侯冬青
(临沧师范高等专科学校,云南 临沧 677000)
基于IP单播策略路由技术的局域网多出口解决方案
侯冬青
(临沧师范高等专科学校,云南 临沧 677000)
该文对IP单播策略路由的工作原理及实现过程进行了详细阐述,提出了基于IP单播策略路由技术的局域网多出口解决方案。该方案利用访问控制列表实现不同的源或目的地址的数据包,由指定的路由器接口发送或接收,从而达到合理利用带宽资源、保证链路负载均衡以及提高网络访问稳定性的目的。
IP单播策略路由;访问控制列表;链路负载均衡
中国互联网市场被电信、联通及移动等几大运营商(ISP)分割,由于各ISP之间的市场竞争,导致各ISP网络之间的互连接口带宽比较窄,对一些重要服务会做一定的限制,从而导致不同ISP之间的互访比较缓慢。当用户只选择一家ISP作为网络出口时,就会出现在相同ISP网络内互访时速度非常快,而当用户试图访问其它ISP网络内的资源时,访问速度就会变慢。单一的线路选择还会出现单点故障,导致不能正常访问Internet,影响网络的稳定性。为了提高网络出口的稳定性,加快Internet的访问速度,租用多家ISP的链路作为网络的出口是不错的选择。然而,多出口网络又出现了新的问题:第一,如何合理分配网络出口,将访问特定ISP网络资源的数据包合理地分发到指定的链路上;第二,如何实现链路冗余,当有链路出现故障时,如何自动将访问该链路的数据包分配至其它尚能正常工作的链路上。针对这两个问题,本文提出了解决方案,通过这个解决方案,达到合理利用带宽资源、保证链路负载均衡以及提高网络访问稳定性的目的。
传统的路由协议是一种单一的路由方式,只能根据数据包的目的地址转发用户的数据,不能根据用户的需求提供差别服务。而策略路由(Policy Route)能够按照用户指定的策略进行数据报文转发,比传统路由协议更灵活,是对传统路由协议的有效增强[1]。
传统路由协议通过路由表中指定的目的地址进行报文转发,策略路由协议比传统路由协议具有更强的数据报转发能力,而且使用更为灵活,它使网络管理者不仅能够根据目的IP地址选择数据报的转发路径,而且能够根据源IP地址、目的IP地址、协议字段及TCP、UDP的源、目的端口等多种策略来选择数据报的转发路径。策略路由协议通常有以下几种方式:基于源IP地址的策略路由协议、基于目的IP地址的策略路由协议、基于数据包大小的策略路由协议、基于应用的策略路由协议和通过缺省路由平衡负载的策略路由协议[2]。IP单播策略路由是基于到达报文的源地址、目的地址及地址长度等信息,灵活指定路径的路由方式。IP单播策略路由工作原理如图1所示,当数据包经过边界路由器时,路由器根据预先设定的策略对数据包进行匹配判定,如果匹配到数据包符合一条策略,就根据该条策略指定的路由将数据包转发出去;如果没有匹配到任何符合的策略条目,就使用路由表中的条目按正常路由进行数据包的转发[3]。
图1 IP单播策略路由工作原理图
根据ISP“北联通,南电信”的分布情况,出于对ISP所能提供的网络服务质量的考虑,本方案选择电信线路作为网络主出口。同时,租用联通线路和移动线路作为局域网的第二和第三出口。网络拓扑如图2所示, 内部网络以华为NetEngine 20E-8路由器作为边界路由器,通过电信、联通和移动三条线路连接Internet。
图2 网络出口拓扑图
在边界路由器上采用基于目的地址的IP单播策略路由判断IP数据流的流向,合理分配网络出口,实现链路冗余,从而最大限度的应用好三条出口链路。网络出口IP单播策略路由工作流程如图3所示,实现功能如下:
(1)当内网用户访问的Internet资源是由联通或移动提供时,就将用户的IP数据报从联通或移动线路转发出去;
(2)如果内网用户访问的Internet资源不是由联通或移动提供,就将用户的IP数据报从电信线路转发出去;
(3)根据线路的带宽和稳定性配置负载均衡,当联通或移动出口出现拥塞、断网时,可自动将流量分配至电信出口,有限的保证了网络出口的畅通。
图3 网络出口工作流程图
在路由器中利用IP单播策略路由合理规划网络路径,需要创建路由映射,并为策略路由指定路由映射。一个路由映射由很多条策略组成,每条策略通过访问控制列表定义了1个或多个匹配的操作或规则。将策略路由应用到路由器的特定接口上,该接口将对接收到的所有IP数据包进行匹配判定,符合路由映射中某个策略的数据包按照该策略中定义的操作或规则进行处理,不符合路由映射中任何策略的数据包则按照正常的路由转发进行处理[4]。路由器中IP单播策略路由的具体实现过程如下:
(1)将联通和移动使用的所有网段以目的地址的方式创建高级访问控制列表,用于匹配判断IP数据包的目的地址。
[NE20E]acl number 3001
[NE20E-acl-basic-3001]rule10 permitip
destination 27.8.0.0 0.7.255.255
[NE20E-acl-basic-3001]rule 10 permitip
destination 27.36.0.0 0.3.255.255
[NE20E-acl-basic-3001]rule10 permitip
destination 27.40.0.0 0.7.255.255
[NE20E-acl-basic-3001]rule10 permitip
destination 47.153.128.0 0.0.63.255
…………………………………………………… //
这里省略了其他设置。
[NE20E]acl number 3002
[NE20E-acl-basic-3001]rule11 permitip
destination 39.186.0.0 0.1.255.255
[NE20E-acl-basic-3001]rule11 permitip
destination 39.188.0.0 0.3.255.255
[NE20E-acl-basic-3001]rule 11 permitip
destination 61.232.0.0 0.0.15.255
[NE20E-acl-basic-3001]rule 11 permitip
destination 61.233.0.0 0.0.31.255
…………………………………………………… //
这里省略了其他设置。
(2)定义两个类,用于匹配已经定义的ACL规则的流。
[NE20E]traffic classifier class1
[NE20E-classifier-class1]if-match acl 3001
[NE20E-classifier-class1]quit
[NE20E]traffic classifier class2
[NE20E-classifier-class1]if-match acl 3002
[NE20E-classifier-class1]quit
(3)定义两个数据流行为,一个下一跳指向联通出口,另一个下一跳指向移动出口。并且将两个数据流的备用下一条都指向电信出口,用于实现链路冗余。
[NE20E]traffic behavior behavior1
[NE20E-behavior-behavior1]remark ip-nexthop
X2.213.200.209 GigabitEthernet0/0/2
X1.63.53.225 GigabitEthernet0/0/1
[NE20E-behavior-behavior1]quit
[NE20E]traffic behavior behavior2
[NE20E-behavior-behavior1]remark ip-nexthop
X3.224.210.1 GigabitEthernet0/0/2 X1.63.53.225
GigabitEthernet0/0/1
[NE20E-behavior-behavior1]quit
(4)把已定义的类和流行为绑定为策略路由。
[NE20E]traffic policy policy1
[NE20E-trafficpolicy-policy1] classifier class1
behavior behavior1
[NE20E-trafficpolicy-policy1]classifier class2
behavior behavior2
[NE20E-trafficpolicy-policy1]quit
(5)将策略路由应用到和内网相连的端口上。
[NE20E]interface Gigabit Ethernet2/0/0
[NE20E-Gigabit Ethernet0/0/1]description ---> INTRANET
[NE20E -Gigabit Ethernet0/0/1] traffic -policy policy1 inbound
[NE20E-Gigabit Ethernet0/0/1]quit
(6)配置电信出口作为网络的正常路由。[LCNC-NE20E]ip route-static 0.0.0.0 0.0.0.0 X2.63.53.225
(1)在内部网络中取采样点192.168.200.12,使用tracert命令分别跟踪该采样点访问联通服务器(www.cnc.com.cn)、移动服务器(www.10086. cn)和电信服务器(www.chinatele.com.cn)所经过的路由点,测试结果如图4、图5、图6所示。测试结果表明,用户访问联通资源时IP数据包流向联通出口,访问移动资源时流向移动出口,访问其他资源时流向电信出口。
图4 至联通路由跟踪测试图
图5 至移动路由跟踪测试图
图6 至电信路由跟踪测试图
(2)关闭联通和移动路由器出口,模拟联通或移动出口出现拥塞、断网的情况。在此情况下,采用上述方法进行测试,测试结果如图7和图8所示。测试结果表明,当联通或移动出口出现故障时可自动将流量分配至电信出口。
图7 故障后至联通路由跟踪测试图
图8 故障后至移动路由跟踪测试图
通过以上测试可以看出,策略路由已经能够根据目的地址进行路径选择,当有出口出现拥塞或断网时,可自动将IP数据流转向其它出口,实现负载均衡;方案的实现过程与规划设计一致,达到预期目标。
上述方案实现了内网用户访问Internet时按照目的地址进行策略路由,提高了访问Internet的速度。但是,该方案未能解决Internet用户访问内网资源时速度慢的问题。要解决这个问题,还应该在策略路由的基础上配置智能 DNS服务器,针对不同的用户实现域名的动态解析,以保证多出口网络环境下数据流的双向分配控制。
[1]杨锋.路由策略与策略路由的具体应用[J].信息技术与信息化,2007,(02).
[2]蓝永胜.策略路由技术在校园网中的应用[J].桂林航天工业高等专科学校学报,2005,(37):22-24.
[3]田桂丰,尹帮治.基于防火墙策略路由的校园网多出口解决方案[J].电脑知识与技术,2010,(20).
[4]唐晓红.运用策略路由解决网络出口问题[J].黑龙江科技信息,2012,(08).
A Solution to the Construction of Multi-Outlet LAN by the IP Technology of Unicast Routing
HOU Dong-qing
(Lincang Teachers' College,Lincang 677000,Yunnan)
In this article,an elaboration on the operating principles and their implementation of IP unicast routes has been launched and,a solution to the construction of multi-outlets of LAN via the IP technologic strategy of unicast routing has been proposed.Taking advantage of ACL,the solution has accomplished the sending and receiving of data-packets from different sources or destinations via assigned router interfaces,in order to fulfill the goal to utilize rationally the resource of broadband,to guarantee the balance of loading through links and to upgrade the stability of network accesses.
IP unicast routing;access control list;load balance via links
TP393
A
2095-3771(2014)04-0103-04
侯冬青(1982—),男,讲师,研究方向:网络技术、教育教学。该文系临沧师范高等专科学校2014年自然基金项目(项目编号:LCSZL2014005)