訪問服務器的情況進行長時間監視，結果正常。這樣本次互聯網出口的擴容和網絡的優化升級成功。

這次我們根據當前的網絡情況以及自身網絡的需求，合理的使用路由之間的優先級，巧妙的將策略路由、BGP路由和默認路由進行了混搭，在完成互聯網出口擴容的基礎上，也滿足了現有網絡通訊的需要，達到了兩全其美的效果，并且有效地保證了網絡結構在最小程度改變的情況下，完成網絡需求，真正做到了小動作解決大問題的效果。