張光亞

（鄂州職業(yè)大學，湖北 鄂州 436000）

策略路由在多出口網(wǎng)絡(luò)中的應(yīng)用

張光亞

（鄂州職業(yè)大學，湖北 鄂州 436000）

因為IPV4地址緊缺和多運營商互通受限問題，大多數(shù)高校采用多出口的網(wǎng)絡(luò)來滿足其需求。結(jié)合實際情況，運用基于源地址的策略路由來解決多出口的路由選擇問題，不僅很好地利用了多條鏈路，提高了網(wǎng)絡(luò)訪問速度，還大大增加了網(wǎng)絡(luò)可靠性和安全性。

PBR；策略路由；NAT；ACL

1 策略路由技術(shù)

目前，高校校園網(wǎng)普遍采用多出口方式，由于不同的網(wǎng)絡(luò)運營商之間的互聯(lián)互通存在問題，導致用戶在訪問不同運營商的資源時，速度大受影響，甚至無法訪問。為滿足高校校園網(wǎng)絡(luò)用戶的需求，實現(xiàn)資源共享的目的，本文提出基于源地址的策略路由的網(wǎng)絡(luò)多出口配置方案，實現(xiàn)電信與聯(lián)通雙鏈路的接入，為師生的工作、學習、生活帶來便利[1]。

PBR[2](Policy Based Route，基于策略的路由，簡稱策略路由)是一種依據(jù)用戶指定的策略進行路由選擇的機制。要實現(xiàn)策略路由，首先要定義一組匹配規(guī)則（即要實施策略路由的報文的特征，如將報文的源地址、目的地址、長度等特征作為匹配依據(jù)）；然后再將其應(yīng)用到相應(yīng)接口，使路由器按照預(yù)先制定的策略轉(zhuǎn)發(fā)報文。

一個PBR由一個或多個帶編號的節(jié)點（node）構(gòu)成，在策略路由匹配過程中，按照各個節(jié)點的編號從小到大順序依次檢查，如圖1所示：

圖1 PBR匹配流程

每個節(jié)點（node）由一組if-match 定義的匹配規(guī)則子句和apply 定義的動作子句組成。節(jié)點的匹配模式分為允許模式（permit）和拒絕模式（deny）：允許模式是當報文通過該節(jié)點的一組if-match子句過濾后將執(zhí)行該節(jié)點的apply子句；而拒絕模式則不執(zhí)行該節(jié)點的apply子句。

每個節(jié)點的if-match子句之間是“與”關(guān)系，即報文如果要執(zhí)行該節(jié)點的apply子句，需要滿足該節(jié)點的所有if-match子句。

不同節(jié)點間是“或”的關(guān)系，只要通過了上一節(jié)點的過濾，就意味著通過了該PBR，不再對其它節(jié)點進行匹配。

實施了策略路由的路由器，在報文抵達時，按照順序進行策略匹配，如果滿足匹配策略，則根據(jù)該策略轉(zhuǎn)發(fā)；如果不滿足，則按照默認路由來處理報文。

策略路由常用的分為兩種：根據(jù)轉(zhuǎn)發(fā)報文的目的地址來進行的策略路由和根據(jù)轉(zhuǎn)發(fā)報文的源地址來實施策略的路由。策略路由還有其它的類型：根據(jù)轉(zhuǎn)發(fā)包的大小、所用協(xié)議類型等。

NAT[3]（NetworkAddress Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）的出現(xiàn)是為了解決IPV4地址短缺的問題。IP地址分為私有地址和公有地址。公有地址由IANA統(tǒng)一分配，用于Internet通信；私有地址用于私網(wǎng)內(nèi)部通信，無法直接用于Internet通信。NAT技術(shù)的主要作用就是將私有地址轉(zhuǎn)換成公有地址，是私有網(wǎng)絡(luò)中的主機可以通過共享少量的公有地址訪問Internet。

2 策略路由的應(yīng)用

2.1 校園網(wǎng)的出口設(shè)計

本單位在數(shù)字化校園建設(shè)的過程中，逐步形成了教育網(wǎng)、電信、聯(lián)通等多IPS接入的多出口校園網(wǎng)模式。教育網(wǎng)因為2Mbps帶寬遠不能滿足學校逐步增長的網(wǎng)絡(luò)需求而于去年停用，現(xiàn)在為電信、聯(lián)通的雙出口模式。其中，電信的出口帶寬為200Mbps，聯(lián)通的出口帶寬為300Mbps，共20個公有IP(電信聯(lián)通各10個)滿足校內(nèi)對外服務(wù)器和NAT的需求。

為了充分利用兩家IPS的鏈路帶寬、流量負載分擔和校內(nèi)用戶更快的速度體驗，設(shè)計思路如下：

（1）校內(nèi)上網(wǎng)師生共約1.5萬人，鑒于IPv4地址的有限性，拿出20個公有IP中的5個形成2個地址池進行NAT轉(zhuǎn)換（其中電信2個公有IP，聯(lián)通3個公有IP）。NAT地址池如表1所示：

表1 NAT地址池

（2）圖書館為教職工辦公的主要場所，鑒于本地電信網(wǎng)絡(luò)的穩(wěn)定性和可靠性較高，圖書館全部流量走電信出口。教學樓、學生宿舍、食堂等其他地方的流量全部走聯(lián)通出口。使用基于源地址的PBR實現(xiàn)。出口規(guī)劃如表2所示：

表2 出口規(guī)劃表

2.2 策略路由的實現(xiàn)

本單位采購了1臺H3C的S7506E作為核心交換機，搭配一塊S7506E防火墻插卡作為擔任NAT、防火墻和策略路由等功能的出口路由器。所用產(chǎn)品詳細型號及用途如表3所示。

表3 出口交換機及防火墻板卡型號

根據(jù)本地兩家ISP提供的公有IP，我們進行了規(guī)劃配置。

2.2.1 NAT與配置

（1）配置地址池

#電信地址池

nat address-group 1219.138.221.230219.138.221.231 level 1

#聯(lián)通地址池

nat address-group 2 211.91.176.66 211.91.176.68 level 1

（2）配置ACL，用于篩選出“需要被NAT轉(zhuǎn)換的報文”

#定義基于源地址的報文的訪問控制列表2000，源地址主要為圖書館區(qū)域（電信網(wǎng)絡(luò)出口區(qū)域）

acl number 2000

description acl_chinatelecom-isp-xyw

rule 5 permit source 10.0.0.0 0.255.255.255

#定義基于源地址的報文的訪問控制列表2001，源地址主要為非圖書館區(qū)域（教學樓、宿舍、食堂等聯(lián)通網(wǎng)絡(luò)出口的區(qū)域）

acl number 2001

description acl_for_nat_chinaunicom-isp-xyw

rule 0 permit source 172.17.10.0 0.0.0.255

rule 5 permit source 172.18.15.0 0.0.0.255

rule 10 permit source 172.18.16.0 0.0.0.255

…

（3）在通向公網(wǎng)的出接口上配置ACL與NAT地址池的關(guān)聯(lián)

#電信NAT

interface Vlan-interface3090

ip address 219.138.221.230 255.255.255.192

nat outbound 2000 address-group 1

#聯(lián)通NAT

interface Vlan-interface3110

description chinaunicom

ip address 211.91.176.66 255.255.255.224

nat outbound 2001 address-group 2

2.2.2 PBR配置

(1)配置ACL，用于篩選出“需要被策略路由的報文”

因為與NAT中的ACL相同，可參照上文NAT中的ACL配置，筆者不再累贅。

(2)創(chuàng)建PBR，并使用if-match子句來設(shè)定路由信息的匹配規(guī)則

#創(chuàng)建名為chinatelecom-isp的策略路由，匹配規(guī)則為ACL 2000，apply為電信的下一條地址。

policy-based-route chinatelecom-isp permit node 0

if-match acl2000

apply ip-address next-hop 219.138.221.193

##創(chuàng)建名為chinaunicom-isp的策略路由，匹配規(guī)則為ACL 2001，apply為聯(lián)通的下一條地址。

policy-based-route chinaunicom-isp permit node 5

if-match acl 2001

apply ip-address next-hop 211.91.176.65

（3）在接口視圖下綁定接口策略路由

#電信出口配置。

interface Vlan-interface3090

ip address 219.138.221.230 255.255.255.192

ip policy-based-route chinatelecom-isp

#聯(lián)通接口配置

interface Vlan-interface3110

ip address 211.91.176.66 255.255.255.224

ip policy-based-route chinaunicom-isp

（4）創(chuàng)建2條默認路由，上述選路失敗時可從默認路由轉(zhuǎn)發(fā)數(shù)據(jù)，保障網(wǎng)絡(luò)可靠性

ip route-static 0.0.0.0 0.0.0.0 219.138.221.193

ip route-static 0.0.0.0 0.0.0.0 211.91.176.65preference 65

經(jīng)過上述配置后，圖書館的私有IP經(jīng)NAT后轉(zhuǎn)換電信的公有IP，經(jīng)由電信出口訪問Internet；而非圖書館（教學樓、宿舍、食堂等）的私有IP經(jīng)NAT后轉(zhuǎn)換聯(lián)通的公有IP，經(jīng)由聯(lián)通出口訪問Internet。

3 總結(jié)

（1）IPv4地址的緊缺是技術(shù)本身決定的，當前無法從根本上得到解決，NAT技術(shù)成為眾多上網(wǎng)用戶對公有IP需求的主要解決途徑。隨著IPv6的逐步推廣，其128位的IP地址容量是達到2128個，這不但解決了網(wǎng)絡(luò)地址資源數(shù)量的問題，同時也為除電腦外的設(shè)備連入互聯(lián)網(wǎng)在數(shù)量限制上掃清了障礙[4]，從根本上解決IPv4地址緊缺的問題。

（2）多出口網(wǎng)絡(luò)已經(jīng)成為很多高校的“標配”，雖然在策略路由的選擇上還有其它方案，但基于源地址的策略路由是一種常見的解決方案。但也有其缺陷，外部網(wǎng)絡(luò)在訪問校內(nèi)服務(wù)器時，可能面臨著跨ISP訪問所帶來的速度變慢等問題。

在信息化高速發(fā)展的今天，IT技術(shù)不成為問題，問題是如何使用合適的IT技術(shù)來滿足數(shù)字化校園建設(shè)的需求。

[1]唐偉萍．策略路由技術(shù)在多出口校園網(wǎng)絡(luò)中的應(yīng)用[J]．軟件導刊, 2012,05:108-109．

[2]杭州華三通信技術(shù)有限公司．路由交換技術(shù)．第3卷[M]．北京：清華大學出版社，2012：173-174．

[3]杭州華三通信技術(shù)有限公司．路由交換技術(shù)．第1卷下冊[M]．北京：清華大學出版社，2011：163-164．

[4]百度百科．IPv6[EB/OL]．http://baike．baidu．com/view/5228．htm, 2014-12-25/2015-01-26．

Application of Policy Based Route in Multiple Outlet Network

Zhang Guangya
（Ezhou Polytechnic，Ezhou 436000，Hubei）

act】Because of the shortage of IPV4 addresses and the limitation of data transmission between multiple operators,most colleges use more than one ISP to meet their needs.Using PBR based on source address to solve the problem of multiple outlet routes,not only makes good use of the more than one network links,improving network access speed,but also greatly increases network reliability and security.

PBR；policy based route；NAT；ACL

TP393

A

1008-6609(2015)03-0074-03

張光亞，男，湖北隨州人，碩士，講師。研究方向：云計算，網(wǎng)絡(luò)工程，數(shù)據(jù)庫。