复合型软路由平台的设计与实现

林烁铭，罗浩铭

（惠州经济职业技术学院，广东惠州，515057）

1 概述

随着半导体技术的飞速发展,通用处理器的性能得到了极大地提高,在某些特定的场合已经可以胜任很多之前只有专用处理器才能完成的任务。随着硬件技术的发展, 普通服务器与专用硬件路由器的硬件性能差距缩短,使得我们能够使用普通服务器配置软路由来代替专用硬件路由器.本论文路由器整机是基于x86架构的主流PC机并增加网卡，并在VMware 虚拟机上安装Ruter OS，pfsense和Oper WRT等适用于嵌入式设备的 Linux 发行版本，搭建一个具有开放性和易用性的路由器，帮助中小企业管理办公室网络。

2 关键技术

此路由器在主流PC上安装VMware EXSI虚拟机系统，在VMware EXSI平台上安装Ruter OS、Pfsense和Open wrt系统，并通过内部逻辑交换机，搭建一个功能强大的路由器。

PC主机：本文路由器使用的PC主机为DELL OptiPlex 9020，4 CPUs x Intel(R) Xeon(R) CPU E3-1265L v3 @2.50GHz，内存16G。

VMware EXSI：VMware ESXI适用于X86架构的虚拟计算机软件。它能提供完全动态的资源可测量控制，可以实现服务器部署整合，为企业未来成长所需扩展空间，可因兼并服务器减少设备购买及维护成本。让IT人员做更有效的资源调度，并获得更好且安全周密的防护，当系统发生灾难时，可以在最短时间迅速复原系统的运作。本论文路由器使用的EXSI版本为免费版本，功能满足要求。

Router OS：一种路由操作系统，并通过该软件将标准的PC电脑变成专用的路由器，在软件的开发和应用上不断的更新和发展，功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能。

Open WRT ：一个为嵌入式设备(通常是无线路由器)开发的高扩展度的GNU/Linux发行版。

PFsense：一个基于FreeBSD,专为防火墙和路由器功能定制的开源版本。它被安装在计算机上作为网络中的防火墙和路由器存在,并以可靠性著称。

3 平台分析

■3.1 平台的需求分析

目前，在企业与外部网络的交接处通常部署防火墙作为通信必要设备。企业通常购买思科，华为等厂家的硬件防火墙。并且企业内部网络架构设计、部署和维护基本由厂家完成，厂家固定，成本高。本论文采用软件路由器取代专业硬件路由器，有效降低中小企业网络部署和维护成本，增加部署和维护的灵活性，可扩展性。

X86架构PC机上实现软路由功能，即可拥有企业级的路由器及防火墙，具有上网行为管理，流量控制，抵御外界网络攻击等防火墙功能。从性能上，软路由的硬件架构是基于当前的主流PC，使用了X86架构的处理器性能要远远优于专业路由器设备。电脑端扩展性很强，容易添加内存提升整体的数据吞吐量。从价格上，实现同样性能的软路由，价格要远远低于硬路由。

■3.2 平台的可行性分析

从技术可行性的角度分析，硬件上可选PC主机，并增加多网口网卡。软件上，虚拟机平台选择使用WMware EXSi，EXSi直接运行在硬件上，在ESXi 服务器上创建多个VM（虚拟机），在为这些虚拟机安装好不同的路由系统，包括OpenWRT、Router OS 和Pfsense 系统。使之成为能提供各种网络应用服务的虚拟服务器。ESXi 也是从内核级支持硬件虚拟化，运行于其中的虚拟服务器在性能与稳定性上不亚于普通的硬件服务器，而且更易于管理维护。

VMware ESXi提供虚拟化层组件的作用。ESXi用于协调物理计算机的资源，同时通过ESXi管理其上的虚拟机，进行部署、迁移等操作。 同时还可以通过ESXi对物理计算机上的网络存储资源进行管理，ESXi通过配置虚拟交换机上的vSwitch管理配置网络资源。

从经济可行性的角度分析，硬件主机可选使用了3到5年的PC主机。虚拟机VMware ESXi提供免费版本，免费版本的功能足够完成任务。路由系统OpenWRT、Router OS和Pfsense都是免费的。

因此，从技术和经济可行性来看，平台的开发应用是可行的。

■3.3 平台的功能分析

3.3.1 平台的角色

本论文的软路由器主要做为企业网络管理中心，既提供连接互联网运营商的出口防火墙功能，也提供内部网络管理功能，在一般的网络架构中，充当核心层交换机或路由器，以及出口防火墙的地位。

3.3.2 功能分析

3.3.2.1 平台的管理

虚拟机VMware ESXi提供web接入，在ESXi的web页面，为各个路由系统提供控制台窗口。在控制台窗口上，可使用命令行对各个路由系统进行管理和配置。除了ESXi的控制台窗口，各个路由系统还提供web接入。在web页面，可以对各个路由系统进行高级功能配置和管理。实现各个路由系统web接入的原因是EXSi自带虚拟交换机，而虚拟交换机连接物理主机的网口，那么外部的管理主机就可以通过网口接入各个路由系统。

3.3.2.2 内部网络管理

在物理接入上，物理主机增加了多网口网卡，网卡提供网口给其它PC主机、交换机和无线路由器接入。在功能上，此软路由器平台提供DHCP功能，为用户分配IP地址；提供DNS服务器功能，内部用户访问企业内部web服务器和其它服务器时提供DNS解析服务；提供DNS解析分流功能，在用户访问互联网时，分流到出口。

3.3.2.3 外部网络管理

此软路由器平台提供PPPoE拨号和固定IP连接运营商网络功能；提供NAT功能，为内部用户访问互联网提供地址转换；提供防火墙功抵御外部网络攻击。为企业提供企业分支机构之间互联，提供的方式多种，包括PPTP，L2TP/IPSec PSK、Open Vpn等。

4 平台设计

■4.1 平台技术架构设计

平台采用WMware EXSi虚拟化机构。在WMware EXSi虚拟化系统上安装路由系统。架构设计图如图1所示。

图1 WMware EXSI 平台架构

■4.2 平台逻辑连接设计

此VMware EXSi虚拟化套件自带虚拟交换机实现路由系统之间的连接，并且虚拟交换机能与物理机的网络接口进行连接，实现虚拟路由系统与外界设备也能进行连接。本论文的软路由器平台的逻辑连接设计如图2所示。

图2 软路由平台逻辑设计

■4.3 平台功能设计

在VMware EXSi上的各个路由系统负责的功能如表1所示。

表1 各路由系统的功能

■4.4 平台业务流程设计

用户在上网的过程中，通过Pfsense1的DHCP服务器获得IP地址。网关为一个Router OS系统，此Router OS做为内部网络访问内部网和互联网的DNS缓存，提供DNS转发功能，把用户的DNS请求消息发给Open Wrt系统。OpenWrt系统提供DNS分流功能。当内部用户访问企业内网web服务器和其它服务器时，DNS请求就会发给Pfsense-2进行DNS解析。而当内部用户访问互联网时，此DNS请求消息就会发给Router OS主路由器，由这个RouterOS主路由向外部的DNS服务器请求DNS解析。

5 平台实现

■5.1 硬件平台的实现

本方案硬件平台采用DELL OptiPlex 9020，加装16G内存和4个1000M网口的网卡，把原机械硬盘替换为128G固态硬盘。

■5.2 软件平台的实现

5.2.1 ESXi的安装和管理配置

软件虚拟机平台采用ESXi-6.7.0标准版本。ESXi不依赖于任何操作系统，它本身就可以看作一个操作系统，可直接在PC机上安装。安装过程与普通Liunx安装过程相似。安装完成后，可使用web浏览器登录EXSi。登录EXSi第一步要设置网卡直通，把PC主机的网卡接入EXSi进行管理。接着添加虚拟交换机，根据图2所示的逻辑连接图，wlan交换机连接PC机的0号接口，而lan1，lan2和lan3交换机分别连接PC机的1号，2号和3号接口，为各个路由系统的连接做好准备。

5.2.2 各路由系统的安装

各路由系统需要在ESXi系统上作为虚拟机运行。因此需要登录ESXi上，使用ESXi上的工具来进行安装。安装过程类似在VMware workstation上安装Linux操作系统。以安装Router OS为例，首先新建虚拟机，设置客户机操作系统系列Linux，以及存储设置；接着创建目录，上传Router OS固件；接着添加PCI设备，其实就是虚拟网口，安装之后可以连接虚拟交换机接口；最后完成安装。

5.2.3 各路由系统的连接和配置管理

各个路由系统安装完成之后，根据之前的逻辑连接设计在把各个路由系统通过EXSi上的虚拟交换机连接起来，组成一个功能强大的复合型的路由器平台。接下来根据各个路由系统在平台担任的功能角色进行配置。以负责主路由的Router OS的为例说明。

5.2.3.1 Router OS登录

设置使用WinBox，首先Winbox可以通过mac地址找到Router OS系统，初始使用mac地址登录，设置IP地址之后，可以用ip地址登录，初始密码为空。

5.2.3.2 设置网口和地址

Router OS系统上的一个接口，此接口连接EXSi上名为wlan虚拟交换机，此交换机连接PC主机的一个0号网口，因此设置此接口为拨号口，定义为wan口。其它接口作为连接其它路由系统的接口，定义为lan口，根据逻辑连接图配置IP地址。

接着实现PPPOE拨号，定义各一个PPPOE client接口，选择wan口作为拨号出口，设置拨号的账号和密码。

5.2.3.3 设置防火墙和外部DNS

Router OS自带防火墙功能，在防火前选项中新建NAT规则，在“action”选项卡中，选择masquerade，地址伪装选项，这样防火墙的NAT就设置完成了。然后设置防火前的过滤规则，如禁止某些IP地上网，禁止访问某些外网IP地址。在DNS选项卡中设置外部互联网运营商提供的DNS地址，为内部用户连接互联网提供DNS解析服务。

■5.3 各个路由系统的配置

除了上面的主路由Router OS的设置外，还需要完成担任DNS缓存功能的Router OS设置；负责DNS分流的Open WRT的设置；负责DHCP功能的pfsense-1的设置；负责企业内网DNS解析服务的pfsense-2的设置。完成这些设置之后，这台高性能的路由平台才能正常工作。

6 平台测试云运行

业务测试是设备集成开发必不可少的重要环节。平台在开发过程中，始终坚持变开发变测试的做法，在不同的阶段测试相应的功能。例如，在完成ESXi的逻辑交换机连接物理PC机接口后，通过连接网线，测试EXSi对物理接口的状态获取。在各个路由系统接口完成连接并配置IP地址之后，测试各个接口的连接是否正常。在完成安装主路由Router OS之后进行配置防火墙。测试防火墙的功能。

7 结束语

本文对软路由平台进行分析、设计，运用WMware EXSi虚拟机架设平台，安装各种路由系统包括Router OS、Open WRT和Pfsense，使用虚拟交换机实施连接系统内部和主机外部网卡，实现一个功能强大的软路由器。从平台运行的情况来看，能有效的进行网络流量分流，并有效的限制内部用户的上网行为。为中小型企业提供一个低成本的网络管理中心平台选项。