策略路由分流及優化

周廣漢，龐曉楓，季志江

（浙江郵電職業技術學院，浙江紹興 312016）

校園網是所有高等學校信息化建設的基礎設施。我校早期建起來的校園網絡結構比較簡單，甚至沒有三層交換機。隨著校園信息化的日益發展，原有的校園網建設則出現相對滯后的狀態。為改變網絡滯后建設的狀態，我校在網絡核心增加了三層交換機，但并沒有更換相應的出口防火墻設備，早期的這種防火墻為桌面型，其性能有限，成為了校園網絡的出口瓶頸，尤其當校內計算機感染ARP、蠕蟲等病毒或基于P2P的應用增多時，網絡會變得異常緩慢，嚴重影響了正常的網絡使用（原校園網絡拓撲見圖1）。因此，最直接的方法就是將網絡出口設備進行升級，但一款高性能的防火墻或路由器不僅價格高昂，超出我校校園網建設的基本預算，而且也還存一些問題如單點失效等。因此，為了校園網建設的節約及原有設備利用最大化，本文利用MikroTik RouterOS改造了幾臺辦公淘汰下來的普通PC做成軟路由，分擔原來防火墻的流量，而在核心三層交換機上做策略路由實現數據的不同流向，從而實現了網絡流量分流，有效解決了桌面型防火墻瓶頸的問題（最終拓撲圖見圖2）。下面本文將針對策略路由的實現及做策略路由時碰到的問題及解決進行闡述。

圖1 原校園網絡拓撲圖

圖2 做策略路由后的網絡拓撲圖

1 策略路由（Policy-based routing）簡介

策略路由是一種可以使數據包按照用戶指定的策略進行轉發的路由規劃，它的優先級別高于普通路由。比較典型的應用就是用在存在多線路接入的網絡環境中，如有電信和網通線路接入的網絡環境，應用策略路由實現電信數據走電信線路，網通數據走網通線路，大大提高網絡性能。常用的策略路由有：基于IP地址的策略路由、基于應用的策略路由和基于數據包大小的策略路由。

配置策略路由通常包括以下幾個步驟：

1）定義訪問控制列表（ACL） 用于路由映射的匹配標準；

2）定義一個路由映射圖（Route-map）；

3） 為路由映射圖設置匹配標準（定義好的ACL）；

4）為路由映射圖設定路由器處理行為（路由選擇）；

5） 將路由映射圖映射到特定的接口上 (調用)。

2 策略路由實現分流

本文介紹的策略路由應用并非是多線路接入的選擇問題，而是應用策略路由實現多路由器分擔出口流量的問題。本文介紹的網絡環境中核心交換機是思科3750G交換機，各部門vlan及實訓室機房vlan的內部路由交換均在此交換機上實現。原來網絡出口是一臺與此交換機相連的天融信桌面型防火墻，當流量增大時，該防火墻常常不堪重負，造成出口瓶頸。因此，改造兩臺淘汰下來的普通PC做成軟路由，在核心交換機做策略路由實現數據的不同流向，達到分流的目的。把原來關鍵的辦公應用的流量仍由原來防火墻承擔，而實訓室機房及圖書館電子閱覽室等流量由軟路由承擔。具體策略路由的配置及實現說明如下：

不同廠商的路由器或交換機等產品配置策略路由的命令和方法可能略有不同，下面是在思科WS-C3750G-24TS交換機上配置策略路由的實際案例。只是需要注意的是對于思科交換機，有些IOS并不支持策略路由（如lanbase的IOS等），可通過升級IOS實現，而對于該款交換機還需要在配置模式下輸入命令sdm prefer routing及reload重啟后才能配置策略路由，但有些功能在該交換機上仍不支持。

以下是基于IP地址的策略路由配置步驟：

經過上述配置，在vlan 121及vlan 30接口下符合access-list 120的數據就被轉發到以10.20.3.2為內網接口的軟路由上了，從而達到了分流的目的。圖3為實現策略路由后數據流向的模擬。

圖3 策略路由數據流向模擬

3 策略路由配置改進

經過上述配置后，已基本實現了分流的目的。但一次在做機房外網控制時，發現存在一個問題：在ROS軟路由上關閉一實訓室機房的外網訪問權限時（關閉該實訓室機房的NAT策略），實訓室機房訪問內網資源時突然變得異常緩慢。而原來目的是讓實訓室機房訪問內網資源時只需在核心三層交換機上交換即可，訪問外網才用策略路由通過軟路由（如圖4模擬所示）。

圖4 策略路由數據訪問內外網資源時模擬流向

為什么會出現這種異常？經分析發現原來屬于實訓室機房vlan的數據都先被轉發到了軟路由上，如目的地是內網的，再被軟路由回指到了核心交換機上，這樣數據就多走了一道彎。而關閉軟路由上該子網的NAT策略時，數據似乎遲遲走不出該道彎了，如何解決？分析一下問題：數據是應用了策略路由而被轉發的，而策略路由要轉發什么數據又依賴于訪問控制列表，那么能不能在訪問控制列表中排除屬于目的地為內網的數據而不轉發呢？答案是肯定的，具體就是改進前文中的access-list 120，增加幾條，攔截目的地為內網的數據，下面就是改進后的ACL： //上面幾行即可實現當實訓室機房vlan及圖書館電子閱覽室vlan訪問內部資源時仍在核心交換機上交換，而無需經策略路由轉發，如還有其他實訓室機房子網或內部子網，均需增加相應ACL。

經過上述ACL的改進后，實訓室機房vlan及圖書館電子閱覽室vlan訪問內網及外網都非常順暢了。

4 結語

利用策略路由實現分流，達到降低出口防火墻或路由器的負擔，從而在一定程度上消除了網絡出口瓶頸。該方法具有一定的經濟性與實用性，應用一年多來，也達到了良好的效果，同時也方便了機房及電子閱覽室外網的獨立控制與管理。

[1]史振華，殷煥炯.策略路由技術在校園網中應用[J].電腦知識與技術，2009,5(35):9929-9931.

[2]王洪臣，朱尚明.多連接校園網策略路由的研究與實現[J].計算機技術與發展，2008，（4）：25-28.

[3]金鑫.策略路由技術在校園多出口網絡中的應用[J].上海應用技術學院學報，2009，（2）：138-141.

[4]賈龍.淺談策略路由的典型應用及案例分析[J].鄭鐵科技通訊，2008，（2）：8-10.