策略路由技术在多链路网络中的应用
2014-03-12李媛
李媛
摘 要:单链路出口的网络已经越来越不适应网络的飞速发展。而结合实际情况对现有的网络进行升级改造,增加一路链路作为出口,并在核心交换机上应用策略路由技术对不同vlan进行链路的选择,可实现对网络流量的分流,提升了网络的访问速度,从而达到对网络整体性能的提高。
关键词:核心交换机 策略路由 vlan
网络技术的飞速发展和网内用户及网络中各种应用软件的不断壮大和更新,导致网络流量的增加而影响了网络速度,这对网络提出了更进一步的要求。单路由或者单防火墙等单链路作为外网出口的情况已经不能适应网络技术的发展需求。为了给用户提供一个更快速、更安全可靠、更稳定的网络平台,笔者在原有单链路作为出口的情况下进行网络改造,增加了另一路链路出口并利用策略路由技术实现对不同链路的路由选择。
一、策略路由技术
策略路由即PBR(Policy-Based Routing)是路由技术中的一项新技术。它是一种灵活性强的转发机制。在传统路由中,路由器在由路由协议产生的路由表中,根据目的地址转发报文。相比之下,策略路由的灵活性在于,它除了能够根据目的地址转发报文,还能根据协议类型、报文大小、源IP地址等等来选择转发路径。简单地说,只要IP标准或扩展的访问控制列表(Standard/Extended ACL)能设置的,都可以作为策略路由的匹配规则进行转发。它可以进行多种组合的路由选择,有效地控制网络的负载均衡、单一链路上报文转发的QOS或者满足某种特定需求。
在具体的应用中,策略路由有基于目的地址策略、基于源地址策略和智能均衡的策略:基于目的地址的策略路由一般用于网络的出口,针对访问不同的目的地设置不同的路由;基于源地址的策略路由,主要针对数据包的来源设置不同策略规则,这样可以根据用户IP地址的不同设置不同的策略路由,源地址策略路由适合于对不同级别的用户设置不同的路由策略。而智能均衡的策略方式,是策略路由的发展趋势。
二、策略路由技术的应用
1.网络拓扑结构
网络拓扑结构如下图所示,结合粤东高级技工学校网络实例。改造前是以H3C F1000-A防火墙作为单链路出口,使用电信100M的光纤,所有的流量都从此链路出去,防火墙压力巨大,容易造成上网速度卡,以及防火墙CPU被高度占用的情况,导致设备性能下降、死机等问题。我们利用原有的移动30M的光纤进行网络改造,加入H3C U200防火墙作为另一个链路的出口。
图 网络拓扑结构
由于不是单路由器(防火墙)双链路出口,而是双路由器(防火墙)双链路出口。所以我们没有选择基于目的的策略路由应用到链路出口上,而是把策略路由布置在核心交换机Cisco catalyst 3560上,这就是基于源地址的策略路由。因此我们根据不同的vlan,设置不同的策略路由,实现了网络流量的分流。
笔者将策略路由布置在核心交换机上,更加符合实际的需求,也是进一步升级改造的基础。例如,在两路链路的两个出口设备上,可以再进行基于目的地址的策略路由,针对访问不同的目的地设置不同的策略路由,把流量再进行细分,两台设备可以变成4路链路出口,甚至可以通过升级出口设备的模块来达到拥有更多出口的目的。这就是智能均衡的策略方式了,留待进一步升级改造需要,便可更进一步提高网络的整体性能。
2.策略路由技术的实现
根据网络改造的思路,我们把网内划分成四个vlan,分别为财务、办公、教学、宿舍。设计财务网段是从移动30M光纤访问公网,其他三个网段是从电信100M光纤访问公网。由于Cisco catalyst 3560的IOS版本配备有ipbase和ipservices特性集,而ipservices特性集方可配置策略路由。因原版本是ipbase,所以我们必须先把IOS升级为ipservices。此次改造的主要工作就是通过tftp服务器实现对核心交换机Cisco catalyst 3560的IOS升级,并在其上实现vlan的划分、访问控制列表ACL的控制和配置策略路由功能,使得网内不同网段的计算机可以通过核心交换机自动实现对不同路线的网络出口的选择。
(1)IOS版本升级。由于原有的IOS文件C3560-ipbase-mz.122-35.SE5.bin无法实现策略路由功能,必须升级IOS文件,匹配的IOS文件为C3560-ipservices-mz.122-25.SEE1.bin。
接下来的步骤是配置tftp服务器,使得它可以实现在交换机上对文件的上传与下载的功能。下载tftp文件Cisco TFTP Server,并运行文件。然后进入3560的配置,通过指令把原有的IOS文件下载下来保存,然后再把交换机上的IOS删掉,再上传新的IOS,具体的操作如下:
执行备份前先用dir、cd、pwd等命令查看交换机flash中的目录结构。此交换机IOS的bin文件以及html文件夹都在flash中的C3560-ipbase-mz.122-35.SE5目录下。
①删除原IOS,将原IOS备份到IP为192.168.1.100的tftp服务器上并删除交换机上的IOS文件。
②上传新的IOS,将新IOS复制到flash的根目录下。
③让交换机用新的IOS启动。
启动完成后就实现了对IOS的更新。
(2)vlan的划分和访问控制列表ACL。在实现策略路由的功能之前,先对vlan进行划分。vlan1为网络设备的管理地址,再划分四个vlan,办公vlan2 、教学vlan3、宿舍vlan4和财务vlan100,并且通过访问控制列表ACL控制四个vlan不可互访。
①设置vlan1即是管理地址为192.168.1.2作为3560的管理地址。endprint
②设置vlan2的地址为192.168.2.1,并且设置编号为151的vlan2的访问列表,实现vlan2不能访问到vlan3、vlan4和vlan100,具体如下:
③设置vlan3的地址为192.168.3.1,并且设置编号为152的vlan3的访问列表,实现vlan3不能访问到vlan2、vlan4和vlan100,具体如下:
④设置vlan100的地址为192.168.100.1,并且设置编号为153的vlan100的访问列表,实现vlan100不能访问到vlan2、vlan3和vlan4,具体如下:
这样就实现了对vlan的划分,为每一个vlan分配了地址,并且通过访问控制列表ACL的控制使得四个网段vlan2、vlan3、vlan4和vlan100之间不能互访了。
(3)策略路由的实现。前面已经实现了不同网段不能互访的功能,接下来是如何设置使得财务网vlan100和其他三个网段vlan2、vlan3和vlan4可以通过3560交换机实现对不同路由线路的自动选择,也就是策略路由的实现。具体的步骤如下:
①设置编号为100的访问列表,实现把vlan100与vlan2、vlan3、vlan4和vlan1等分开,作为策略路由应用的前提条件,目的是要让vlan100与vlan2、vlan3、vlan4等走不同的路由线路。
②接下来做一条默认路由的指令,使得默认的通路是走192.168.1.1即为H3C F1000-A防火墙这个地址的路由的,即vlan2、vlan3和vlan4会从电信100M访问公网。指令如下:
③接下来把3560上连接到H3C U200防火墙(地址为192.168.168.2)的端口FastEthernet0/1设定一个地址,此地址必须跟防火墙地址192.168.168.2为同一个网段才可以实现通路,把这个端口的地址设定为192.168.168.1,具体如下:
④接下来是实现策略路由,设置一个名为caiwu的路由表,匹配了编号为100的访问列表,并且把这个列表的下一跳指定到192.168.168.2,即是到H3C U200防火墙的地址上去,就是让财务网段vlan100从这条路由线路访问公网,而不是选择192.168.1.1即为H3C F1000-A这条默认路由。
⑤最后一个步骤是要把caiwu这个策略路由应用到vlan100中,就启用了策略路由功能。
通过以上步骤,我们实现了在核心交换机上对vlan100和vlan2、vlan3、vlan4的不同策略路由的自动选择。
三、结论
通过网络改造,我们在核心交换机Cisco catalyst 3560上实现了对vlan的划分、vlan间的访问控制和策略路由,对不同网段使用ping和tracert等指令测试网段对链路的选择,效果显著。策略路由实现了不同的网段对不同的链路的选择,实现了对网络流量的分流,有效地控制了单链路流量太大导致网络不稳定的情况,提升了网络访问速度,从而提高了网络的整体性能。这充分证明了策略路由技术在实现复杂的网络功能时的强大优势。
参考文献:
[1]詹伟薄.策略路由技术在多出口校园网络中的应用[J].软件导刊,2012(11).
[2]陈志平.校园网络安全与防火墙技术[J].现代计算机,2007(25).
[3]罗达强.基于UTM策略路由的网络多接入应用[J].甘肃科技纵横,2013(42).
[4]王建峰.访问控制列表的应用与研究[J].咸宁学院学报,2007(6).
[5]贺文华.基于三层交换与路由的CISCO设备的VLAN设置技术[J].网络安全技术与应用,2006.
(作者单位:广东省粤东高级技工学校)endprint
②设置vlan2的地址为192.168.2.1,并且设置编号为151的vlan2的访问列表,实现vlan2不能访问到vlan3、vlan4和vlan100,具体如下:
③设置vlan3的地址为192.168.3.1,并且设置编号为152的vlan3的访问列表,实现vlan3不能访问到vlan2、vlan4和vlan100,具体如下:
④设置vlan100的地址为192.168.100.1,并且设置编号为153的vlan100的访问列表,实现vlan100不能访问到vlan2、vlan3和vlan4,具体如下:
这样就实现了对vlan的划分,为每一个vlan分配了地址,并且通过访问控制列表ACL的控制使得四个网段vlan2、vlan3、vlan4和vlan100之间不能互访了。
(3)策略路由的实现。前面已经实现了不同网段不能互访的功能,接下来是如何设置使得财务网vlan100和其他三个网段vlan2、vlan3和vlan4可以通过3560交换机实现对不同路由线路的自动选择,也就是策略路由的实现。具体的步骤如下:
①设置编号为100的访问列表,实现把vlan100与vlan2、vlan3、vlan4和vlan1等分开,作为策略路由应用的前提条件,目的是要让vlan100与vlan2、vlan3、vlan4等走不同的路由线路。
②接下来做一条默认路由的指令,使得默认的通路是走192.168.1.1即为H3C F1000-A防火墙这个地址的路由的,即vlan2、vlan3和vlan4会从电信100M访问公网。指令如下:
③接下来把3560上连接到H3C U200防火墙(地址为192.168.168.2)的端口FastEthernet0/1设定一个地址,此地址必须跟防火墙地址192.168.168.2为同一个网段才可以实现通路,把这个端口的地址设定为192.168.168.1,具体如下:
④接下来是实现策略路由,设置一个名为caiwu的路由表,匹配了编号为100的访问列表,并且把这个列表的下一跳指定到192.168.168.2,即是到H3C U200防火墙的地址上去,就是让财务网段vlan100从这条路由线路访问公网,而不是选择192.168.1.1即为H3C F1000-A这条默认路由。
⑤最后一个步骤是要把caiwu这个策略路由应用到vlan100中,就启用了策略路由功能。
通过以上步骤,我们实现了在核心交换机上对vlan100和vlan2、vlan3、vlan4的不同策略路由的自动选择。
三、结论
通过网络改造,我们在核心交换机Cisco catalyst 3560上实现了对vlan的划分、vlan间的访问控制和策略路由,对不同网段使用ping和tracert等指令测试网段对链路的选择,效果显著。策略路由实现了不同的网段对不同的链路的选择,实现了对网络流量的分流,有效地控制了单链路流量太大导致网络不稳定的情况,提升了网络访问速度,从而提高了网络的整体性能。这充分证明了策略路由技术在实现复杂的网络功能时的强大优势。
参考文献:
[1]詹伟薄.策略路由技术在多出口校园网络中的应用[J].软件导刊,2012(11).
[2]陈志平.校园网络安全与防火墙技术[J].现代计算机,2007(25).
[3]罗达强.基于UTM策略路由的网络多接入应用[J].甘肃科技纵横,2013(42).
[4]王建峰.访问控制列表的应用与研究[J].咸宁学院学报,2007(6).
[5]贺文华.基于三层交换与路由的CISCO设备的VLAN设置技术[J].网络安全技术与应用,2006.
(作者单位:广东省粤东高级技工学校)endprint
②设置vlan2的地址为192.168.2.1,并且设置编号为151的vlan2的访问列表,实现vlan2不能访问到vlan3、vlan4和vlan100,具体如下:
③设置vlan3的地址为192.168.3.1,并且设置编号为152的vlan3的访问列表,实现vlan3不能访问到vlan2、vlan4和vlan100,具体如下:
④设置vlan100的地址为192.168.100.1,并且设置编号为153的vlan100的访问列表,实现vlan100不能访问到vlan2、vlan3和vlan4,具体如下:
这样就实现了对vlan的划分,为每一个vlan分配了地址,并且通过访问控制列表ACL的控制使得四个网段vlan2、vlan3、vlan4和vlan100之间不能互访了。
(3)策略路由的实现。前面已经实现了不同网段不能互访的功能,接下来是如何设置使得财务网vlan100和其他三个网段vlan2、vlan3和vlan4可以通过3560交换机实现对不同路由线路的自动选择,也就是策略路由的实现。具体的步骤如下:
①设置编号为100的访问列表,实现把vlan100与vlan2、vlan3、vlan4和vlan1等分开,作为策略路由应用的前提条件,目的是要让vlan100与vlan2、vlan3、vlan4等走不同的路由线路。
②接下来做一条默认路由的指令,使得默认的通路是走192.168.1.1即为H3C F1000-A防火墙这个地址的路由的,即vlan2、vlan3和vlan4会从电信100M访问公网。指令如下:
③接下来把3560上连接到H3C U200防火墙(地址为192.168.168.2)的端口FastEthernet0/1设定一个地址,此地址必须跟防火墙地址192.168.168.2为同一个网段才可以实现通路,把这个端口的地址设定为192.168.168.1,具体如下:
④接下来是实现策略路由,设置一个名为caiwu的路由表,匹配了编号为100的访问列表,并且把这个列表的下一跳指定到192.168.168.2,即是到H3C U200防火墙的地址上去,就是让财务网段vlan100从这条路由线路访问公网,而不是选择192.168.1.1即为H3C F1000-A这条默认路由。
⑤最后一个步骤是要把caiwu这个策略路由应用到vlan100中,就启用了策略路由功能。
通过以上步骤,我们实现了在核心交换机上对vlan100和vlan2、vlan3、vlan4的不同策略路由的自动选择。
三、结论
通过网络改造,我们在核心交换机Cisco catalyst 3560上实现了对vlan的划分、vlan间的访问控制和策略路由,对不同网段使用ping和tracert等指令测试网段对链路的选择,效果显著。策略路由实现了不同的网段对不同的链路的选择,实现了对网络流量的分流,有效地控制了单链路流量太大导致网络不稳定的情况,提升了网络访问速度,从而提高了网络的整体性能。这充分证明了策略路由技术在实现复杂的网络功能时的强大优势。
参考文献:
[1]詹伟薄.策略路由技术在多出口校园网络中的应用[J].软件导刊,2012(11).
[2]陈志平.校园网络安全与防火墙技术[J].现代计算机,2007(25).
[3]罗达强.基于UTM策略路由的网络多接入应用[J].甘肃科技纵横,2013(42).
[4]王建峰.访问控制列表的应用与研究[J].咸宁学院学报,2007(6).
[5]贺文华.基于三层交换与路由的CISCO设备的VLAN设置技术[J].网络安全技术与应用,2006.
(作者单位:广东省粤东高级技工学校)endprint
