策略路由在多出口網絡中的應用

張光亞

（鄂州職業大學，湖北 鄂州 436000）

策略路由在多出口網絡中的應用

張光亞

（鄂州職業大學，湖北 鄂州 436000）

因為IPV4地址緊缺和多運營商互通受限問題，大多數高校采用多出口的網絡來滿足其需求。結合實際情況，運用基于源地址的策略路由來解決多出口的路由選擇問題，不僅很好地利用了多條鏈路，提高了網絡訪問速度，還大大增加了網絡可靠性和安全性。

PBR；策略路由；NAT；ACL

1 策略路由技術

目前，高校校園網普遍采用多出口方式，由于不同的網絡運營商之間的互聯互通存在問題，導致用戶在訪問不同運營商的資源時，速度大受影響，甚至無法訪問。為滿足高校校園網絡用戶的需求，實現資源共享的目的，本文提出基于源地址的策略路由的網絡多出口配置方案，實現電信與聯通雙鏈路的接入，為師生的工作、學習、生活帶來便利[1]。

PBR[2](Policy Based Route，基于策略的路由，簡稱策略路由)是一種依據用戶指定的策略進行路由選擇的機制。要實現策略路由，首先要定義一組匹配規則（即要實施策略路由的報文的特征，如將報文的源地址、目的地址、長度等特征作為匹配依據）；然后再將其應用到相應接口，使路由器按照預先制定的策略轉發報文。

一個PBR由一個或多個帶編號的節點（node）構成，在策略路由匹配過程中，按照各個節點的編號從小到大順序依次檢查，如圖1所示：

圖1 PBR匹配流程

每個節點（node）由一組if-match 定義的匹配規則子句和apply 定義的動作子句組成。節點的匹配模式分為允許模式（permit）和拒絕模式（deny）：允許模式是當報文通過該節點的一組if-match子句過濾后將執行該節點的apply子句；而拒絕模式則不執行該節點的apply子句。

每個節點的if-match子句之間是“與”關系，即報文如果要執行該節點的apply子句，需要滿足該節點的所有if-match子句。

不同節點間是“或”的關系，只要通過了上一節點的過濾，就意味著通過了該PBR，不再對其它節點進行匹配。

實施了策略路由的路由器，在報文抵達時，按照順序進行策略匹配，如果滿足匹配策略，則根據該策略轉發；如果不滿足，則按照默認路由來處理報文。

策略路由常用的分為兩種：根據轉發報文的目的地址來進行的策略路由和根據轉發報文的源地址來實施策略的路由。策略路由還有其它的類型：根據轉發包的大小、所用協議類型等。

NAT[3]（NetworkAddress Translation，網絡地址轉換）的出現是為了解決IPV4地址短缺的問題。IP地址分為私有地址和公有地址。公有地址由IANA統一分配，用于Internet通信；私有地址用于私網內部通信，無法直接用于Internet通信。NAT技術的主要作用就是將私有地址轉換成公有地址，是私有網絡中的主機可以通過共享少量的公有地址訪問Internet。

2 策略路由的應用

2.1 校園網的出口設計

本單位在數字化校園建設的過程中，逐步形成了教育網、電信、聯通等多IPS接入的多出口校園網模式。教育網因為2Mbps帶寬遠不能滿足學校逐步增長的網絡需求而于去年停用，現在為電信、聯通的雙出口模式。其中，電信的出口帶寬為200Mbps，聯通的出口帶寬為300Mbps，共20個公有IP(電信聯通各10個)滿足校內對外服務器和NAT的需求。

為了充分利用兩家IPS的鏈路帶寬、流量負載分擔和校內用戶更快的速度體驗，設計思路如下：

（1）校內上網師生共約1.5萬人，鑒于IPv4地址的有限性，拿出20個公有IP中的5個形成2個地址池進行NAT轉換（其中電信2個公有IP，聯通3個公有IP）。NAT地址池如表1所示：

表1 NAT地址池

（2）圖書館為教職工辦公的主要場所，鑒于本地電信網絡的穩定性和可靠性較高，圖書館全部流量走電信出口。教學樓、學生宿舍、食堂等其他地方的流量全部走聯通出口。使用基于源地址的PBR實現。出口規劃如表2所示：

表2 出口規劃表

2.2 策略路由的實現

本單位采購了1臺H3C的S7506E作為核心交換機，搭配一塊S7506E防火墻插卡作為擔任NAT、防火墻和策略路由等功能的出口路由器。所用產品詳細型號及用途如表3所示。

表3 出口交換機及防火墻板卡型號

根據本地兩家ISP提供的公有IP，我們進行了規劃配置。

2.2.1 NAT與配置

（1）配置地址池

#電信地址池

nat address-group 1219.138.221.230219.138.221.231 level 1

#聯通地址池

nat address-group 2 211.91.176.66 211.91.176.68 level 1

（2）配置ACL，用于篩選出“需要被NAT轉換的報文”

#定義基于源地址的報文的訪問控制列表2000，源地址主要為圖書館區域（電信網絡出口區域）

acl number 2000

description acl_chinatelecom-isp-xyw

rule 5 permit source 10.0.0.0 0.255.255.255

#定義基于源地址的報文的訪問控制列表2001，源地址主要為非圖書館區域（教學樓、宿舍、食堂等聯通網絡出口的區域）

acl number 2001

description acl_for_nat_chinaunicom-isp-xyw

rule 0 permit source 172.17.10.0 0.0.0.255

rule 5 permit source 172.18.15.0 0.0.0.255

rule 10 permit source 172.18.16.0 0.0.0.255

…

（3）在通向公網的出接口上配置ACL與NAT地址池的關聯

#電信NAT

interface Vlan-interface3090

ip address 219.138.221.230 255.255.255.192

nat outbound 2000 address-group 1

#聯通NAT

interface Vlan-interface3110

description chinaunicom

ip address 211.91.176.66 255.255.255.224

nat outbound 2001 address-group 2

2.2.2 PBR配置

(1)配置ACL，用于篩選出“需要被策略路由的報文”

因為與NAT中的ACL相同，可參照上文NAT中的ACL配置，筆者不再累贅。

(2)創建PBR，并使用if-match子句來設定路由信息的匹配規則

#創建名為chinatelecom-isp的策略路由，匹配規則為ACL 2000，apply為電信的下一條地址。

policy-based-route chinatelecom-isp permit node 0

if-match acl2000

apply ip-address next-hop 219.138.221.193

##創建名為chinaunicom-isp的策略路由，匹配規則為ACL 2001，apply為聯通的下一條地址。

policy-based-route chinaunicom-isp permit node 5

if-match acl 2001

apply ip-address next-hop 211.91.176.65

（3）在接口視圖下綁定接口策略路由

#電信出口配置。

interface Vlan-interface3090

ip address 219.138.221.230 255.255.255.192

ip policy-based-route chinatelecom-isp

#聯通接口配置

interface Vlan-interface3110

ip address 211.91.176.66 255.255.255.224

ip policy-based-route chinaunicom-isp

（4）創建2條默認路由，上述選路失敗時可從默認路由轉發數據，保障網絡可靠性

ip route-static 0.0.0.0 0.0.0.0 219.138.221.193

ip route-static 0.0.0.0 0.0.0.0 211.91.176.65preference 65

經過上述配置后，圖書館的私有IP經NAT后轉換電信的公有IP，經由電信出口訪問Internet；而非圖書館（教學樓、宿舍、食堂等）的私有IP經NAT后轉換聯通的公有IP，經由聯通出口訪問Internet。

3 總結

（1）IPv4地址的緊缺是技術本身決定的，當前無法從根本上得到解決，NAT技術成為眾多上網用戶對公有IP需求的主要解決途徑。隨著IPv6的逐步推廣，其128位的IP地址容量是達到2128個，這不但解決了網絡地址資源數量的問題，同時也為除電腦外的設備連入互聯網在數量限制上掃清了障礙[4]，從根本上解決IPv4地址緊缺的問題。

（2）多出口網絡已經成為很多高校的“標配”，雖然在策略路由的選擇上還有其它方案，但基于源地址的策略路由是一種常見的解決方案。但也有其缺陷，外部網絡在訪問校內服務器時，可能面臨著跨ISP訪問所帶來的速度變慢等問題。

在信息化高速發展的今天，IT技術不成為問題，問題是如何使用合適的IT技術來滿足數字化校園建設的需求。

[1]唐偉萍．策略路由技術在多出口校園網絡中的應用[J]．軟件導刊, 2012,05:108-109．

[2]杭州華三通信技術有限公司．路由交換技術．第3卷[M]．北京：清華大學出版社，2012：173-174．

[3]杭州華三通信技術有限公司．路由交換技術．第1卷下冊[M]．北京：清華大學出版社，2011：163-164．

[4]百度百科．IPv6[EB/OL]．http://baike．baidu．com/view/5228．htm, 2014-12-25/2015-01-26．

Application of Policy Based Route in Multiple Outlet Network

Zhang Guangya
（Ezhou Polytechnic，Ezhou 436000，Hubei）

act】Because of the shortage of IPV4 addresses and the limitation of data transmission between multiple operators,most colleges use more than one ISP to meet their needs.Using PBR based on source address to solve the problem of multiple outlet routes,not only makes good use of the more than one network links,improving network access speed,but also greatly increases network reliability and security.

PBR；policy based route；NAT；ACL

TP393

A

1008-6609(2015)03-0074-03

張光亞，男，湖北隨州人，碩士，講師。研究方向：云計算，網絡工程，數據庫。