引言：对策略路由、动态路由和默认路由的灵活应用在整个核心网络数据的转发中起到至关重要的作用。下面笔者将从实际网络结构出发，以扩容互联网出口为契机，通过合理的使用这三种路由来满足各个方面的网络需求。

一提到路由，相信大家都不会陌生。路由（routing）是指分组从源到目的地时，决定端到端路径的网络范围的进程。路由工作在OSI参考模型第三层—网络层，路由器通过转发数据包来实现网络互连。

路由的灵活应用对于整个核心网络数据的转发起到至关重要的作用。通常在核心网络中，特别是面对复杂的网络需求，更需要熟知路由的使用，从而为解决网络需求以及合理规划整个网络布局打下坚实基础。

图 1 网络拓扑结构

本文将从实际网络结构出发，以扩容互联网出口为契机，通过合理的使用多种路由，巧妙地满足了各个方面的网络需求。下面就详细介绍一下网络实现的过程。

近日，根据对互联网出口流量监视和分析的结果，我们发现目前的互联网出口带宽已经远远满足不了当前发展的需要。为了更好的解决问题，我们首先先了解下网络拓扑结构,如图1所示。我们可以看到目前核心网络主要由两台流控设备、路由器和BRAS组成，其中互联网出口均连接至流控设备上。

具体的路由转发是这样的：互联网用户从BRAS上通过BGP路由和路由器建立通讯关系，路由器再通过默认路由将数据转发至流控设备，然后在流控设备上依靠基于源地址的策略路由来实现不同IP地址使用不同的互联网出口。

刚才我们提到互联网出口已经告急，为了完成互联网出口的扩容，当前最好的办法就是将出口连接至流控设备上，这是最有效也是最直接的方法，但是两台流控设备的硬件只能承载10G的流量，目前两台设备都已经超负荷运行。

为了避免设备超负荷运行而带来的安全隐患，只有增加大容量流控设备，或者直接将互联网出口下移至两台核心路由器上，也就是将流控设备-1撤掉，只保留流控设备-2用来连接第三方出口。

这样将省公司出口连接至核心路由器上，第三方出口继续保留在流控设备-2上。因此就会涉及到在两台核心路由器上IP地址如何选路的问题，这儿有两个方案可供选择：

第一种，在核心路由器上应用策略路由，基于不同的源地址使用将数据直接送达至省公司或者流控设备-2上。

第二种，将使用省公司的出口使用策略路由进行转发，然后在核心路由器上配置默认路由，指向流控设备-2。

接下来我们将具体分析这两个方案的可行性。方案一是最容易想到的方法，拥有多个出口，就要使用基于源地址的策略路由，即用省公司出口的IP地址段指向省公司方向，用第三方出口的IP地址指向流控设备-2。

这样比较容易实现，其原理也很简单，但是方案一应用到我们目前的实际网络中就会出现水土不服的症状，具体原因是我们在城区BRAS-1上部署了多台10.66.64.1/21的服务器，在核心路由器-1也部署了172.29.0.0/24的服务器。这两段IP地址有两个需求：

第一，需要从其他BRAS上来的部分地址可以访问这些服务器。

第二，这些服务器都具有上网的需求，因为这两段地址并非省公司合法的地址，所以只能使用第三方出口，即走流控设备-2。

我们刚才说到按照方案一在核心路由器上应用策略路由，这样会出现从BRAS上来的匹配策略路由条目的IP地址被直接送至省公司或者第三方出口，导致不能正常访问服务器，这是为什么呢？

原来省公司出口的IP地址与服务器通讯时，使用的是BGP路由，而策略路由的优先级要高于BGP路由，所以就会出现使用省公司出口的IP地址不能正常访问服务器。同样的道理使用第三方出口的IP地址也不能正常访问服务器。

我们曾经尝试在策略路由的ACL条目中定义基于目的地址的策略，但是该服务器有访问互联网的需求，还需要在定义基于源地址的ACL，这样就会引起路由器条目匹配的问题，导致数据来回转发错误，所以方案一不可行，否定！

为了同时满足上述条件，我们可以打破思维，重新考虑网络需求。既然使用省公司出口的IP地址很多，那么我们就可以定义使用省公司出口的IP地址来匹配策略路由，而剩下的IP地址包括其他的省公司不认可的地址一律通过流控设备。具体哪些IP地址可以访问互联网，我们在流控设备-2上再做具体的要求。

这样，除了使用省公司出口的IP地址直接匹配策略路由被转发出去，剩下的IP地址段包括服务器IP地址则通过默认路由转发至流控设备-2上。大家都知道，默认路由的优先级最低，有访问服务器需求的IP地址（不在省公司出口的IP地址范围内）可以使用BGP路由通信。

我们仔细核实了访问服务器的网段均是172.24.0.0/16、172.23.0.0/16和10.66.64.1/21/的地址，而这些地址使用的都是第三方出口，这样就会保证它们在匹配默认路由前使用BGP路由进行访问。现在我们既解决了服务器需要上网的问题，又保证了与服务器通讯的需求，达到了一石二鸟的好效果。

接下来我们开始配置设备，这里主要介绍一下策略路由在核心路由上的使用，其他的配置这里就不再介绍。

ipv4-access-list SHENGGONGSI

rule 2 permit 10.220.240.0 0.0.7.255

rule 3 permit 10.219.96.0 0.0.15.255

rule 4 permit 10.219.128.0 0.0.15.255

rule 5 permit 10.219.176.0 0.0.7.255

rule 6 permit 10.219.160.0 0.0.15.255

rule 7 permit 10.219.60.0 0.0.3.255

rule 8 permit 10.219.36.0 0.0.3.255

rule 9 permit 10.219.48.0 0.0.3.255

//创建ACL列表，并在ACL列表中增加条目

route-map ZTE permit 10

//创建route-map

match ip address SHENGGONGSI

//匹配ACL列表

set ip next-hop 192.168.0.89

//设置下一跳地址

ip policy interface xgei-0/0/0/1 route-map ZTE

ip policy interface smartgroup4 route-map ZTE

ip policy interface smartgroup11 route-map ZTE

ip policy interface smartgroup12 route-map ZTE

ip policy interface smartgroup13 route-map ZTE

ip policy interface smartgroup15 route-map ZTE

ip policy interface smartgroup16 route-map ZTE

ip policy interface smartgroup19 route-map ZTE

ip policy interface smartgroup20 route-map ZTE

ip policy interface smartgroup21 route-map ZTE

ip poli--cy interface smartgroup22 route-map ZTE

//在端口上应用策略路由

通过上面的配置，完成了核心路由器上使用省公司出口的IP地址匹配策略路由，其他的IP地址匹配默认路由指向流控设备-2。

设备配置完，我们对网络进行了测试，包括对使用省公司出口、使用第三方出口以及访问服务器的情况进行长时间监视，结果正常。这样本次互联网出口的扩容和网络的优化升级成功。

这次我们根据当前的网络情况以及自身网络的需求，合理的使用路由之间的优先级，巧妙的将策略路由、BGP路由和默认路由进行了混搭，在完成互联网出口扩容的基础上，也满足了现有网络通讯的需要，达到了两全其美的效果，并且有效地保证了网络结构在最小程度改变的情况下，完成网络需求，真正做到了小动作解决大问题的效果。