基于策略路由的高校校园网络多出口配置

杨 林

（保山学院网络中心，云南 保山 678000）

0 引言

策略路由目前最大的应用主要是用于解决电信、网通、铁通之间的互联互通问题，由于电信访问网通、铁通的线路较慢，网通、铁通访问电信的线路也较慢，于是各高校的网络出口连接着电信、网通、铁通等多条线路，以保证校园网络用户访问连接在不同线路上的服务器资源时不受互联互通的影响[1]。在这种情况下策略路由起到了关键作用，通过在路由设备上添加策略路由包的方式，就能实现电信数据沿电信线路出口、网通数据沿网通线路出口、铁通数据沿铁通线路出口，互不干扰，大大提高网络访问速度。

1 策略路由

1.1 概念

策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制，它实质上是数据包的转发规则,故有些地方也将“策略路由”理解为“转发策略”。应用了策略路由后，路由器通过路由表决定如何对需要路由的数据包进行处理，路由表决定了一个数据包的下一跳转发路由器地址。

通常，一个路由表由很多条策略组成，每个策略都定义了1个或多个的匹配规则和对应操作。一个接口应用策略路由后，将对该接口接收到的所有包进行检查，不符合路由表任何策略的数据包将按照通常的路由转发进行处理，只有符合路由表中某个策略的数据包才按照该策略中定义的操作进行处理。[2]

1.2 转发规则

传统的路由策略都是使用从路由协议派生出来的路由表，根据目的地址进行报文的转发方式。在这种机制下，路由器只能根据报文的目的地址为用户提供比较单一的路由方式，它更多的是解决网络数据的转发问题，而不能提供有差别的服务。

基于策略的路由为网络管理人员提供了比传统路由协议对报文的转发和存储更强的控制能力。[3]它使网络管理人员不仅能够根据目的地址，而且能够根据协议类型、报文大小、IP源地址来选择转发路径。根据实际应用需要定义控制多个路由器之间的负载均衡、单一链路上报文转发的Qos或者满足某种特定需求。当数据包经过路由器转发时，路由器根据预先设定的策略对数据包进行匹配，如果匹配到一条策略，就根据该条策略指定的路由进行转发。如果没有匹配到任何策略，就使用路由表中的各项目的地址对报文进行路由。[4]

2 策略路由实现及配置技术

2.1 多链路接入

为了保证网络的可用性，很多高校一般都向两个或两个以上的ISP申请网络接入，如国内各大高校普遍采用同时接入电信网和教育网等多网接入，实现多链路并行。如图1所示。

图1 高校网络多链路出口

访问国内教育网的流量使用教育网出口，访问国际流量（因教育网出国流量要根据流量收费，故一般不建议从教育网出口）和国内除教育网外的其它流量使用电信网出口。同时，当一条链路发生故障时，所有的流量可以实现从另一条链路通过。

2.2 策略路由(Policy Based Routing)技术

通常路由器中的转发策略是基于目的地址的。当需要按我们自己的策略进行路由时，这种方式的路由就不够了。策略路由提供了一种更复杂的包转发机制.通过定义适当的策略，不仅可以实现基于数据包目的lP地址的路由选择策略，而且可以实现基于数据包源lP地址、数据包大小、应用层协议、负载平衡等策略选择路由。在我们的问题中需要解决的是如何根据源lP地址和目的lP地址来选择路由。

策略路由选择禁止内部局域网用户从教育网这条链路访问非免费网站，有效控制了国际流入量的费用。对所有需要使用教育网出口的内部用户制定源地址路由。所有对校园网资源的访问增加了相应的策略路由，同时制定了安全策略，增强了内部网络安全性，比较理想地解决了高校用户的需求。

3 配置实现

根据上述要求，用一个实例加以说明，如某高校有双链路接入，除配置出口路由器实现负载均衡（根据目标IP地址选择出口）和冗余（任一条ISP链路故障，另外一条ISP链路可以转发所有流量）外，进一步部署策略路由。具体做法是给每一个用户分配两个 IP地址，如 192.168.1.2和192.168.2.2，其中192.168.1.0（奇数）网络从ISP1（R1）出口，192.168.2.0（偶数）网络从ISP2（R3）出口，用户自己可以改变IP地址，来选择不同的出口。实验拓扑结构如图2所示。

图2 网络实验拓扑结构

3.1 配置操作步骤[5]

配置策略路由通常包括以下几个步骤：

①定义路由映射来控制数据包的出口；

②为定义的路由映射设置匹配标准；

③为与给定标准相符的数据包设定路由器处理行为(选择路由路径)；

④为需要进行策略路由的端口指定相应的策略路由；

⑤设置相应的访问控制列表作为路由映射的匹配标准。

3.2 具体配置内容[6]

具体配置如下：

（1）对路由器R1做基本配置（注：斜体加黑字体为配置命令，以下同）

（2）对路由器R2做基本配置()

（3）对路由器R3做基本配置

（4）对路由器R4做基本配置

（5）测试数据包的走向

将笔记本的 IP地址改为 192.168.1.2，子网掩码255.255.255.0，网关是192.168.1.1，DNS是222.56.127.168。在命令提示符窗口中使用tracert命令，验证数据包的通信路径，查看数据包经过的路径是否是 R2→R3→R4，然后再将笔记本的IP地址改为192.168.2.2，其它不变，查看数据包经过的路径是否仍然是R2→R3→R4。

在路由器R2上使用traceroute测试到10.10.10.10经过的路径，发现通过的数据包流向并无规律。

（6）根据流量区分，配置策略路由

在路由器 R2上使用 ACL把来源 192.168.1.0和来源192.168.2.0的数据包区分开发。R2的配置如下：

（7）创建route-map

（8）调用route-map

（9）测试

把笔记本的 IP的地址改为 192.168.1.2，掩码255.255.255.0，网关设置成192.168.1.1，测试到10.10.10.10的路径，结果变成了从路由器 R2到路由器 R1再到路由器R4，跟没有配置策略路由时已大不一样了。

再把笔记本 IP地址改为 192.168.2.2，子网掩码255.255.255.0，网关设置成192.168.2.1，测试到10.10.10.10的路径，结果为从R2路由器到R3路由器再到R4路由器。

4 结语

实践表明，应用策略路由实现校园网多出口的设计是一套行之有效的方案，首先，它实现了网络负载均衡，提高了用户上网的速度。通过教育网出口访问教育网资源，通过公网出口访问其它资源，出口速度大大提高，同时也实现了网络的负载均衡[7]。其次，降低了教育网资费。通过静态路由和策略路由相结合，使得访问教育网内资源走教育网出口，其它资源走公网出口，极大地降低了教育网的资费，每个月只需向教育网缴纳固定月租费，无须缴纳国际流量费用。最后，它还提高了内网的安全性。由于是采用 NAT在访问公网资源，外部主机无法看到其真实地址，大大提高了网络的安全性。

[1] 蔡昭权.策略路由和动态 DNS在校园网中的应用[J].计算机工程与设计,2005,26(05):1396-1398.

[2] 吴文刚.策略路由在校园网双出口中的应用[J].山西经济管理干部学院学报,2008,16(04):86-87.

[3] 黄美东.基于 PKI的网络教学系统信息安全策略[J].通信技术,2008,41(02):32-34.

[4] 吴向东.构建基于 PKI高校校园网身份认证系统[J].通信技术,2009,42(06):203-204;207.

[5] 李义勇,张焕远,李风燕,等.策略路由和NAT技术在资源共享中的应用[J].中国教育信息化，2007(03)：49-51.

[6] 刘海韬，黄家林.策略路由技术在多出口校园网中的应用[J].电脑与信息技术,2002(04):51-53.

[7] 陈阿林，肖丹燕，肖嵬，等.校园网的路由策略选择及实现[J].电讯技术,2002(06):134-137.