策略路由技術(shù)在校園網(wǎng)中應(yīng)用

摘要:高校對網(wǎng)絡(luò)的應(yīng)用越來越廣泛，同時也要求有較好的傳輸性能。為了解決網(wǎng)絡(luò)帶寬和傳輸性能的瓶頸，高校選擇了多個網(wǎng)絡(luò)服務(wù)提供商(ISP)。利用策略路由技術(shù)實現(xiàn)了鏈路的負載均衡和容錯，保證了網(wǎng)絡(luò)的可靠性。

關(guān)鍵詞:網(wǎng)絡(luò)帶寬;傳輸性能;負載均衡

中圖分類號:TP393 文獻標識碼:A文章編號:1009-3044(2009)35-9929-03

Policy Routing in the Campus Network Application

SHI Zhen-hua， YIN Huan-jiong

(Top Institute of Information Technology of Shaoxing， Computer Department， Shaoxing 312000， China)

Abstract: Network has been widely used in the colleges and universities that require a better transmission performance. To address the bottlenecks of network bandwidth and transmission performance， colleges and universities select more than one Internet Service Provider (ISP). The use of policy routing technology has achieved the balance of link load and fault tolerance to ensure the reliability of the network.

Key words: network bandwidth; transmission performance; the balance of link load

隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)不斷發(fā)展，網(wǎng)絡(luò)上的應(yīng)用更加豐富。校園網(wǎng)是高校信息化建設(shè)的基礎(chǔ)設(shè)施，需要對內(nèi)對外提供多媒體教學、網(wǎng)絡(luò)課件下載、視頻點播、遠程網(wǎng)絡(luò)教學等業(yè)務(wù);同時又要保證網(wǎng)絡(luò)暢通，防止病毒泛濫，用戶非法訪問等一系列問題。因而需要一個高速、安全的校園網(wǎng)絡(luò)以滿足在多媒體網(wǎng)絡(luò)教育和管理等方面的需要。

1 問題的分析和提出

目前，國內(nèi)存在一批有實力的網(wǎng)絡(luò)服務(wù)提供商(ISP)，如電信、網(wǎng)通、移動、聯(lián)通等，他們有各自的網(wǎng)絡(luò)資源和優(yōu)勢。對高等院校而言，首先，單一運營商的接入無法完全滿足學校的需求，一般都同時接入兩個ISP。這樣既能實現(xiàn)增加網(wǎng)絡(luò)出口備份路由， 避免由單一網(wǎng)絡(luò)出口線路連接故障而造成的網(wǎng)絡(luò)出口的中斷。又能實現(xiàn)對接入的用戶進行優(yōu)先級分配，保證重要用戶可以快速訪問互連網(wǎng)。

其次，當前的Internet面臨兩大問題，即可用IP地址的短缺和路由表的不斷增大，因此能申請到的合法IP地址的數(shù)目遠遠小于校園網(wǎng)的用戶數(shù)，這使得眾多用戶的接入出現(xiàn)困難。

我們需要解決以下問題

1) 根據(jù)兩出口的帶寬速率， 對線路負載進行均衡， 保證兩條出口線路都能得到充分有效的利用，以此達到既經(jīng)濟又高速的目的;

2) 當其中一個ISP不能提供正常服務(wù)時，另一個ISP能夠自動切換為所有用戶提供服務(wù)。

3) 當ISP恢復正常時，可以自動恢復到正常服務(wù)狀態(tài)。

4) 所有用戶通過有限的數(shù)個(或1個)合法IP地址訪問Internet

2 策略路由

目前，在網(wǎng)絡(luò)中使用的傳統(tǒng)路由算法都是根據(jù)數(shù)據(jù)報的目的地址進行路由選擇。在IP傳統(tǒng)路由過程中，僅僅考慮了一個數(shù)據(jù)報的目的地址和從每一條路徑到達目的地的代價估計。也就是說，在IP傳統(tǒng)路由中，如果每一條路徑到達目的地的代價估計一樣，只要IP目的地址確定，數(shù)據(jù)報的來源和類型，都不能對最終的路由選擇產(chǎn)生影響。然而在現(xiàn)實應(yīng)用中經(jīng)常有這樣的需求:進行路由選擇時，不僅僅要根據(jù)數(shù)據(jù)報的目的地址，而且要根據(jù)數(shù)據(jù)報的其他一些特性，如:源地址、IP協(xié)議、傳輸層端口，甚至是數(shù)據(jù)報的負載部分內(nèi)容，這種類型的路由選擇被稱作基于策略的路由。

策略路由是一種比利用目標網(wǎng)絡(luò)進行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機制，策略路由的優(yōu)先級別高于普通路由。應(yīng)用了策略路由以后，路由器將根據(jù)用戶指定的策略決定如何對需要路由的數(shù)據(jù)包進行處理。一個接口應(yīng)用策略路由后，將對該接口接收到的所有數(shù)據(jù)包進行檢查，不符合策略路由的數(shù)據(jù)包將按照傳統(tǒng)的路由轉(zhuǎn)發(fā)進行處理，符合某個用戶策略的數(shù)據(jù)包就會按照用戶策略指定的下一跳地址或路由器接口進行轉(zhuǎn)發(fā)。策略路由中所謂策略的制定依賴于訪問控制列表(ACL)，因此策略路由中策略的制定是方便而又靈活的，可以滿足不同方面的需求。制定策略路由時根據(jù)源地址來進行策略實施的稱為源地址路由;也可以根據(jù)協(xié)議類型(例如將UDP和TCP兩種不同協(xié)議的報文送入不同的線路)、應(yīng)用(例如某些視頻應(yīng)用要求實時傳送，可以將RSTP流單獨使用一條較為寬裕的線路進行轉(zhuǎn)發(fā))、報文大小或它們的組合等來設(shè)置轉(zhuǎn)發(fā)策略。在本文解決方案的研究和應(yīng)用中， 我們主要考慮如何根據(jù)源IP地址及目的IP地址來選擇路由。

配置策略路由通常包括以下幾個步驟:

1) 定義路由映射來控制數(shù)據(jù)包的出口;

2) 為定義的路由映射設(shè)置匹配標準;

3) 為與給定標準相符的數(shù)據(jù)包設(shè)定路由器處理行為(選擇路由路徑) ;

4) 為需要進行策略路由的端口指定相應(yīng)的策略路由;

5) 設(shè)置相應(yīng)的訪問控制列表作為路由映射的匹配標準。

與訪問控制列表一樣，路由映射本身并不起作用，它必須被一些命令“調(diào)用”才能發(fā)揮作用，例如策略路由命令或路由再分布命令;不同的是，策略路由發(fā)送包給路由映射，而路由再分布發(fā)送路由給路由映射。

3 網(wǎng)絡(luò)地址轉(zhuǎn)換

計算機只有配置了正確的IP地址之后才能與其它計算機通信，但對于網(wǎng)絡(luò)內(nèi)部，因合法IP地址有限，這些網(wǎng)絡(luò)上的主機通常分配了私有地址。這些地址不能直接在Internet上進行路由，從而分配了這些私有地址的計算機也就不能直接訪問Internet。網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)可以使一個網(wǎng)內(nèi)的所有用戶通過有限的數(shù)個(或1個)合法IP地址訪問Internet，是一種在IP數(shù)據(jù)包通過路由器時重寫源IP地址或目的IP地址的技術(shù)。具體而言，當信息由網(wǎng)內(nèi)向網(wǎng)外傳遞時，源地址被立即從私有地址轉(zhuǎn)換為合法地址，由路由器跟蹤每個連接上的基本數(shù)據(jù)，主要是目的地址和端口;當有數(shù)據(jù)回復返回路由器時，它通過輸出階段記錄的連接跟蹤數(shù)據(jù)來決定該轉(zhuǎn)發(fā)給內(nèi)網(wǎng)的哪個主機。這樣不僅解決了所有用戶的上網(wǎng)問題，同時也隱藏了內(nèi)部IP地址，增強了網(wǎng)絡(luò)的安全性。

配置網(wǎng)絡(luò)地址轉(zhuǎn)換包括以下幾個步驟:

1) 定義內(nèi)部接口和外部接口;

2) 定義網(wǎng)絡(luò)地址轉(zhuǎn)換的轉(zhuǎn)換源和轉(zhuǎn)換目標;

3) 設(shè)置相應(yīng)的訪問控制列表作為網(wǎng)絡(luò)地址轉(zhuǎn)換的轉(zhuǎn)換源。

4 解決方案和配置實現(xiàn)

在此技術(shù)方案采用基于源地址的策略路由結(jié)合網(wǎng)絡(luò)地址轉(zhuǎn)換和訪問控制列表來具體實現(xiàn)。

網(wǎng)絡(luò)拓撲圖模擬了一個校園網(wǎng)絡(luò)通過兩個網(wǎng)絡(luò)服務(wù)提供商(ISP)連接進入Internet。邊界路由器連接校園網(wǎng)和網(wǎng)絡(luò)服務(wù)提供商(ISP)，兩個ISP都能轉(zhuǎn)發(fā)到達Internet的數(shù)據(jù)包(用202.96.107.29模擬)，邊界路由器與ISP1連接的接口IP:12.0.0.1/30;ISP1連接邊界路由器的接口IP:12.0.0.2/30;邊界路由器與ISP2連接的接口IP:23.0.0.1/30;ISP2連接邊界路由器的接口IP:23.0.0.2/30。校園網(wǎng)絡(luò)用192.168.1.0/24網(wǎng)段進行模擬。其中192.168.1.1—192.168.1.127的校園網(wǎng)絡(luò)用戶需要使用ISP1訪問Internet;192.168.1.128—192.168.1.254的校園用戶使用ISP2來訪問Internet。PC1的IP:192.168.1.100;PC2的IP:192.168.1.200;需要通過實驗驗證PC1訪問Internet通過ISP1; PC2訪問Internet通過ISP2。

4.1 配置實現(xiàn)如下

邊界路由器配置

設(shè)置連接局域網(wǎng)的以太網(wǎng)口

R1(config)#interface FastEthernet0/0 (邊界路由器的局域網(wǎng)接口)

R1(config-if)#ip address 192.168.1.254 255.255.255.0

R1(config-if)#ip nat inside (此接口為NAT的內(nèi)部接口)

R1(config-if)#ip policy route-map route-policy(在邊界路由器入站接口上綁定策略路由)

R1(config-if)#no shutdown(激活該端口)

設(shè)置連接ISP1的串口S0/0

R1(config)#interface Serial0/0 (邊界路由器連接外部的串口，此處接ISP1)

R1(config-if)#ip address 12.0.0.1255.255.255.252

R1(config-if)#ip nat outside (此接口為NAT的外部接口)

R1(config-if)#no shutdown (激活該端口)

設(shè)置連接ISP1的串口S0/1

R1(config)#interface Serial0/1 (邊界路由器連接外部的串口，此處接ISP2)

R1(config-if)#ip address 23.0.0.1 255.255.255.252

R1(config-if)#ip nat outside (此接口為NAT的外部接口)

R1(config-if)#no shutdown (激活該端口)

定義標準訪問控制列表

R1(config)#access-list 1 permit 192.168.1.0 0.0.0.127

R1(config)#access-list 2 permit 192.168.1.128 0.0.0.127

R1(config)#access-list 10 permit 192.168.1.0 0.0.0.255

定義用于策略路由的route-map， 若IP地址的范圍是在標準訪問列表1中定義，則它的下一跳地址為ISP1的接口IP即12.0.0.2/30。

R1(config)#route-map route-policy permit 100

R1(config-route-map)#match ip address 1

R1(config-route-map)#set ip next-hop 12.0.0.2

定義用于策略路由的route-map， 若IP地址的范圍是在標準訪問列表2中定義，則它的下一跳地址為ISP1的接口IP即23.0.0.2/30。

R1(config)#route-map route-policy permit 200

R1(config-route-map)#match ip address 2

R1(config-route-map)#set ip next-hop 23.0.0.2

定義用于端口地址轉(zhuǎn)換技術(shù)(PAT)的route-map

R1(config)#route-map isp1 permit 10

R1(config-route-map)#match ip address 10

R1(config-route-map)#match interface Serial0/0

定義用于端口地址轉(zhuǎn)換技術(shù)(PAT)的route-map

R1(config)#route-map isp2 permit 10

R1(config-route-map)#match ip address 10

R1(config-route-map)#match interface Serial0/1

在做PAT時使用route-map來區(qū)分不同的數(shù)據(jù)流

R1(config)#ip nat inside source route-map isp1 interface Serial0/0 overload

R1(config)#ip nat inside source route-map isp2 interface Serial0/1 overload

5 測試結(jié)果

通過測試，當IP地址范圍在192.168.1.1—192.168.1.127之間的站點發(fā)送數(shù)據(jù)包，數(shù)據(jù)包會發(fā)送到ISP1;當IP地址范圍在192.168.1.128—192.168.1.254之間的站點發(fā)送數(shù)據(jù)包，數(shù)據(jù)包會發(fā)送到ISP2。這樣利用策略路由技術(shù)實現(xiàn)了按照源地址來選擇路由。

6 結(jié)束語

雙出口校園網(wǎng)綜合運用了網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT) 和策略路由技術(shù)， 通過不同的網(wǎng)絡(luò)分擔用戶上網(wǎng)流量，提高了網(wǎng)絡(luò)訪問的速度。NAT技術(shù)的應(yīng)用使通過本地ISP進行路由的外部主機無法訪問到通過這種連接的內(nèi)部主機，因此在一定程度上保證了校園網(wǎng)內(nèi)部主機的安全性。

參考文獻:

[1] 王洪臣.多連接校園網(wǎng)策略路由的研究與實現(xiàn)[J].計算機技術(shù)與發(fā)展，2008(4).

[2] 劉治綱.基于策略路由的雙出雙入邊界路由設(shè)計與實現(xiàn)[J].南昌航空工業(yè)學院學報，2006(20).

[3] 莊永龍.策略路由技術(shù)在多出口校園網(wǎng)中的應(yīng)用研究[J].南通職業(yè)大學學報，2008(3).