规划专用IP网双路由

2018-11-07

网络安全和信息化 2018年3期

专用IP网络拓扑规划

专用IP网络主要用于实时数据、话音和图像业务的综合传输与交换，为了保障业务可靠不间断传输，在建设专用IP网络时必须考虑稳定性、可靠性、安全性和可管理性：稳定性主要考虑关键设备之间的物理层连接应具备冗余备份能力，网络层协议具备自动迂回、抑制环路的能力；可靠性主要考虑IP网络要为应用服务提供高可用的互联互通能力；安全性主要考虑在确保形同类型数据流能互通的基础上，具备服务质量的保障能力；可管理性主要考虑网管终端能集中监控应用设备和网络设备状态。基于此，专用IP网络拓扑规划如图1所示。

图1 网络拓扑规划图

由图看出，专用IP网络为星型结构，乙地、丙地到甲地主用链路为光纤链路，备份链路为乙地与丙地的微波链路。

OSPF动态路由协议配置及路由控制技术

OSPF协议是一种基于链路状态的动态路由协议，由路由器动态获取与相邻设备之间的链路状态，并通告至OSPF区域内的所有路由器，通过最短路径算法得到每一台路由器至各网段的最短路径。

OSPF协议配置的关键要素包括：区域、发布网段和链路权值。专用IP网络中4台交换机HXSW1、HXSW2、HJSW1、HJSW2启用 OSPF协议，配置命令和基本原则如下所示：区域通过命令area设置，通常用0表示骨干网络，考虑到专用IP网络还要与其他专网连接，本专网的区域标志为非零值，这里设置为1；OSPF协议通过命令network发布网段，不发布没有数据交互的互联网段；链路权值通过参数weight设置，用于避免环形组网所产生的等价路由。

业务数据在等价路由的链路中采用负荷分担的方式传输，在设计IP网络时，应尽量避免等价路由造成的通信异常现象。

路由控制由策略来实现，路由策略将路由信息过滤的手段提供给路由协议，是为了改变网络流量经过的途径而对路由信息采用的控制方法，用以控制路由信息的引入、发布和接收。

路由策略由一系列的规则组成，这些规则大体上分为三类，分别作用于路由发布、路由接收和路由引入过程。因为定义一条策略等同于定义一组过滤器，并在接收、发布一条路由信息或在不同协议间进行路由信息交换前应用这些过滤器，所以路由策略也常被称为路由过滤。

IP网络中的路由策略提供了routing-policy（路由策略）、access-list（访问列表）、aspath（自治系统路径信息访问列表）、communitylist（团体属性列表）和prefix-list（前缀列表）等过滤器，供各路由协议进行协议策略规则的制定。

routing-policy是一种比较复杂的过滤器，它不仅可以匹配给定路由信息的某些属性，还可以在条件满足时改变路由信息的属性。

一个routing-policy由一组if-match和apply子句组成，if-match子句定义匹配规则，匹配对象是路由信息的一些属性，也就是通过当前routing-policy所需满足的过滤条件；apply子句指定动作，也就是在满足由if-match子句指定的过滤条件后执行的一些配置命令，对路由信息的一些属性进行设置。

prefix-list用于路由信息过滤，其匹配对象为路由信息的目的地址信息域，即路由信息分组中IP报头的目的地址，它控制本地路由协议只能接收某些特定的路由信息。

前缀列表由列表名标识，每个前缀列表可以包含多个表项。各表项可独立指定一个网络前缀形式的匹配范围，并使用索引号标识。

在匹配过程中，不同sequence-number的各部分之间是“或”的关系，系统按索引号升序依次检查各个表项，只要有一个表项满足条件，就认为通过该过滤表，不再匹配其他表项。

在IP网络中控制路由发布的方法非常灵活，可以在动态路由协议相互引入时修改cost值。动态路由协议最常用的为OSPF，路由控制可以在OSPF进程中通过路由引入命令，配以routingpolicy以及IP-prefix加以控制。

以HXSW1为例，OSPF协议配置命令如下：

router id *.64.5.1

ospf 100

nexthop *.71.1.10 weight 10

（weight默认值255，值越小优先级越高）

nexthop *.71.1.20 weight 100

area 0.0.0.1

import-route direct type 1 route-policy yi_ip_filte

（通过route-policy控制引入直接路由）

import-route static type 1 route-policy yi_ip_filte

（通过route-policy控制引入静态路由）

import-route unr type 1 route-policy yi_ip_filte

（通过route-policy控制引入静态用户路由）

network *.71.0.1 0.0.0.0

(发布环回地址)

network *.71.1.0 0.0.0.7

(发布交换机之间互联接口网段)

network *.71.1.8 0.0.0.7

network *.71.1.24 0.0.0.7

network *.71.3.24 0.0.0.255

（发布其他业务网段）

routing-policy yi_ip_filte deny node 10

（定义yi_ip_filte节点且节点号为10）

if-match ip-prefix ip_deny

routing-policy yi_ip_filte permit node 20

（定义yi_ip_filte节点且节点号为20）

if-match ip-prefix ip_permit

apply cost+110

ip ip-prefix ip_permit index 10 permit*.83.1.2 24

（定义ip_permit允许的字段）

ip ip-prefix ip_deny index 10 permit*.84.1.3 24

（定义ip_deny 拒绝的字段）

VRRP协议配置

VRRP（虚拟路由冗余协议），从 VRID（Virtual Router Identification，虚拟路由器标志）值和Virtual IP（虚拟IP）值相同的一组路由器中，根据priority（优先级）参数的大小选举出master（主路由器）和backup（备份路由器），并关联到虚拟路由器上，作为连接网段的默认网关。

主用路由器转发所有发往Virtual IP地址的数据包。

当主路由器故障后，VRRP协议将重新选举产生新的主路由器。

配置VRRP协议的要素包括：VRID、Virtual IP、priority和协议包二层互通。VRRP包主要通过HXSW1与HXSW2、HJSW1与 HJSW2之间的Eth-Trunk（以太网干线）配置来实现二层协议互通。

以 HJSW1为例，vlan 5为测量数据所在VLAN（Virtual Local Area Network，虚拟局域网），具体参数配置如下：

interface Eth-Trunk 0

port hybrid tagged vlan 5

interface Ethernet0/0/21

Eth-Trunk 0

interface Ethernet0/0/22

Eth-Trunk 0

Interface vlanif5

ip address *.71.5.254 255.255.255.0