策略路由技术在多链路网络中的应用
作者:李 媛
来源:《职业·下旬刊》 2014年第2期
    文/李 媛
    摘 要:单链路出口的网络已经越来越不适应网络的飞速发展。而结合实际情况对现有的网络进行升级改造,增加一路链路作为出口,并在核心交换机上应用策略路由技术对不同vlan进行链路的选择,可实现对网络流量的分流,提升了网络的访问速度,从而达到对网络整体性能的提高。
    关键词:核心交换机 策略路由 vlan
    网络技术的飞速发展和网内用户及网络中各种应用软件的不断壮大和更新,导致网络流量的增加而影响了网络速度,这对网络提出了更进一步的要求。单路由或者单防火墙等单链路作为外网出口的情况已经不能适应网络技术的发展需求。为了给用户提供一个更快速、更安全可靠、更稳定的网络平台,笔者在原有单链路作为出口的情况下进行网络改造,增加了另一路链路出口并利用策略路由技术实现对不同链路的路由选择。
    一、策略路由技术
    策略路由即PBR(Policy-Based Routing)是路由技术中的一项新技术。它是一种灵活性强的转发机制。在传统路由中,路由器在由路由协议产生的路由表中,根据目的地址转发报文。相比之下,策略路由的灵活性在于,它除了能够根据目的地址转发报文,还能根据协议类型、报文大小、源IP地址等等来选择转发路径。简单地说,只要IP标准或扩展的访问控制列表(Standard/Extended ACL)能设置的,都可以作为策略路由的匹配规则进行转发。它可以进行多种组合的路由选择,有效地控制网络的负载均衡、单一链路上报文转发的QOS或者满足某种特定需求。
    在具体的应用中,策略路由有基于目的地址策略、基于源地址策略和智能均衡的策略:基于目的地址的策略路由一般用于网络的出口,针对访问不同的目的地设置不同的路由;基于源地址的策略路由,主要针对数据包的来源设置不同策略规则,这样可以根据用户IP地址的不同设置不同的策略路由,源地址策略路由适合于对不同级别的用户设置不同的路由策略。而智能均衡的策略方式,是策略路由的发展趋势。
    二、策略路由技术的应用
    1.网络拓扑结构
    网络拓扑结构如下图所示,结合粤东高级技工学校网络实例。改造前是以H3C F1000-A防火墙作为单链路出口,使用电信100M的光纤,所有的流量都从此链路出去,防火墙压力巨大,容易造成上网速度卡,以及防火墙CPU被高度占用的情况,导致设备性能下降、死机等问题。我们利用原有的移动30M的光纤进行网络改造,加入H3C U200防火墙作为另一个链路的出口。
   
    由于不是单路由器(防火墙)双链路出口,而是双路由器(防火墙)双链路出口。所以我们没有选择基于目的的策略路由应用到链路出口上,而是把策略路由布置在核心交换机Cisco catalyst 3560上,这就是基于源地址的策略路由。因此我们根据不同的vlan,设置不同的策略路由,实现了网络流量的分流。
    笔者将策略路由布置在核心交换机上,更加符合实际的需求,也是进一步升级改造的基础。例如,在两路链路的两个出口设备上,可以再进行基于目的地址的策略路由,针对访问不同的目的地设置不同的策略路由,把流量再进行细分,两台设备可以变成4路链路出口,甚至可以通过升级出口设备的模块来达到拥有更多出口的目的。这就是智能均衡的策略方式了,留待进一步升级改造需要,便可更进一步提高网络的整体性能。
    2.策略路由技术的实现
    根据网络改造的思路,我们把网内划分成四个vlan,分别为财务、办公、教学、宿舍。设计财务网段是从移动30M光纤访问公网,其他三个网段是从电信100M光纤访问公网。由于Cisco catalyst 3560的IOS版本配备有ipbase和ipservices特性集,而ipservices特性集方可配置策略路由。因原版本是ipbase,所以我们必须先把IOS升级为ipservices。此次改造的主要工作就是通过tftp服务器实现对核心交换机Cisco catalyst 3560的IOS升级,并在其上实现vlan的划分、访问控制列表ACL的控制和配置策略路由功能,使得网内不同网段的计算机可以通过核心交换机自动实现对不同路线的网络出口的选择。
    (1)IOS版本升级。由于原有的IOS文件C3560-ipbasemz.122-35.SE5.bin无法实现策略路由功能,必须升级IOS文件,匹配的IOS文件为C3560-ipservices-mz.122-25.SEE1.bin。
    接下来的步骤是配置tftp服务器,使得它可以实现在交换机上对文件的上传与下载的功能。下载tftp文
件CiscoTFTP Server,并运行文件。然后进入3560的配置,通过指令把原有的IOS文件下载下来保存,然后再把交换机上的IOS删掉,再上传新的IOS,具体的操作如下:
    执行备份前先用dir、cd、pwd等命令查看交换机flash中的目录结构。此交换机IOS的bin文件以及html文件夹都在flash中的C3560-ipbase-mz.122-35.SE5目录下。
    ①删除原IOS,将原IOS备份到IP为192.168.1.100的tftp服务器上并删除交换机上的IOS文件。
   
    ②上传新的IOS,将新IOS复制到flash的根目录下。
   
    ③让交换机用新的IOS启动。
   
app开发者需要更新此app以在此ios上正常使用
    启动完成后就实现了对IOS的更新。
    (2)vlan的划分和访问控制列表ACL。在实现策略路由的功能之前,先对vlan进行划分。vlan1为网络设备的管理地址,再划分四个vlan,办公vlan2 、教学vlan3、宿舍vlan4和财务vlan100,并且通过访问控制列表ACL控制四个vlan不可互访。
    ①设置vlan1即是管理地址为192.168.1.2作为3560的管理地址。
   
    ②设置vlan2的地址为192.168.2.1,并且设置编号为151的vlan2的访问列表,实现vlan2不能访问到vlan3、vlan4和vlan100,具体如下:
   
    ③设置vlan3的地址为192.168.3.1,并且设置编号为152的vlan3的访问列表,实现vlan3不能访问到vlan2、vlan4和vlan100,具体如下: