张传岭
摘 要:本文介绍了在IP网络中传统的路由方式与策略路由的区别、策略路由的应用场景,以及如何通过策略路由灵活控制数据包的流转,并通过实例进行了验证。
关键词:路由表;策略路由;IP地址;策略
通常来说,路由器中IP报文的转发是根据路由表来转发。路由表中主要包含以下关键项:目的地址/掩码、下一跳地址、出接口和度量值。路由器根据最长匹配原则匹配目的IP地址转发数据。IP报文中的其他信息不作为报文转发的依据。这种机制下,路由器只根据报文的目的IP为用户提供比较单一的路由方式,数据流只能沿着路由协议产生的路径流动,而不能根据数据流的种类及应用要求选择最佳路径。
一、基于策略的路由(PBR)概述
基于策略的路由(Policy-Based-Route,简称策略路由)是一种灵活的数据包路由转发机制,可依据用户指定的策略进行路由选择的机制,比如IP报文的源地址、协议类型、长度等信息。当数据包经过路由器转发时,路由器根据预先设定的策略对数据包进行匹配,如果匹配到一条策略,就根据该条策略指定的路由进行转发;如果没有匹配到任何策略,就使用路由表来根据目的地址对报文进行路由。
策略路由主要应用在企业路由表复杂或者需要对路由进行控制的情况下,特别是当企业网络出口有两条甚至多条,需要对不同服务和应用或者不同客户端的路由进行控制时,当然企业内部运行两个网络或者更多的网络时也经常要用到路由策略;另外,策略路由除了应用在非正常的路由选路之外,它还可以用来防止病毒或黑客的攻击,使用条件语句将病毒或攻击的特征码匹配出来,然后再指定一个安全策略(如使用黑洞路由)将攻击阻断。
黑洞路由是对动态路由选择协议的一个补充。黑洞路由可以将不想要的流量转发到一个称为null0的接口中去。我们可以建立一条或一些静态路由,将精确匹配这些路由的流量丢弃。
二、基于策略的路由(PBR)实例解析
下面我们就以一个实验来描述策略路由根据源地址不同选择不同链路转发的功能。
企业路由器RT的G0/0口作为内部网络的网关,地址为10.0.0.1,内部网络有一个FTP服务器,IP地址为10.0.0.2,和一个Web服务器, IP地址为10.0.0.3。有兩条互联网出口,使用G2/0和G2/1与ISP互联,接口IP分别为11.0.0.0/30和12.0.0.0/30。Internet上有一台IP地址为20.0.0.2的PC。要求使用PBR实现FTP服务器到Internet的数据流使用G2/0发送,Web服务器到Internet的数据流使用G2/1发送。网络拓扑如下:
在路由器上配置相关的地址,并测试与10.0.0.2、10.0.0.3,11.0.0.1和11.0.0.2、12.0.0.1和12.0.0.2的连通性。
在路由器配置模式下执行如下操作: