策略路由技术在多链路网络中的应用

1、策略路由技术在多链路网络中的应用摘 要：单链路出口的网络已经越来越不适应网络的飞速发展。而结 合实际情况对现有的网络进行升级改造，增加一路链路作为出口，并在核 心交换机上应用策略路山技术对不同vlan进行链路的选择，可实现对网 络流量的分流，提升了网络的访问速度，从而达到对网络整体性能的提高。关键词：核心交换机 策略路由vlan网络技术的飞速发展和网内用户及网络中各种应用软件的不断壮大 和更新，导致网络流量的增加而影响了网络速度，这对网络提出了更进一 步的要求。单路由或者单防火墙等单链路作为外网出口的情况已经不能适 应网络技术的发展需求。为了给用户提供一个更快速、更安全可靠、更稳 定的网络平台

2、，笔者在原冇单链路作为出口的情况下进行网络改造，增加 了另一路链路出口并利用策略路由技术实现对不同链路的路由选择。一、策略路山技术策略路由即pbr (policy-based routing)是路由技术中的一项新技 术。它是一种灵活性强的转发机制。在传统路由中，路由器在由路由协议 产生的路由表屮，根据目的地址转发报文。相比之下，策略路由的灵活性 在于，它除了能够根据目的地址转发报文，还能根据协议类型、报文大小、 源ip地址等等来选择转发路径。简单地说,只要ip标准或扩展的访问控 制列表(standard/extended acl)能设置的,都可以作为策略路由的匹配规则进行转发。它可以进行多种组

3、合的路由选择，有效地控制网络的负 载均衡、单一链路上报文转发的qos或者满足某种特定需求。在具体的应用中，策略路由有基于日的地址策略、基于源地址策略和 智能均衡的策略：基于目的地址的策略路由一般用于网络的出口，针对访 问不同的日的地设置不同的路由；基于源地址的策略路由，主要针对数据 包的来源设置不同策略规则，这样可以根据用户ip地址的不同设置不同 的策略路由，源地址策略路由适合于对不同级别的用户设置不同的路由策 略。而智能均衡的策略方式，是策略路由的发展趋势。二、策略路由技术的应用1网络拓扑结构网络拓扑结构如下图所示，结合粤东高级技丁学校网络实例。改造前 是以ii3c f1000-a防火墙作为

4、单链路出口，使用电信100m的光纤，所有 的流量都从此链路出去，防火墙压力巨大，容易造成上网速度卡，以及防 火墙cpu被高度占用的情况，导致设备性能下降、死机等问题。我们利用 原有的移动30m的光纤进行网络改造，加入h3c u200防火墙作为另一个 链路的出口。图网络拓扑结构由于不是单路由器（防火墙）双链路出口，而是双路由器（防火墙） 双链路出口。所以我们没冇选择基于目的的策略路由应用到链路出口上， 而是把策略路由布置在核心交换机cisco catalyst 3560 ±,这就是基于 源地址的策略路山。因此我们根据不同的vlan,设置不同的策略路山，实 现了网络流量的分流。笔者将策略

5、路由布置在核心交换机上，更加符合实际的需求，也是进 一步升级改造的基础。例如，在两路链路的两个出口设备上，可以再进行 基于冃的地址的策略路由，针对访问不同的目的地设置不同的策略路由， 把流量再进行细分，两台设备可以变成4路链路出口，甚至可以通过升级 出口设备的模块来达到拥有更多出口的目的。这就是智能均衡的策略方式 t,留待进一步升级改造需要，便可更进一步提高网络的整体性能。2.策略路由技术的实现根据网络改造的思路，我们把网内划分成四个vlan,分别为财务、办 公、教学、猪舍。设计财务网段是从移动30m光纤访问公网，其他三个网 段是从电信100m光纤访问公网。由于cisco catalyst 3

6、560的ios版本 配备有ipbase和ipservices特性集,而ipservices特性集方可配置策 略路由。因原版本是ipbase,所以我们必须先把ios升级为ipservices0 此次改造的主要工作就是通过tftp服务器实现对核心交换机cisco catalyst 3560的ios升级，并在其上实现vlan的划分、访问控制列表 acl的控制和配置策略路由功能，使得网内不同网段的计算机可以通过核 心交换机自动实现对不同路线的网络出口的选择。(1 ) i0s版本升级。由于原有的ios文件 c3560-ipbase-mz. 122-35. se5. bin无法实现策略路由功能，必须升级i

7、0s 文件,匹配的 i0s 文件为 c3560-ipservices-mz. 122-25. see1. bin。接下来的步骤是配置tftp服务器，使得它可以实现在交换机上对文 件的上传与下载的功能。下载tftp文件cisco tftp server,并运行文件。 然后进入3560的配置，通过指令把原有的i0s文件下载下來保存，然后 再把交换机上的i0s删掉，再上传新的i0s,具体的操作如下:执行备份前先用dir cd、pwd等命令查看交换机flash中的日录结 构。此交换机ios的bin文件以及html文件夹都在flash中的 c3560一ipbase一mz. 122-35. se5 目录卜

8、。%1 删除原tos,将原tos备份到ip为192. 168. 1. 100的tftp服务器 上并删除交换机上的i0s文件。%1 上传新的ios,将新i0s复制到flash的根目录下。%1 让交换机用新的i0s启动。启动完成后就实现了对i0s的更新。（2）vlan的划分和访问控制列表acl。在实现策略路由的功能之前, 先对vlan进行划分。vlanl为网络设备的管理地址，再划分四个vlan, 办公vlan2、教学vlan3>宿舍vlan4和财务vlanloo,并且通过访问控 制列表acl控制四个vlan不可互访。%1 设置vlanl即是管理地址为192. 168. 1. 2作为3560的

9、管理地址。%1 设置vlan2的地址为192. 168. 2. 1,并且设置编号为151的vlan2的访 问列表，实现vlan2不能访问到vlan3> vlan4和vlanloo,具体如下：%1 设置vlan3的地址为192. 168. 3. 1,并且设置编号为152的vlan3 的访问列表，实现vlan3不能访问到vlan2> viand和vlanloo,具体如下:%1 设置vlanloo的地址为192. 168. 100. 1,并且设置编号为153的 vlanloo的访问列表，实现vlanloo不能访问到vlan2> vlan3和vlan4, 具体如下：这样就实现了对vl

10、em的划分，为每一个vlan分配了地址，并.且通过访问控制列表acl的控制使得四个网段vlan2> vlan3> viand和vlanloo 之间不能互访了。(3) 策略路由的实现。前面已经实现了不同网段不能互访的功能， 接下来是如何设置使得财务网vlanloo和其他三个网段vlan2、vlan3和 vlan4可以通过3560交换机实现对不同路由线路的自动选择，也就是策略 路山的实现。具体的步骤如下：%1 设置编号为100的访问列表,实现把vlanloo与vlan2、vlan3、vlan4 和vbnl等分开，作为策略路由应用的前提条件，目的是要让vlanloo与 vlan2>

11、 vlan3> vlan4等走不同的路由线路。%1 接下来做一条默认路由的指令，使得默认的通路是走192.168. 1.1 即为h3c f1000-a防火墙这个地址的路由的,即vlan2. vlan3和vlan4 会从电信100m访问公网。指令如下：%1 接下来把3560上连接到h3c u200防火墙(地址为192. 168. 168. 2) 的端口 fastetherneto/1设定一个地址，此地址必须跟防火墙地址 192. 168. 16& 2为同一个网段才可以实现通路，把这个端口的地址设定为 192. 168.168.1,具体如下：%1 接下來是实现策略路由，设置一个名为c

12、aiwu的路由表，匹配了编 号为100的访问列表，并且把这个列表的下一跳指定到192. 16& 16& 2, 即是到h3c u200防火墙的地址上去，就是让财务网段vlanloo从这条路 由线路访问公网，而不是选择192. 168. 1. 1即为h3c f1000-a这条默认路 山。%1 最后一个步骤是要把caiwu这个策略路由应用到vlanloo中，就启用了策略路由功能。通过以上步骤，我们实现了在核心交换机上对vlanloo和vlan2. vlan3 viand的不同策略路由的自动选择。三、结论通过网络改造，我们在核心交换机cisco catalyst 3560 _h实现了对 vlan的划分、vlan间的访问控制和策略路山，对不同网段使用ping和 tracert等指令测试网段对链路的选择，效果显著。策略路由实现了不同 的网段对不同的链路的选择，实现了対网络流量的分流，有效地控制了单 链路流量太大导致网络不稳泄的情况，提升了网络访问速度，从而提高了 网络的整体性能。这充分证明了策略路由技术在实现复杂的网络功能时的 强大优势。参考文献：1 詹伟薄策略路由技术在多出