基于策略路由的高校校園網絡多出口配置

楊 林

（保山學院網絡中心，云南 保山 678000）

0 引言

策略路由目前最大的應用主要是用于解決電信、網通、鐵通之間的互聯互通問題，由于電信訪問網通、鐵通的線路較慢，網通、鐵通訪問電信的線路也較慢，于是各高校的網絡出口連接著電信、網通、鐵通等多條線路，以保證校園網絡用戶訪問連接在不同線路上的服務器資源時不受互聯互通的影響[1]。在這種情況下策略路由起到了關鍵作用，通過在路由設備上添加策略路由包的方式，就能實現電信數據沿電信線路出口、網通數據沿網通線路出口、鐵通數據沿鐵通線路出口，互不干擾，大大提高網絡訪問速度。

1 策略路由

1.1 概念

策略路由是一種比基于目標網絡進行路由更加靈活的數據包路由轉發機制，它實質上是數據包的轉發規則,故有些地方也將“策略路由”理解為“轉發策略”。應用了策略路由后，路由器通過路由表決定如何對需要路由的數據包進行處理，路由表決定了一個數據包的下一跳轉發路由器地址。

通常，一個路由表由很多條策略組成，每個策略都定義了1個或多個的匹配規則和對應操作。一個接口應用策略路由后，將對該接口接收到的所有包進行檢查，不符合路由表任何策略的數據包將按照通常的路由轉發進行處理，只有符合路由表中某個策略的數據包才按照該策略中定義的操作進行處理。[2]

1.2 轉發規則

傳統的路由策略都是使用從路由協議派生出來的路由表，根據目的地址進行報文的轉發方式。在這種機制下，路由器只能根據報文的目的地址為用戶提供比較單一的路由方式，它更多的是解決網絡數據的轉發問題，而不能提供有差別的服務。

基于策略的路由為網絡管理人員提供了比傳統路由協議對報文的轉發和存儲更強的控制能力。[3]它使網絡管理人員不僅能夠根據目的地址，而且能夠根據協議類型、報文大小、IP源地址來選擇轉發路徑。根據實際應用需要定義控制多個路由器之間的負載均衡、單一鏈路上報文轉發的Qos或者滿足某種特定需求。當數據包經過路由器轉發時，路由器根據預先設定的策略對數據包進行匹配，如果匹配到一條策略，就根據該條策略指定的路由進行轉發。如果沒有匹配到任何策略，就使用路由表中的各項目的地址對報文進行路由。[4]

2 策略路由實現及配置技術

2.1 多鏈路接入

為了保證網絡的可用性，很多高校一般都向兩個或兩個以上的ISP申請網絡接入，如國內各大高校普遍采用同時接入電信網和教育網等多網接入，實現多鏈路并行。如圖1所示。

圖1 高校網絡多鏈路出口

訪問國內教育網的流量使用教育網出口，訪問國際流量（因教育網出國流量要根據流量收費，故一般不建議從教育網出口）和國內除教育網外的其它流量使用電信網出口。同時，當一條鏈路發生故障時，所有的流量可以實現從另一條鏈路通過。

2.2 策略路由(Policy Based Routing)技術

通常路由器中的轉發策略是基于目的地址的。當需要按我們自己的策略進行路由時，這種方式的路由就不夠了。策略路由提供了一種更復雜的包轉發機制.通過定義適當的策略，不僅可以實現基于數據包目的lP地址的路由選擇策略，而且可以實現基于數據包源lP地址、數據包大小、應用層協議、負載平衡等策略選擇路由。在我們的問題中需要解決的是如何根據源lP地址和目的lP地址來選擇路由。

策略路由選擇禁止內部局域網用戶從教育網這條鏈路訪問非免費網站，有效控制了國際流入量的費用。對所有需要使用教育網出口的內部用戶制定源地址路由。所有對校園網資源的訪問增加了相應的策略路由，同時制定了安全策略，增強了內部網絡安全性，比較理想地解決了高校用戶的需求。

3 配置實現

根據上述要求，用一個實例加以說明，如某高校有雙鏈路接入，除配置出口路由器實現負載均衡（根據目標IP地址選擇出口）和冗余（任一條ISP鏈路故障，另外一條ISP鏈路可以轉發所有流量）外，進一步部署策略路由。具體做法是給每一個用戶分配兩個 IP地址，如 192.168.1.2和192.168.2.2，其中192.168.1.0（奇數）網絡從ISP1（R1）出口，192.168.2.0（偶數）網絡從ISP2（R3）出口，用戶自己可以改變IP地址，來選擇不同的出口。實驗拓撲結構如圖2所示。

圖2 網絡實驗拓撲結構

3.1 配置操作步驟[5]

配置策略路由通常包括以下幾個步驟：

①定義路由映射來控制數據包的出口；

②為定義的路由映射設置匹配標準；

③為與給定標準相符的數據包設定路由器處理行為(選擇路由路徑)；

④為需要進行策略路由的端口指定相應的策略路由；

⑤設置相應的訪問控制列表作為路由映射的匹配標準。

3.2 具體配置內容[6]

具體配置如下：

（1）對路由器R1做基本配置（注：斜體加黑字體為配置命令，以下同）

（2）對路由器R2做基本配置()

（3）對路由器R3做基本配置

（4）對路由器R4做基本配置

（5）測試數據包的走向

將筆記本的 IP地址改為 192.168.1.2，子網掩碼255.255.255.0，網關是192.168.1.1，DNS是222.56.127.168。在命令提示符窗口中使用tracert命令，驗證數據包的通信路徑，查看數據包經過的路徑是否是 R2→R3→R4，然后再將筆記本的IP地址改為192.168.2.2，其它不變，查看數據包經過的路徑是否仍然是R2→R3→R4。

在路由器R2上使用traceroute測試到10.10.10.10經過的路徑，發現通過的數據包流向并無規律。

（6）根據流量區分，配置策略路由

在路由器 R2上使用 ACL把來源 192.168.1.0和來源192.168.2.0的數據包區分開發。R2的配置如下：

（7）創建route-map

（8）調用route-map

（9）測試

把筆記本的 IP的地址改為 192.168.1.2，掩碼255.255.255.0，網關設置成192.168.1.1，測試到10.10.10.10的路徑，結果變成了從路由器 R2到路由器 R1再到路由器R4，跟沒有配置策略路由時已大不一樣了。

再把筆記本 IP地址改為 192.168.2.2，子網掩碼255.255.255.0，網關設置成192.168.2.1，測試到10.10.10.10的路徑，結果為從R2路由器到R3路由器再到R4路由器。

4 結語

實踐表明，應用策略路由實現校園網多出口的設計是一套行之有效的方案，首先，它實現了網絡負載均衡，提高了用戶上網的速度。通過教育網出口訪問教育網資源，通過公網出口訪問其它資源，出口速度大大提高，同時也實現了網絡的負載均衡[7]。其次，降低了教育網資費。通過靜態路由和策略路由相結合，使得訪問教育網內資源走教育網出口，其它資源走公網出口，極大地降低了教育網的資費，每個月只需向教育網繳納固定月租費，無須繳納國際流量費用。最后，它還提高了內網的安全性。由于是采用 NAT在訪問公網資源，外部主機無法看到其真實地址，大大提高了網絡的安全性。

[1] 蔡昭權.策略路由和動態 DNS在校園網中的應用[J].計算機工程與設計,2005,26(05):1396-1398.

[2] 吳文剛.策略路由在校園網雙出口中的應用[J].山西經濟管理干部學院學報,2008,16(04):86-87.

[3] 黃美東.基于 PKI的網絡教學系統信息安全策略[J].通信技術,2008,41(02):32-34.

[4] 吳向東.構建基于 PKI高校校園網身份認證系統[J].通信技術,2009,42(06):203-204;207.

[5] 李義勇,張煥遠,李風燕,等.策略路由和NAT技術在資源共享中的應用[J].中國教育信息化，2007(03)：49-51.

[6] 劉海韜，黃家林.策略路由技術在多出口校園網中的應用[J].電腦與信息技術,2002(04):51-53.

[7] 陳阿林，肖丹燕，肖嵬，等.校園網的路由策略選擇及實現[J].電訊技術,2002(06):134-137.