李媛

摘 要：單鏈路出口的網(wǎng)絡(luò)已經(jīng)越來越不適應(yīng)網(wǎng)絡(luò)的飛速發(fā)展。而結(jié)合實際情況對現(xiàn)有的網(wǎng)絡(luò)進行升級改造，增加一路鏈路作為出口，并在核心交換機上應(yīng)用策略路由技術(shù)對不同vlan進行鏈路的選擇，可實現(xiàn)對網(wǎng)絡(luò)流量的分流，提升了網(wǎng)絡(luò)的訪問速度，從而達到對網(wǎng)絡(luò)整體性能的提高。

關(guān)鍵詞：核心交換機 策略路由 vlan

網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和網(wǎng)內(nèi)用戶及網(wǎng)絡(luò)中各種應(yīng)用軟件的不斷壯大和更新，導(dǎo)致網(wǎng)絡(luò)流量的增加而影響了網(wǎng)絡(luò)速度，這對網(wǎng)絡(luò)提出了更進一步的要求。單路由或者單防火墻等單鏈路作為外網(wǎng)出口的情況已經(jīng)不能適應(yīng)網(wǎng)絡(luò)技術(shù)的發(fā)展需求。為了給用戶提供一個更快速、更安全可靠、更穩(wěn)定的網(wǎng)絡(luò)平臺，筆者在原有單鏈路作為出口的情況下進行網(wǎng)絡(luò)改造，增加了另一路鏈路出口并利用策略路由技術(shù)實現(xiàn)對不同鏈路的路由選擇。

一、策略路由技術(shù)

策略路由即PBR（Policy-Based Routing）是路由技術(shù)中的一項新技術(shù)。它是一種靈活性強的轉(zhuǎn)發(fā)機制。在傳統(tǒng)路由中，路由器在由路由協(xié)議產(chǎn)生的路由表中，根據(jù)目的地址轉(zhuǎn)發(fā)報文。相比之下，策略路由的靈活性在于，它除了能夠根據(jù)目的地址轉(zhuǎn)發(fā)報文，還能根據(jù)協(xié)議類型、報文大小、源IP地址等等來選擇轉(zhuǎn)發(fā)路徑。簡單地說，只要IP標準或擴展的訪問控制列表（Standard/Extended ACL）能設(shè)置的，都可以作為策略路由的匹配規(guī)則進行轉(zhuǎn)發(fā)。它可以進行多種組合的路由選擇，有效地控制網(wǎng)絡(luò)的負載均衡、單一鏈路上報文轉(zhuǎn)發(fā)的QOS或者滿足某種特定需求。

在具體的應(yīng)用中，策略路由有基于目的地址策略、基于源地址策略和智能均衡的策略：基于目的地址的策略路由一般用于網(wǎng)絡(luò)的出口，針對訪問不同的目的地設(shè)置不同的路由；基于源地址的策略路由，主要針對數(shù)據(jù)包的來源設(shè)置不同策略規(guī)則，這樣可以根據(jù)用戶IP地址的不同設(shè)置不同的策略路由，源地址策略路由適合于對不同級別的用戶設(shè)置不同的路由策略。而智能均衡的策略方式，是策略路由的發(fā)展趨勢。

二、策略路由技術(shù)的應(yīng)用

1.網(wǎng)絡(luò)拓撲結(jié)構(gòu)

網(wǎng)絡(luò)拓撲結(jié)構(gòu)如下圖所示，結(jié)合粵東高級技工學校網(wǎng)絡(luò)實例。改造前是以H3C F1000-A防火墻作為單鏈路出口，使用電信100M的光纖，所有的流量都從此鏈路出去，防火墻壓力巨大，容易造成上網(wǎng)速度卡，以及防火墻CPU被高度占用的情況，導(dǎo)致設(shè)備性能下降、死機等問題。我們利用原有的移動30M的光纖進行網(wǎng)絡(luò)改造，加入H3C U200防火墻作為另一個鏈路的出口。

圖 網(wǎng)絡(luò)拓撲結(jié)構(gòu)

由于不是單路由器（防火墻）雙鏈路出口，而是雙路由器（防火墻）雙鏈路出口。所以我們沒有選擇基于目的的策略路由應(yīng)用到鏈路出口上，而是把策略路由布置在核心交換機Cisco catalyst 3560上，這就是基于源地址的策略路由。因此我們根據(jù)不同的vlan，設(shè)置不同的策略路由，實現(xiàn)了網(wǎng)絡(luò)流量的分流。

筆者將策略路由布置在核心交換機上，更加符合實際的需求，也是進一步升級改造的基礎(chǔ)。例如，在兩路鏈路的兩個出口設(shè)備上，可以再進行基于目的地址的策略路由，針對訪問不同的目的地設(shè)置不同的策略路由，把流量再進行細分，兩臺設(shè)備可以變成4路鏈路出口，甚至可以通過升級出口設(shè)備的模塊來達到擁有更多出口的目的。這就是智能均衡的策略方式了，留待進一步升級改造需要，便可更進一步提高網(wǎng)絡(luò)的整體性能。

2.策略路由技術(shù)的實現(xiàn)

根據(jù)網(wǎng)絡(luò)改造的思路，我們把網(wǎng)內(nèi)劃分成四個vlan，分別為財務(wù)、辦公、教學、宿舍。設(shè)計財務(wù)網(wǎng)段是從移動30M光纖訪問公網(wǎng)，其他三個網(wǎng)段是從電信100M光纖訪問公網(wǎng)。由于Cisco catalyst 3560的IOS版本配備有ipbase和ipservices特性集，而ipservices特性集方可配置策略路由。因原版本是ipbase，所以我們必須先把IOS升級為ipservices。此次改造的主要工作就是通過tftp服務(wù)器實現(xiàn)對核心交換機Cisco catalyst 3560的IOS升級，并在其上實現(xiàn)vlan的劃分、訪問控制列表ACL的控制和配置策略路由功能，使得網(wǎng)內(nèi)不同網(wǎng)段的計算機可以通過核心交換機自動實現(xiàn)對不同路線的網(wǎng)絡(luò)出口的選擇。

（1）IOS版本升級。由于原有的IOS文件C3560-ipbase-mz.122-35.SE5.bin無法實現(xiàn)策略路由功能，必須升級IOS文件，匹配的IOS文件為C3560-ipservices-mz.122-25.SEE1.bin。

接下來的步驟是配置tftp服務(wù)器，使得它可以實現(xiàn)在交換機上對文件的上傳與下載的功能。下載tftp文件Cisco TFTP Server，并運行文件。然后進入3560的配置，通過指令把原有的IOS文件下載下來保存，然后再把交換機上的IOS刪掉，再上傳新的IOS，具體的操作如下：

執(zhí)行備份前先用dir、cd、pwd等命令查看交換機flash中的目錄結(jié)構(gòu)。此交換機IOS的bin文件以及html文件夾都在flash中的C3560-ipbase-mz.122-35.SE5目錄下。

①刪除原IOS，將原IOS備份到IP為192.168.1.100的tftp服務(wù)器上并刪除交換機上的IOS文件。

②上傳新的IOS，將新IOS復(fù)制到flash的根目錄下。

③讓交換機用新的IOS啟動。

啟動完成后就實現(xiàn)了對IOS的更新。

（2）vlan的劃分和訪問控制列表ACL。在實現(xiàn)策略路由的功能之前，先對vlan進行劃分。vlan1為網(wǎng)絡(luò)設(shè)備的管理地址，再劃分四個vlan，辦公vlan2 、教學vlan3、宿舍vlan4和財務(wù)vlan100，并且通過訪問控制列表ACL控制四個vlan不可互訪。

①設(shè)置vlan1即是管理地址為192.168.1.2作為3560的管理地址。endprint

②設(shè)置vlan2的地址為192.168.2.1，并且設(shè)置編號為151的vlan2的訪問列表，實現(xiàn)vlan2不能訪問到vlan3、vlan4和vlan100，具體如下：

③設(shè)置vlan3的地址為192.168.3.1，并且設(shè)置編號為152的vlan3的訪問列表，實現(xiàn)vlan3不能訪問到vlan2、vlan4和vlan100，具體如下：

④設(shè)置vlan100的地址為192.168.100.1，并且設(shè)置編號為153的vlan100的訪問列表，實現(xiàn)vlan100不能訪問到vlan2、vlan3和vlan4，具體如下：

這樣就實現(xiàn)了對vlan的劃分，為每一個vlan分配了地址，并且通過訪問控制列表ACL的控制使得四個網(wǎng)段vlan2、vlan3、vlan4和vlan100之間不能互訪了。

（3）策略路由的實現(xiàn)。前面已經(jīng)實現(xiàn)了不同網(wǎng)段不能互訪的功能，接下來是如何設(shè)置使得財務(wù)網(wǎng)vlan100和其他三個網(wǎng)段vlan2、vlan3和vlan4可以通過3560交換機實現(xiàn)對不同路由線路的自動選擇，也就是策略路由的實現(xiàn)。具體的步驟如下：

①設(shè)置編號為100的訪問列表，實現(xiàn)把vlan100與vlan2、vlan3、vlan4和vlan1等分開，作為策略路由應(yīng)用的前提條件，目的是要讓vlan100與vlan2、vlan3、vlan4等走不同的路由線路。

②接下來做一條默認路由的指令，使得默認的通路是走192.168.1.1即為H3C F1000-A防火墻這個地址的路由的，即vlan2、vlan3和vlan4會從電信100M訪問公網(wǎng)。指令如下：

③接下來把3560上連接到H3C U200防火墻（地址為192.168.168.2）的端口FastEthernet0/1設(shè)定一個地址，此地址必須跟防火墻地址192.168.168.2為同一個網(wǎng)段才可以實現(xiàn)通路，把這個端口的地址設(shè)定為192.168.168.1，具體如下：

④接下來是實現(xiàn)策略路由，設(shè)置一個名為caiwu的路由表，匹配了編號為100的訪問列表，并且把這個列表的下一跳指定到192.168.168.2，即是到H3C U200防火墻的地址上去，就是讓財務(wù)網(wǎng)段vlan100從這條路由線路訪問公網(wǎng)，而不是選擇192.168.1.1即為H3C F1000-A這條默認路由。

⑤最后一個步驟是要把caiwu這個策略路由應(yīng)用到vlan100中，就啟用了策略路由功能。

通過以上步驟，我們實現(xiàn)了在核心交換機上對vlan100和vlan2、vlan3、vlan4的不同策略路由的自動選擇。

三、結(jié)論

通過網(wǎng)絡(luò)改造，我們在核心交換機Cisco catalyst 3560上實現(xiàn)了對vlan的劃分、vlan間的訪問控制和策略路由，對不同網(wǎng)段使用ping和tracert等指令測試網(wǎng)段對鏈路的選擇，效果顯著。策略路由實現(xiàn)了不同的網(wǎng)段對不同的鏈路的選擇，實現(xiàn)了對網(wǎng)絡(luò)流量的分流，有效地控制了單鏈路流量太大導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定的情況，提升了網(wǎng)絡(luò)訪問速度，從而提高了網(wǎng)絡(luò)的整體性能。這充分證明了策略路由技術(shù)在實現(xiàn)復(fù)雜的網(wǎng)絡(luò)功能時的強大優(yōu)勢。

參考文獻：

[1]詹偉薄.策略路由技術(shù)在多出口校園網(wǎng)絡(luò)中的應(yīng)用[J].軟件導(dǎo)刊，2012（11）.

[2]陳志平.校園網(wǎng)絡(luò)安全與防火墻技術(shù)[J].現(xiàn)代計算機，2007（25）.

[3]羅達強.基于UTM策略路由的網(wǎng)絡(luò)多接入應(yīng)用[J].甘肅科技縱橫，2013（42）.

[4]王建峰.訪問控制列表的應(yīng)用與研究[J].咸寧學院學報，2007（6）.

[5]賀文華.基于三層交換與路由的CISCO設(shè)備的VLAN設(shè)置技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006.

（作者單位：廣東省粵東高級技工學校）endprint

②設(shè)置vlan2的地址為192.168.2.1，并且設(shè)置編號為151的vlan2的訪問列表，實現(xiàn)vlan2不能訪問到vlan3、vlan4和vlan100，具體如下：

③設(shè)置vlan3的地址為192.168.3.1，并且設(shè)置編號為152的vlan3的訪問列表，實現(xiàn)vlan3不能訪問到vlan2、vlan4和vlan100，具體如下：

④設(shè)置vlan100的地址為192.168.100.1，并且設(shè)置編號為153的vlan100的訪問列表，實現(xiàn)vlan100不能訪問到vlan2、vlan3和vlan4，具體如下：

這樣就實現(xiàn)了對vlan的劃分，為每一個vlan分配了地址，并且通過訪問控制列表ACL的控制使得四個網(wǎng)段vlan2、vlan3、vlan4和vlan100之間不能互訪了。

（3）策略路由的實現(xiàn)。前面已經(jīng)實現(xiàn)了不同網(wǎng)段不能互訪的功能，接下來是如何設(shè)置使得財務(wù)網(wǎng)vlan100和其他三個網(wǎng)段vlan2、vlan3和vlan4可以通過3560交換機實現(xiàn)對不同路由線路的自動選擇，也就是策略路由的實現(xiàn)。具體的步驟如下：

①設(shè)置編號為100的訪問列表，實現(xiàn)把vlan100與vlan2、vlan3、vlan4和vlan1等分開，作為策略路由應(yīng)用的前提條件，目的是要讓vlan100與vlan2、vlan3、vlan4等走不同的路由線路。

②接下來做一條默認路由的指令，使得默認的通路是走192.168.1.1即為H3C F1000-A防火墻這個地址的路由的，即vlan2、vlan3和vlan4會從電信100M訪問公網(wǎng)。指令如下：

③接下來把3560上連接到H3C U200防火墻（地址為192.168.168.2）的端口FastEthernet0/1設(shè)定一個地址，此地址必須跟防火墻地址192.168.168.2為同一個網(wǎng)段才可以實現(xiàn)通路，把這個端口的地址設(shè)定為192.168.168.1，具體如下：

④接下來是實現(xiàn)策略路由，設(shè)置一個名為caiwu的路由表，匹配了編號為100的訪問列表，并且把這個列表的下一跳指定到192.168.168.2，即是到H3C U200防火墻的地址上去，就是讓財務(wù)網(wǎng)段vlan100從這條路由線路訪問公網(wǎng)，而不是選擇192.168.1.1即為H3C F1000-A這條默認路由。

⑤最后一個步驟是要把caiwu這個策略路由應(yīng)用到vlan100中，就啟用了策略路由功能。

通過以上步驟，我們實現(xiàn)了在核心交換機上對vlan100和vlan2、vlan3、vlan4的不同策略路由的自動選擇。

三、結(jié)論

通過網(wǎng)絡(luò)改造，我們在核心交換機Cisco catalyst 3560上實現(xiàn)了對vlan的劃分、vlan間的訪問控制和策略路由，對不同網(wǎng)段使用ping和tracert等指令測試網(wǎng)段對鏈路的選擇，效果顯著。策略路由實現(xiàn)了不同的網(wǎng)段對不同的鏈路的選擇，實現(xiàn)了對網(wǎng)絡(luò)流量的分流，有效地控制了單鏈路流量太大導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定的情況，提升了網(wǎng)絡(luò)訪問速度，從而提高了網(wǎng)絡(luò)的整體性能。這充分證明了策略路由技術(shù)在實現(xiàn)復(fù)雜的網(wǎng)絡(luò)功能時的強大優(yōu)勢。

參考文獻：

[1]詹偉薄.策略路由技術(shù)在多出口校園網(wǎng)絡(luò)中的應(yīng)用[J].軟件導(dǎo)刊，2012（11）.

[2]陳志平.校園網(wǎng)絡(luò)安全與防火墻技術(shù)[J].現(xiàn)代計算機，2007（25）.

[3]羅達強.基于UTM策略路由的網(wǎng)絡(luò)多接入應(yīng)用[J].甘肅科技縱橫，2013（42）.

[4]王建峰.訪問控制列表的應(yīng)用與研究[J].咸寧學院學報，2007（6）.

[5]賀文華.基于三層交換與路由的CISCO設(shè)備的VLAN設(shè)置技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006.

（作者單位：廣東省粵東高級技工學校）endprint

②設(shè)置vlan2的地址為192.168.2.1，并且設(shè)置編號為151的vlan2的訪問列表，實現(xiàn)vlan2不能訪問到vlan3、vlan4和vlan100，具體如下：

③設(shè)置vlan3的地址為192.168.3.1，并且設(shè)置編號為152的vlan3的訪問列表，實現(xiàn)vlan3不能訪問到vlan2、vlan4和vlan100，具體如下：

④設(shè)置vlan100的地址為192.168.100.1，并且設(shè)置編號為153的vlan100的訪問列表，實現(xiàn)vlan100不能訪問到vlan2、vlan3和vlan4，具體如下：

這樣就實現(xiàn)了對vlan的劃分，為每一個vlan分配了地址，并且通過訪問控制列表ACL的控制使得四個網(wǎng)段vlan2、vlan3、vlan4和vlan100之間不能互訪了。

（3）策略路由的實現(xiàn)。前面已經(jīng)實現(xiàn)了不同網(wǎng)段不能互訪的功能，接下來是如何設(shè)置使得財務(wù)網(wǎng)vlan100和其他三個網(wǎng)段vlan2、vlan3和vlan4可以通過3560交換機實現(xiàn)對不同路由線路的自動選擇，也就是策略路由的實現(xiàn)。具體的步驟如下：

①設(shè)置編號為100的訪問列表，實現(xiàn)把vlan100與vlan2、vlan3、vlan4和vlan1等分開，作為策略路由應(yīng)用的前提條件，目的是要讓vlan100與vlan2、vlan3、vlan4等走不同的路由線路。

②接下來做一條默認路由的指令，使得默認的通路是走192.168.1.1即為H3C F1000-A防火墻這個地址的路由的，即vlan2、vlan3和vlan4會從電信100M訪問公網(wǎng)。指令如下：

③接下來把3560上連接到H3C U200防火墻（地址為192.168.168.2）的端口FastEthernet0/1設(shè)定一個地址，此地址必須跟防火墻地址192.168.168.2為同一個網(wǎng)段才可以實現(xiàn)通路，把這個端口的地址設(shè)定為192.168.168.1，具體如下：

④接下來是實現(xiàn)策略路由，設(shè)置一個名為caiwu的路由表，匹配了編號為100的訪問列表，并且把這個列表的下一跳指定到192.168.168.2，即是到H3C U200防火墻的地址上去，就是讓財務(wù)網(wǎng)段vlan100從這條路由線路訪問公網(wǎng)，而不是選擇192.168.1.1即為H3C F1000-A這條默認路由。

⑤最后一個步驟是要把caiwu這個策略路由應(yīng)用到vlan100中，就啟用了策略路由功能。

通過以上步驟，我們實現(xiàn)了在核心交換機上對vlan100和vlan2、vlan3、vlan4的不同策略路由的自動選擇。

三、結(jié)論

通過網(wǎng)絡(luò)改造，我們在核心交換機Cisco catalyst 3560上實現(xiàn)了對vlan的劃分、vlan間的訪問控制和策略路由，對不同網(wǎng)段使用ping和tracert等指令測試網(wǎng)段對鏈路的選擇，效果顯著。策略路由實現(xiàn)了不同的網(wǎng)段對不同的鏈路的選擇，實現(xiàn)了對網(wǎng)絡(luò)流量的分流，有效地控制了單鏈路流量太大導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定的情況，提升了網(wǎng)絡(luò)訪問速度，從而提高了網(wǎng)絡(luò)的整體性能。這充分證明了策略路由技術(shù)在實現(xiàn)復(fù)雜的網(wǎng)絡(luò)功能時的強大優(yōu)勢。

參考文獻：

[1]詹偉薄.策略路由技術(shù)在多出口校園網(wǎng)絡(luò)中的應(yīng)用[J].軟件導(dǎo)刊，2012（11）.

[2]陳志平.校園網(wǎng)絡(luò)安全與防火墻技術(shù)[J].現(xiàn)代計算機，2007（25）.

[3]羅達強.基于UTM策略路由的網(wǎng)絡(luò)多接入應(yīng)用[J].甘肅科技縱橫，2013（42）.

[4]王建峰.訪問控制列表的應(yīng)用與研究[J].咸寧學院學報，2007（6）.

[5]賀文華.基于三層交換與路由的CISCO設(shè)備的VLAN設(shè)置技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006.

（作者單位：廣東省粵東高級技工學校）endprint