策略路由技术在校园网中应用
时间:2022-08-19 03:45:33
摘要:高校对网络的应用越来越广泛,同时也要求有较好的传输性能。为了解决网络带宽和传输性能的瓶颈,高校选择了多个网络服务提供商(ISP)。利用策略路由技术实现了链路的负载均衡和容错,保证了网络的可靠性。
关键词:网络带宽;传输性能;负载均衡
中图分类号:TP393 文献标识码:A文章编号:1009-3044(2009)35-9929-03
Policy Routing in the Campus Network Application
SHI Zhen-hua, YIN Huan-jiong
(Top Institute of Information & Technology of Shaoxing, Computer Department, Shaoxing 312000, China)
Abstract: Network has been widely used in the colleges and universities that require a better transmission performance. To address the bottlenecks of network bandwidth and transmission performance, colleges and universities select more than one Internet Service Provider (ISP). The use of policy routing technology has achieved the balance of link load and fault tolerance to ensure the reliability of the network.
Key words: network bandwidth; transmission performance; the balance of link load
随着计算机技术和网络技术不断发展,网络上的应用更加丰富。校园网是高校信息化建设的基础设施,需要对内对外提供多媒体教学、网络课件下载、视频点播、远程网络教学等业务;同时又要保证网络畅通,防止病毒泛滥,用户非法访问等一系列问题。因而需要一个高速、安全的校园网络以满足在多媒体网络教育和管理等方面的需要。
1 问题的分析和提出
目前,国内存在一批有实力的网络服务提供商(ISP),如电信、网通、移动、联通等,他们有各自的网络资源和优势。对高等院校而言,首先,单一运营商的接入无法完全满足学校的需求,一般都同时接入两个ISP。这样既能实现增加网络出口备份路由, 避免由单一网络出口线路连接故障而造成的网络出口的中断。又能实现对接入的用户进行优先级分配,保证重要用户可以快速访问互连网。
其次,当前的Internet面临两大问题,即可用IP地址的短缺和路由表的不断增大,因此能申请到的合法IP地址的数目远远小于校园网的用户数,这使得众多用户的接入出现困难。
我们需要解决以下问题
1) 根据两出口的带宽速率, 对线路负载进行均衡, 保证两条出口线路都能得到充分有效的利用,以此达到既经济又高速的目的;
2) 当其中一个ISP不能提供正常服务时,另一个ISP能够自动切换为所有用户提供服务。
3) 当ISP恢复正常时,可以自动恢复到正常服务状态。
4) 所有用户通过有限的数个(或1个)合法IP地址访问Internet
2 策略路由
目前,在网络中使用的传统路由算法都是根据数据报的目的地址进行路由选择。在IP传统路由过程中,仅仅考虑了一个数据报的目的地址和从每一条路径到达目的地的代价估计。也就是说,在IP传统路由中,如果每一条路径到达目的地的代价估计一样,只要IP目的地址确定,数据报的来源和类型,都不能对最终的路由选择产生影响。然而在现实应用中经常有这样的需求:进行路由选择时,不仅仅要根据数据报的目的地址,而且要根据数据报的其他一些特性,如:源地址、IP协议、传输层端口,甚至是数据报的负载部分内容,这种类型的路由选择被称作基于策略的路由。
策略路由是一种比利用目标网络进行路由更加灵活的数据包路由转发机制,策略路由的优先级别高于普通路由。应用了策略路由以后,路由器将根据用户指定的策略决定如何对需要路由的数据包进行处理。一个接口应用策略路由后,将对该接口接收到的所有数据包进行检查,不符合策略路由的数据包将按照传统的路由转发进行处理,符合某个用户策略的数据包就会按照用户策略指定的下一跳地址或路由器接口进行转发。策略路由中所谓策略的制定依赖于访问控制列表(ACL),因此策略路由中策略的制定是方便而又灵活的,可以满足不同方面的需求。制定策略路由时根据源地址来进行策略实施的称为源地址路由;也可以根据协议类型(例如将UDP和TCP两种不同协议的报文送入不同的线路)、应用(例如某些视频应用要求实时传送,可以将RSTP流单独使用一条较为宽裕的线路进行转发)、报文大小或它们的组合等来设置转发策略。在本文解决方案的研究和应用中, 我们主要考虑如何根据源IP地址及目的IP地址来选择路由。
配置策略路由通常包括以下几个步骤:
1) 定义路由映射来控制数据包的出口;
2) 为定义的路由映射设置匹配标准;
3) 为与给定标准相符的数据包设定路由器处理行为(选择路由路径) ;
4) 为需要进行策略路由的端口指定相应的策略路由;
5) 设置相应的访问控制列表作为路由映射的匹配标准。
与访问控制列表一样,路由映射本身并不起作用,它必须被一些命令“调用”才能发挥作用,例如策略路由命令或路由再分布命令;不同的是,策略路由发送包给路由映射,而路由再分布发送路由给路由映射。
3 网络地址转换
计算机只有配置了正确的IP地址之后才能与其它计算机通信,但对于网络内部,因合法IP地址有限,这些网络上的主机通常分配了私有地址。这些地址不能直接在Internet上进行路由,从而分配了这些私有地址的计算机也就不能直接访问Internet。网络地址转换(NAT)技术可以使一个网内的所有用户通过有限的数个(或1个)合法IP地址访问Internet,是一种在IP数据包通过路由器时重写源IP地址或目的IP地址的技术。具体而言,当信息由网内向网外传递时,源地址被立即从私有地址转换为合法地址,由路由器跟踪每个连接上的基本数据,主要是目的地址和端口;当有数据回复返回路由器时,它通过输出阶段记录的连接跟踪数据来决定该转发给内网的哪个主机。这样不仅解决了所有用户的上网问题,同时也隐藏了内部IP地址,增强了网络的安全性。
配置网络地址转换包括以下几个步骤:
1) 定义内部接口和外部接口;
2) 定义网络地址转换的转换源和转换目标;
3) 设置相应的访问控制列表作为网络地址转换的转换源。
4 解决方案和配置实现
在此技术方案采用基于源地址的策略路由结合网络地址转换和访问控制列表来具体实现。
网络拓扑图模拟了一个校园网络通过两个网络服务提供商(ISP)连接进入Internet。边界路由器连接校园网和网络服务提供商(ISP),两个ISP都能转发到达Internet的数据包(用202.96.107.29模拟),边界路由器与ISP1连接的接口IP:12.0.0.1/30;ISP1连接边界路由器的接口IP:12.0.0.2/30;边界路由器与ISP2连接的接口IP:23.0.0.1/30;ISP2连接边界路由器的接口IP:23.0.0.2/30。校园网络用192.168.1.0/24网段进行模拟。其中192.168.1.1―192.168.1.127的校园网络用户需要使用ISP1访问Internet;192.168.1.128―192.168.1.254的校园用户使用ISP2来访问Internet。PC1的IP:192.168.1.100;PC2的IP:192.168.1.200;需要通过实验验证PC1访问Internet通过ISP1; PC2访问Internet通过ISP2。
4.1 配置实现如下
边界路由器配置
设置连接局域网的以太网口
R1(config)#interface FastEthernet0/0 (边界路由器的局域网接口)
R1(config-if)#ip address 192.168.1.254 255.255.255.0
R1(config-if)#ip nat inside (此接口为NAT的内部接口)
R1(config-if)#ip policy route-map route-policy(在边界路由器入站接口上绑定策略路由)
R1(config-if)#no shutdown(激活该端口)
设置连接ISP1的串口S0/0
R1(config)#interface Serial0/0 (边界路由器连接外部的串口,此处接ISP1)
R1(config-if)#ip address 12.0.0.1255.255.255.252
R1(config-if)#ip nat outside (此接口为NAT的外部接口)
R1(config-if)#no shutdown (激活该端口)
设置连接ISP1的串口S0/1
R1(config)#interface Serial0/1 (边界路由器连接外部的串口,此处接ISP2)
R1(config-if)#ip address 23.0.0.1 255.255.255.252
R1(config-if)#ip nat outside (此接口为NAT的外部接口)
R1(config-if)#no shutdown (激活该端口)
定义标准访问控制列表
R1(config)#access-list 1 permit 192.168.1.0 0.0.0.127
R1(config)#access-list 2 permit 192.168.1.128 0.0.0.127
R1(config)#access-list 10 permit 192.168.1.0 0.0.0.255
定义用于策略路由的route-map, 若IP地址的范围是在标准访问列表1中定义,则它的下一跳地址为ISP1的接口IP即12.0.0.2/30。
R1(config)#route-map route-policy permit 100
R1(config-route-map)#match ip address 1
R1(config-route-map)#set ip next-hop 12.0.0.2
定义用于策略路由的route-map, 若IP地址的范围是在标准访问列表2中定义,则它的下一跳地址为ISP1的接口IP即23.0.0.2/30。
R1(config)#route-map route-policy permit 200
R1(config-route-map)#match ip address 2
R1(config-route-map)#set ip next-hop 23.0.0.2
定义用于端口地址转换技术(PAT)的route-map
R1(config)#route-map isp1 permit 10
R1(config-route-map)#match ip address 10
R1(config-route-map)#match interface Serial0/0
定义用于端口地址转换技术(PAT)的route-map
R1(config)#route-map isp2 permit 10
R1(config-route-map)#match ip address 10
R1(config-route-map)#match interface Serial0/1
在做PAT时使用route-map来区分不同的数据流
R1(config)#ip nat inside source route-map isp1 interface Serial0/0 overload
R1(config)#ip nat inside source route-map isp2 interface Serial0/1 overload
5 测试结果
通过测试,当IP地址范围在192.168.1.1―192.168.1.127之间的站点发送数据包,数据包会发送到ISP1;当IP地址范围在192.168.1.128―192.168.1.254之间的站点发送数据包,数据包会发送到ISP2。这样利用策略路由技术实现了按照源地址来选择路由。
6 结束语
双出口校园网综合运用了网络地址转换(NAT) 和策略路由技术, 通过不同的网络分担用户上网流量,提高了网络访问的速度。NAT技术的应用使通过本地ISP进行路由的外部主机无法访问到通过这种连接的内部主机,因此在一定程度上保证了校园网内部主机的安全性。
参考文献:
[1] 王洪臣.多连接校园网策略路由的研究与实现[J].计算机技术与发展,2008(4).
[2] 刘治纲.基于策略路由的双出双入边界路由设计与实现[J].南昌航空工业学院学报,2006(20).
[3] 庄永龙.策略路由技术在多出口校园网中的应用研究[J].南通职业大学学报,2008(3).
