策略路由分流及优化
2011-02-08周广汉庞晓枫季志江
周广汉,庞晓枫,季志江
(浙江邮电职业技术学院,浙江绍兴 312016)
校园网是所有高等学校信息化建设的基础设施。我校早期建起来的校园网络结构比较简单,甚至没有三层交换机。随着校园信息化的日益发展,原有的校园网建设则出现相对滞后的状态。为改变网络滞后建设的状态,我校在网络核心增加了三层交换机,但并没有更换相应的出口防火墙设备,早期的这种防火墙为桌面型,其性能有限,成为了校园网络的出口瓶颈,尤其当校内计算机感染ARP、蠕虫等病毒或基于P2P的应用增多时,网络会变得异常缓慢,严重影响了正常的网络使用(原校园网络拓扑见图1)。因此,最直接的方法就是将网络出口设备进行升级,但一款高性能的防火墙或路由器不仅价格高昂,超出我校校园网建设的基本预算,而且也还存一些问题如单点失效等。因此,为了校园网建设的节约及原有设备利用最大化,本文利用MikroTik RouterOS改造了几台办公淘汰下来的普通PC做成软路由,分担原来防火墙的流量,而在核心三层交换机上做策略路由实现数据的不同流向,从而实现了网络流量分流,有效解决了桌面型防火墙瓶颈的问题(最终拓扑图见图2)。下面本文将针对策略路由的实现及做策略路由时碰到的问题及解决进行阐述。
图1 原校园网络拓扑图
图2 做策略路由后的网络拓扑图
1 策略路由(Policy-based routing)简介
策略路由是一种可以使数据包按照用户指定的策略进行转发的路由规划,它的优先级别高于普通路由。比较典型的应用就是用在存在多线路接入的网络环境中,如有电信和网通线路接入的网络环境,应用策略路由实现电信数据走电信线路,网通数据走网通线路,大大提高网络性能。常用的策略路由有:基于IP地址的策略路由、基于应用的策略路由和基于数据包大小的策略路由。
配置策略路由通常包括以下几个步骤:
1)定义访问控制列表(ACL) 用于路由映射的匹配标准;
2)定义一个路由映射图(Route-map);
3) 为路由映射图设置匹配标准(定义好的ACL);
4)为路由映射图设定路由器处理行为(路由选择);
5) 将路由映射图映射到特定的接口上 (调用)。
2 策略路由实现分流
本文介绍的策略路由应用并非是多线路接入的选择问题,而是应用策略路由实现多路由器分担出口流量的问题。本文介绍的网络环境中核心交换机是思科3750G交换机,各部门vlan及实训室机房vlan的内部路由交换均在此交换机上实现。原来网络出口是一台与此交换机相连的天融信桌面型防火墙,当流量增大时,该防火墙常常不堪重负,造成出口瓶颈。因此,改造两台淘汰下来的普通PC做成软路由,在核心交换机做策略路由实现数据的不同流向,达到分流的目的。把原来关键的办公应用的流量仍由原来防火墙承担,而实训室机房及图书馆电子阅览室等流量由软路由承担。具体策略路由的配置及实现说明如下:
不同厂商的路由器或交换机等产品配置策略路由的命令和方法可能略有不同,下面是在思科WS-C3750G-24TS交换机上配置策略路由的实际案例。只是需要注意的是对于思科交换机,有些IOS并不支持策略路由(如lanbase的IOS等),可通过升级IOS实现,而对于该款交换机还需要在配置模式下输入命令sdm prefer routing及reload重启后才能配置策略路由,但有些功能在该交换机上仍不支持。
以下是基于IP地址的策略路由配置步骤:
经过上述配置,在vlan 121及vlan 30接口下符合access-list 120的数据就被转发到以10.20.3.2为内网接口的软路由上了,从而达到了分流的目的。图3为实现策略路由后数据流向的模拟。
图3 策略路由数据流向模拟
3 策略路由配置改进
经过上述配置后,已基本实现了分流的目的。但一次在做机房外网控制时,发现存在一个问题:在ROS软路由上关闭一实训室机房的外网访问权限时(关闭该实训室机房的NAT策略),实训室机房访问内网资源时突然变得异常缓慢。而原来目的是让实训室机房访问内网资源时只需在核心三层交换机上交换即可,访问外网才用策略路由通过软路由(如图4模拟所示)。
图4 策略路由数据访问内外网资源时模拟流向
为什么会出现这种异常?经分析发现原来属于实训室机房vlan的数据都先被转发到了软路由上,如目的地是内网的,再被软路由回指到了核心交换机上,这样数据就多走了一道弯。而关闭软路由上该子网的NAT策略时,数据似乎迟迟走不出该道弯了,如何解决?分析一下问题:数据是应用了策略路由而被转发的,而策略路由要转发什么数据又依赖于访问控制列表,那么能不能在访问控制列表中排除属于目的地为内网的数据而不转发呢?答案是肯定的,具体就是改进前文中的access-list 120,增加几条,拦截目的地为内网的数据,下面就是改进后的ACL: //上面几行即可实现当实训室机房vlan及图书馆电子阅览室vlan访问内部资源时仍在核心交换机上交换,而无需经策略路由转发,如还有其他实训室机房子网或内部子网,均需增加相应ACL。
经过上述ACL的改进后,实训室机房vlan及图书馆电子阅览室vlan访问内网及外网都非常顺畅了。
4 结语
利用策略路由实现分流,达到降低出口防火墙或路由器的负担,从而在一定程度上消除了网络出口瓶颈。该方法具有一定的经济性与实用性,应用一年多来,也达到了良好的效果,同时也方便了机房及电子阅览室外网的独立控制与管理。
[1]史振华,殷焕炯.策略路由技术在校园网中应用[J].电脑知识与技术,2009,5(35):9929-9931.
[2]王洪臣,朱尚明.多连接校园网策略路由的研究与实现[J].计算机技术与发展,2008,(4):25-28.
[3]金鑫.策略路由技术在校园多出口网络中的应用[J].上海应用技术学院学报,2009,(2):138-141.
[4]贾龙.浅谈策略路由的典型应用及案例分析[J].郑铁科技通讯,2008,(2):8-10.