摘要：策略路由可以根據(jù)用戶實際需求配置的規(guī)則來進行路由轉(zhuǎn)發(fā)，對滿足設(shè)定規(guī)則的數(shù)據(jù)包，執(zhí)行相對應設(shè)置的轉(zhuǎn)發(fā)，采用新華三的仿真軟件HCL模擬網(wǎng)絡環(huán)境，針對TCP協(xié)議設(shè)置了策略路由，在實驗環(huán)境中分別配置了轉(zhuǎn)發(fā)策略和本地策略路由，并進行了相應的測試，驗證了配置策略路由后對TCP流量進行分流的效果，對企業(yè)網(wǎng)絡用戶規(guī)劃策略路由具有一定的參考價值。

關(guān)鍵詞：策略路由;HCL;仿真：TCP

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2020）22-0067-02

開放科學（資源服務）標識碼（OSID）：

1 基本概念

1.1策略路由的定義

策略路由（ POLICY based-routing PBR）：匹配目的IP或源IP來進行的轉(zhuǎn)發(fā)的策略路由;轉(zhuǎn)發(fā)層面的事件，操作對象是數(shù)據(jù)包，匹配的是數(shù)據(jù)流;策略路由比所有路由的優(yōu)先級都高，包括直連路由;只對本地轉(zhuǎn)發(fā)表有效，影響下一跳。

1.2 報文轉(zhuǎn)發(fā)的流程

沒有配置策略路由的數(shù)據(jù)包轉(zhuǎn)發(fā)流程如下：

路由器收到數(shù)據(jù)包，根據(jù)數(shù)據(jù)包中的目的IP地址，查找路由表進行轉(zhuǎn)發(fā)，

1）查到匹配的路由條目，按匹配長度最長的路由進行轉(zhuǎn)發(fā)。

2）如果找不到路由條目，如果配置的默認路由，通過默認路由轉(zhuǎn)發(fā)。

3）如果沒有默認路由，丟棄報文。

配置策略路由后數(shù)據(jù)包的轉(zhuǎn)發(fā)流程如下：

1）策略路的優(yōu)先級高，先根據(jù)設(shè)置的策略路由轉(zhuǎn)發(fā)。

2）如果沒有匹配的節(jié)點，或者存在匹配節(jié)點，但是指導數(shù)據(jù)包進行轉(zhuǎn)發(fā)失敗的時候，則會根據(jù)路由表內(nèi)除默認路由以外的其他路由來對數(shù)據(jù)包進行轉(zhuǎn)發(fā)。

3）如果數(shù)據(jù)包轉(zhuǎn)發(fā)失敗，則按照PBR設(shè)定的默認下一跳地址來指導數(shù)據(jù)包轉(zhuǎn)發(fā)。

4）如果轉(zhuǎn)發(fā)數(shù)據(jù)包失敗，則按照缺省路由轉(zhuǎn)發(fā)數(shù)據(jù)包。

1.3策略路由和路由策略的主要區(qū)別

路由策略是按照數(shù)據(jù)包的屬性，使用策略影響路由發(fā)布、接收或修改路由的參數(shù)而改變路由發(fā)現(xiàn)的結(jié)果，改變的是路由表，基于策略控制路由的引入、接收和發(fā)布，基于控制平面，為路由表和路由協(xié)議服務，路由策略和路由協(xié)議結(jié)合完成策略。

策略路由不改變路由表，優(yōu)先級高于路由表，轉(zhuǎn)發(fā)數(shù)據(jù)包時，優(yōu)先根據(jù)路由策略進行轉(zhuǎn)發(fā)，路由策略沒有匹配的規(guī)則，才按照路由表進行轉(zhuǎn)發(fā);基于策略控制數(shù)據(jù)包的轉(zhuǎn)發(fā)，可以不按路由表轉(zhuǎn)發(fā)，而按照配置的策略轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)失敗后再查路由表轉(zhuǎn)發(fā)，基于轉(zhuǎn)發(fā)平面，為轉(zhuǎn)發(fā)策略服務，需要手工逐跳進行配置來保證數(shù)據(jù)包按配置的策略進行轉(zhuǎn)發(fā)。

1.4策略路由的類型

轉(zhuǎn)發(fā)策略路由：對網(wǎng)絡設(shè)備轉(zhuǎn)發(fā)的報文起作用。

本地策略路由：僅對網(wǎng)絡設(shè)備自身產(chǎn)生的數(shù)據(jù)包有作用。

2 策略路由的實現(xiàn)

2.1 配置策略

1）建立策略節(jié)點。

2）設(shè)定策略節(jié)點所要匹配的規(guī)則。

3）設(shè)定策略節(jié)點執(zhí)行的動作。

策略設(shè)定報文要匹配的規(guī)則，及匹配指定規(guī)則以后要對報文執(zhí)行阻止或允許的操作。

由若干或一個帶編號的節(jié)點組成策略，節(jié)點的基本構(gòu)成如下：

（1）用節(jié)點編號標識每個節(jié)點。優(yōu)先級越高的節(jié)點序號越小，將會優(yōu)先執(zhí)行優(yōu)先級相對較高的節(jié)點。

（2）每個節(jié)點具體的內(nèi)容由if-match和apply來設(shè)置。if-match指定此節(jié)點要匹配的規(guī)則，apply子句用來指定此節(jié)點執(zhí)行的動作，一個節(jié)點內(nèi)允許配置多條if-match語句，但只能配置一條相同類型if-match語句，只有最近一次的設(shè)置生效。同一個節(jié)點內(nèi)的各種類型if-match語句之間的關(guān)系是“與”的關(guān)系，即數(shù)據(jù)包一定匹配該節(jié)點全部if-match語句才是滿足此節(jié)點的匹配規(guī)則。一個節(jié)點沒有設(shè)置if-match語句，則任何報文都滿足此節(jié)點的匹配規(guī)則，依據(jù)數(shù)據(jù)包滿足全部if-match語句的情況來進行后續(xù)的處理。同一個節(jié)點可以設(shè)定若干條apply語句，但設(shè)定的apply語句不一定都執(zhí)行。

（3）所有節(jié)點對數(shù)據(jù)包的處理方式由匹配的模式來決定。匹配的模式有deny（阻止）和permit（允許）兩種。

網(wǎng)絡設(shè)備應用路由策略后，設(shè)備會按照策略中指定的匹配規(guī)則及對應執(zhí)行的操作，來對數(shù)據(jù)包轉(zhuǎn)發(fā)：設(shè)備將依據(jù)優(yōu)先級從高到低的次序來匹配配置的各節(jié)點，若數(shù)據(jù)包滿足這個節(jié)點配置的匹配規(guī)則，此節(jié)點執(zhí)行所對應的動作;若數(shù)據(jù)包不滿足節(jié)點匹配規(guī)則，則按照優(yōu)先級的次序繼續(xù)進行下一個節(jié)點的匹配;若數(shù)據(jù)包與策略中所有節(jié)點的匹配規(guī)則都不滿足，則按照路由表進行數(shù)據(jù)包的轉(zhuǎn)發(fā)。

2.2 應用策略

1）選擇至少一項任務進行配置

2）對本地產(chǎn)生的報文應用策略

3）對接口轉(zhuǎn)發(fā)的數(shù)據(jù)包應用策略

4）在指定接口上應用轉(zhuǎn)發(fā)策略

3 策略路由部署

3.1 網(wǎng)絡拓撲

企業(yè)網(wǎng)絡連接互聯(lián)網(wǎng)有兩個出口，分別連接聯(lián)通和電信，聯(lián)通的鏈路是IOOM的帶寬，電信的帶寬較低，只有10M，如果路由器配置浮動路由，電信的鏈路只能作為備份鏈路，造成資源浪費，而采用路由策略可以實現(xiàn)不同的流量走不同的路徑，把鏈路帶寬充分利用，本實驗采用華三云實驗室（H3C CloudLab，簡稱HCL）來搭建網(wǎng)絡拓撲，HCL是一款基于圖形化界面全真網(wǎng)絡仿真軟件，此軟件可以完成H3C公司多種型號虛擬網(wǎng)絡設(shè)備的組成的虛擬網(wǎng)絡搭建，測試H3C公司Comware V7系列平臺的網(wǎng)絡設(shè)備的實用工具。HCL的PC不支持Telnet，本實驗采用Host連接真實機進行測試，通過配置路由策略實現(xiàn)局域網(wǎng)TCP協(xié)議的流量走ISP 1的鏈路，其他流量走ISP2的鏈路具體實現(xiàn)

（1）基本配置

R1的配置：

[RI] interfaceGigabitEthernet0/0//進入接口

[R1-GigabitEthernetO/O]ip address 172.16.1.1 24//配置IP地址

[R1-GigabitEthernet0/0] interfaceSerial l/0//進入接口

[R1-Seriall/O]ip address 2.2.2.1 24//配置IP地址

[R1-Seriall/0] interfaceGigabitEthernetO/1//進人接口

[R1-GigabitEthernetO/l]ip address l.1.1.1 24//配置IP地址

[H3C]ip route-static 0.0.0.0 0 1.1.1.2//配置默認路由

[H3C]ip route-static 0.0.0.0 0 2.2.2.2 preference 100//配置浮動路由

[Rl]acl basic 2000//設(shè)置ACL

[RI-acl-ipv4-basic-2000]rule permit source 172.16.1.00.0.0.255//定義NAT轉(zhuǎn)換的地址

[R1-acl-ipv4-basic-2000lquit

[R1 interfaceGigabitEthernet0/1//進入接口

[R1-GigabitEthernetO/l]nat outbound 2000//配置EasyIP

[R1-GigabitEthemet0/1] interfaceSerial l/0//進入接口

[R1-Seriall/O]nat outbound 2000//配置Easy IP

ISP1的配置：

[ISPI] interfaceGigabitEthernet 0/0//進入接口

[ISPI-GigabitEthernetO/O]ip address l.1.1.2 24//配置IP地址

[ISPI-GigabitEthernetO/O]quit

[ISPl]telnet server enable//啟用telnet服務

[ISPl]user-interface vty 0 4

[ISPI-line-vty0-4lset authentication password simple123456 11配置telnet口令

[ISPI-line-vty0-4]user-role network-admin//設(shè)置用戶角色的權(quán)限

ISP2的配置：

[ISPl] interface GigabitEthernet 0/0

[ISPI-GigabitEthernetO/Olip address 2.2.2.2 24

[ISPI-GigabitEthernetO/O]quit

[ISPl]telnet server enable//啟用telnet服務

[ISPl]user-interface vty 0 4

[ISPI-line-vty0-4lset authentication

password simple123456//配置telnet口令

[ISPI-line-vty0-4]user-role network-admin//設(shè)置用戶角色的權(quán)限

測試：Host可以telnet到ISPI和ISP2，都可以pmg通兩個ISP的接口。

（2）配置基于TCP協(xié)議的策略路由

[H3C]acl advanced 3000//定義ACL

[H3 C-acl-ipv4-adv-3000]rule permit tcp//匹配TCP報文

[H3C-acl-ipv4-adv-3000lquit

[H3Clpolicy-based-route tcp permit node 10//定義10號節(jié)點

[H3C-pbr-tcp-lO]if-match acl 3000

[H3C-pbr-tcp-lO]apply next-hop l.1.1.2//指定TCP報文下一跳地址為1.1.1.2

（3）在接口上應用轉(zhuǎn)發(fā)策略路由

[H3C-pbr-tcp-lO]int g0/0

[H3C-GigabitEthernetO/O]ip policy-based-route tcp//接口上應用轉(zhuǎn)發(fā)路由策略

測試結(jié)果：

通過Host上測試，Host可以telnet登錄到ISPI，telnet登錄ISP2失敗，Host可以Ping通ISP2的接口，telnet是基于TCP協(xié)議的應用，而Ping使用的是ICMP協(xié)議，轉(zhuǎn)發(fā)路由策略生效。

路由器上測試，在R1上telnet登錄ISP1和ISP2均可以正常登錄，說明轉(zhuǎn)發(fā)路由策略對路由器本身產(chǎn)生的TCP報文不產(chǎn)生效果。

（4）應用本地策略路由

[Rl]ip local policy-based-route tcp //應用本地策略路由

經(jīng)測試：路由器上telnet登錄ISPI正常，telnet登錄ISP2失敗，R1可以Ping通ISP2的接口，本地策略路由生效。

4 結(jié)語

通過HCL仿真測試策略路由，測試了轉(zhuǎn)發(fā)策略路由和本地策略路由，策略路由可以根據(jù)協(xié)議、源IP或目的IP設(shè)置指定的下一跳和缺省的下一跳。可以根據(jù)企業(yè)用戶的需求進行相應的設(shè)置，但策略路由的缺點是占用設(shè)備資源較多，只要配置了策略路由，路由器就要根據(jù)設(shè)定的規(guī)則檢查數(shù)據(jù)包，會一直占用網(wǎng)絡設(shè)備的資源，建議在真實網(wǎng)絡環(huán)境中，盡量使用路由策略而減少使用策略路由來實現(xiàn)用戶需求。

參考文獻：

[1]朱麟，劉源.H3C路由與交換實踐教程[M].北京：電子工業(yè)出版社，2018.

[2]彭偉.基于策略路由部署的網(wǎng)絡多出口設(shè)計研究[J].湖南工程學院學報（自然科學版），2019，29（3）：48-52.

[3]龔文濤，郎穎瑩.基于路由策略和策略路由的Web應用防護架構(gòu)設(shè)計[Jl.計算技術(shù)與自動化，2018，37（2）：95-99.

【通聯(lián)編輯：代影】

作者簡介：王獻宏（1969-），男，河南三門峽人，高級工程師，碩士，主要研究方向為計算機網(wǎng)絡、網(wǎng)絡安全。