策略路由在多出口网络中的应用
2015-01-17张光亚
张光亚
(鄂州职业大学,湖北 鄂州 436000)
策略路由在多出口网络中的应用
张光亚
(鄂州职业大学,湖北 鄂州 436000)
因为IPV4地址紧缺和多运营商互通受限问题,大多数高校采用多出口的网络来满足其需求。结合实际情况,运用基于源地址的策略路由来解决多出口的路由选择问题,不仅很好地利用了多条链路,提高了网络访问速度,还大大增加了网络可靠性和安全性。
PBR;策略路由;NAT;ACL
1 策略路由技术
目前,高校校园网普遍采用多出口方式,由于不同的网络运营商之间的互联互通存在问题,导致用户在访问不同运营商的资源时,速度大受影响,甚至无法访问。为满足高校校园网络用户的需求,实现资源共享的目的,本文提出基于源地址的策略路由的网络多出口配置方案,实现电信与联通双链路的接入,为师生的工作、学习、生活带来便利[1]。
PBR[2](Policy Based Route,基于策略的路由,简称策略路由)是一种依据用户指定的策略进行路由选择的机制。要实现策略路由,首先要定义一组匹配规则(即要实施策略路由的报文的特征,如将报文的源地址、目的地址、长度等特征作为匹配依据);然后再将其应用到相应接口,使路由器按照预先制定的策略转发报文。
一个PBR由一个或多个带编号的节点(node)构成,在策略路由匹配过程中,按照各个节点的编号从小到大顺序依次检查,如图1所示:
图1 PBR匹配流程
每个节点(node)由一组if-match 定义的匹配规则子句和apply 定义的动作子句组成。节点的匹配模式分为允许模式(permit)和拒绝模式(deny):允许模式是当报文通过该节点的一组if-match子句过滤后将执行该节点的apply子句;而拒绝模式则不执行该节点的apply子句。
每个节点的if-match子句之间是“与”关系,即报文如果要执行该节点的apply子句,需要满足该节点的所有if-match子句。
不同节点间是“或”的关系,只要通过了上一节点的过滤,就意味着通过了该PBR,不再对其它节点进行匹配。
实施了策略路由的路由器,在报文抵达时,按照顺序进行策略匹配,如果满足匹配策略,则根据该策略转发;如果不满足,则按照默认路由来处理报文。
策略路由常用的分为两种:根据转发报文的目的地址来进行的策略路由和根据转发报文的源地址来实施策略的路由。策略路由还有其它的类型:根据转发包的大小、所用协议类型等。
NAT[3](NetworkAddress Translation,网络地址转换)的出现是为了解决IPV4地址短缺的问题。IP地址分为私有地址和公有地址。公有地址由IANA统一分配,用于Internet通信;私有地址用于私网内部通信,无法直接用于Internet通信。NAT技术的主要作用就是将私有地址转换成公有地址,是私有网络中的主机可以通过共享少量的公有地址访问Internet。
2 策略路由的应用
2.1 校园网的出口设计
本单位在数字化校园建设的过程中,逐步形成了教育网、电信、联通等多IPS接入的多出口校园网模式。教育网因为2Mbps带宽远不能满足学校逐步增长的网络需求而于去年停用,现在为电信、联通的双出口模式。其中,电信的出口带宽为200Mbps,联通的出口带宽为300Mbps,共20个公有IP(电信联通各10个)满足校内对外服务器和NAT的需求。
为了充分利用两家IPS的链路带宽、流量负载分担和校内用户更快的速度体验,设计思路如下:
(1)校内上网师生共约1.5万人,鉴于IPv4地址的有限性,拿出20个公有IP中的5个形成2个地址池进行NAT转换(其中电信2个公有IP,联通3个公有IP)。NAT地址池如表1所示:
表1 NAT地址池
(2)图书馆为教职工办公的主要场所,鉴于本地电信网络的稳定性和可靠性较高,图书馆全部流量走电信出口。教学楼、学生宿舍、食堂等其他地方的流量全部走联通出口。使用基于源地址的PBR实现。出口规划如表2所示:
表2 出口规划表
2.2 策略路由的实现
本单位采购了1台H3C的S7506E作为核心交换机,搭配一块S7506E防火墙插卡作为担任NAT、防火墙和策略路由等功能的出口路由器。所用产品详细型号及用途如表3所示。
表3 出口交换机及防火墙板卡型号
根据本地两家ISP提供的公有IP,我们进行了规划配置。
2.2.1 NAT与配置
(1)配置地址池
#电信地址池
nat address-group 1219.138.221.230219.138.221.231 level 1
#联通地址池
nat address-group 2 211.91.176.66 211.91.176.68 level 1
(2)配置ACL,用于筛选出“需要被NAT转换的报文”
#定义基于源地址的报文的访问控制列表2000,源地址主要为图书馆区域(电信网络出口区域)
acl number 2000
description acl_chinatelecom-isp-xyw
rule 5 permit source 10.0.0.0 0.255.255.255
#定义基于源地址的报文的访问控制列表2001,源地址主要为非图书馆区域(教学楼、宿舍、食堂等联通网络出口的区域)
acl number 2001
description acl_for_nat_chinaunicom-isp-xyw
rule 0 permit source 172.17.10.0 0.0.0.255
rule 5 permit source 172.18.15.0 0.0.0.255
rule 10 permit source 172.18.16.0 0.0.0.255
…
(3)在通向公网的出接口上配置ACL与NAT地址池的关联
#电信NAT
interface Vlan-interface3090
ip address 219.138.221.230 255.255.255.192
nat outbound 2000 address-group 1
#联通NAT
interface Vlan-interface3110
description chinaunicom
ip address 211.91.176.66 255.255.255.224
nat outbound 2001 address-group 2
2.2.2 PBR配置
(1)配置ACL,用于筛选出“需要被策略路由的报文”
因为与NAT中的ACL相同,可参照上文NAT中的ACL配置,笔者不再累赘。
(2)创建PBR,并使用if-match子句来设定路由信息的匹配规则
#创建名为chinatelecom-isp的策略路由,匹配规则为ACL 2000,apply为电信的下一条地址。
policy-based-route chinatelecom-isp permit node 0
if-match acl2000
apply ip-address next-hop 219.138.221.193
##创建名为chinaunicom-isp的策略路由,匹配规则为ACL 2001,apply为联通的下一条地址。
policy-based-route chinaunicom-isp permit node 5
if-match acl 2001
apply ip-address next-hop 211.91.176.65
(3)在接口视图下绑定接口策略路由
#电信出口配置。
interface Vlan-interface3090
ip address 219.138.221.230 255.255.255.192
ip policy-based-route chinatelecom-isp
#联通接口配置
interface Vlan-interface3110
ip address 211.91.176.66 255.255.255.224
ip policy-based-route chinaunicom-isp
(4)创建2条默认路由,上述选路失败时可从默认路由转发数据,保障网络可靠性
ip route-static 0.0.0.0 0.0.0.0 219.138.221.193
ip route-static 0.0.0.0 0.0.0.0 211.91.176.65preference 65
经过上述配置后,图书馆的私有IP经NAT后转换电信的公有IP,经由电信出口访问Internet;而非图书馆(教学楼、宿舍、食堂等)的私有IP经NAT后转换联通的公有IP,经由联通出口访问Internet。
3 总结
(1)IPv4地址的紧缺是技术本身决定的,当前无法从根本上得到解决,NAT技术成为众多上网用户对公有IP需求的主要解决途径。随着IPv6的逐步推广,其128位的IP地址容量是达到2128个,这不但解决了网络地址资源数量的问题,同时也为除电脑外的设备连入互联网在数量限制上扫清了障碍[4],从根本上解决IPv4地址紧缺的问题。
(2)多出口网络已经成为很多高校的“标配”,虽然在策略路由的选择上还有其它方案,但基于源地址的策略路由是一种常见的解决方案。但也有其缺陷,外部网络在访问校内服务器时,可能面临着跨ISP访问所带来的速度变慢等问题。
在信息化高速发展的今天,IT技术不成为问题,问题是如何使用合适的IT技术来满足数字化校园建设的需求。
[1]唐伟萍.策略路由技术在多出口校园网络中的应用[J].软件导刊, 2012,05:108-109.
[2]杭州华三通信技术有限公司.路由交换技术.第3卷[M].北京:清华大学出版社,2012:173-174.
[3]杭州华三通信技术有限公司.路由交换技术.第1卷下册[M].北京:清华大学出版社,2011:163-164.
[4]百度百科.IPv6[EB/OL].http://baike.baidu.com/view/5228.htm, 2014-12-25/2015-01-26.
Application of Policy Based Route in Multiple Outlet Network
Zhang Guangya
(Ezhou Polytechnic,Ezhou 436000,Hubei)
act】Because of the shortage of IPV4 addresses and the limitation of data transmission between multiple operators,most colleges use more than one ISP to meet their needs.Using PBR based on source address to solve the problem of multiple outlet routes,not only makes good use of the more than one network links,improving network access speed,but also greatly increases network reliability and security.
PBR;policy based route;NAT;ACL
TP393
A
1008-6609(2015)03-0074-03
张光亚,男,湖北随州人,硕士,讲师。研究方向:云计算,网络工程,数据库。
