利用策略路由解决多出口流量分配问题

摘　要：目的 通过防火墙和交换机的策略路由功能，实现多出口流量分配。结合实际的应用背景，指出传统IP路由的不足.提出了解决多出口流量分配问题的IP策略路由(Policy Routing)机制.分析了策略路由在网络上的实现。并给出了应用实例，解决了网内用户高速访问Internet的资源的需求。方法 使用华为8512交换机和CISCO PIX防火墙，采用策略路由与NAT技术，对多出口网络路由问题进行了研究和探讨。结果 使用策略路由及地址翻译（NAT)技术解决了此类问题并给出了具体实现办法。结论：使用多出口的路由设计方法解决内部网用户高速访问互联网的问题切实可行。

关键词：路由；策略路由；NAT

前 言
　　辽河油田通信公司宽带网是面向油田矿区内部用户提供互联网服务的计算机网络。近年来，辽河油田通信公司宽带网建设有了很大的发展，网内的各种高速应用已经实现，但与中国电信、中国网通等国内互联网运营商的互访带宽仍然不足。为满足广大用户的需求，我们利用策略路由进行多出口流量分配，提高用户网络访问速度。
一、问题的提出与分析
　　我公司从2000年开始为用户提供互联网宽带接入。随着网络建设水平和应用水平的不断提高，宽带网用户数量的快速增加，对网络带宽的需求也在不断提高。尽管我们接入网通的带宽从2M、4M、100M提高到了1G，但许多用户对网通以外的资源的访问速度仍然不满意。于是，我们根据当地的实际情况对多出口网络接入进行了探讨和实践。采取了网通出口使用1000M接入、租用电信链路为第二出口的方法。
　　使用此方法，可以对网络出口进行有效的备份，减少单一出口连接造成的网络中断现象，同时也可提高使用网通IP地址的用户访问电信网站的速度。采取的策略是：访问互联网的主要流量指向网通节点路由器，其他电信流量指向电信的出口并在该出口上作NAT（Network address translation）使通过该出口对外访问的数据按照同样的路经返回。
　　对于不同的接入用户，我们设计了不同的路由方式：对于集团用户，由于他们使用的多是私网地址，我们直接通过CISCO PIX的策略路由功能实现多出口路由分摊；对于普通用户，我们利用交换机的策略路由功能，实现多出口的路由转发。   

    
二、CISCO PIX防火墙的设计
对于使用私网地址的集团用户，我们通过CISCO PIX防火墙基于目的地址的策略路由选择来实现多出口的路由分摊。基于目的地址的策略路由选择可以让你按照自己定义的规则来进行数据包的路由转发。我们可以做关于服务器的策略路由，将服务器的出口数据有目的指向网通或电信出口，确保用户对外的访问快速有效。
　　我们采用的基于目的IP地址的策略路由其工作原理是：根据用户访问的目的网站来决定所映射的公网地址是网通还是电信地址。由于所得到的映射地址不同，那么用户访问Internet所选择的出口路由也就不同。
2.1配置方法
（基于安全方面的考虑，配置中所使用的IP地址均为虚构）
假设集团用户的IP地址是172.16.1.0 255.255.255.0，网通分配分配的IP地址是202.97.*.* ，电信分配的IP地址是219.149.*.*
2.1.1 PIX上目的地址为电信服务器策略设置
⑴访问控制表（针对电信服务器建立访问控制列表）：
access-list dianxin permit ip 172.16.1.0 255.0.0.0 218.6.174.0 255.255.255.0
access-list dianxin permit ip 172.16.1.0 255.0.0.0 218.30.64.0 255.255.255.0
access-list dianxin permit ip 172.16.1.0 255.0.0.0 202.107.231.0 255.255.255.0
……………………
⑵定义NAT 池（以电信地址建立地址池）：
　global (outside) 3 219.149.*.*
  ……………………
　⑶配置NAT：
　nat (inside) 3 access-list dianxin 0 0
　2.1.2 PIX上目的地址为网通服务器策略设置
　⑴访问控制表（全局方式下设置）：
　access-list wangtong permit ip 172.16.1.0 255.255.255.0 any
　 (定义除电信服务器外的其它服务器地址)
　⑵定义NAT 池（以网通地址建立地址池）：
　global (outside) 2 202.97.*.*
  ……………………
　⑶配置NAT：
　　nat (inside) 2 access-list wangtong 0 0
　　在实际应用中，NAT和策略路由的共同使用会给防火墙造成很大负担，因此对于小数量的集团用户我们通常直接使用防火墙来实现多出口路由，而当面对更多用户时，我们通常改由交换机来实现策略路由，防火墙来承担NAT功能，这样会有更高的效率。
三、交换机策略路由的设计
　　对于普通接入用户由于数据量大，为了实现多出口路由分摊，我们通常是利用交换机的策略路由功能来实现的。如果在某个端口上基于策略的路由选择有效则这个端口上接收的所有数据包都通过了数据包过滤器（称之为路由映射）。基于策略的路由选择使用的路由映射规定了决定数据包将发往何处的策略。路由映射由语句构成，可以把这些路由映射语句标记为允许或否定，并且可以按照如下方式来解释：
　 ⑴如果数据包不匹配任何一个映射语句，则采用默认路由。
　　⑵如果一个语句被标记为允许，则满足这个匹配标准的数据包将通过标准转发信道转发，并执行基于策略的路由选择操作过程中，特别需要注意的是，应当在接收数据包的端口上（而不是在发送数据包的端口上）制定基于策略的路由选择。
　　使用此方法，可以对网络出口进行有效的备份，减少单一出口连接造成的网络中断现象同时也可减少单一出口上的流量，降低网络运行费用。采取的策略是：访问电信的流量指向电信节点路由器，其他流量指向网通的出口并在该出口上作NAT（Network address translation）使通过该出口对外访问的数据按照同样的路经返回。
　　3.1配置方法
　　3.1.1在华为交换机上建立策略路由列表
　　acl number 3001
　　 rule 1 permit ip destination 61.152.97.0 0.0.0.255
　　 rule 2 permit ip destination 61.152.103.0 0.0.0.255
　　 rule 4 permit ip destination 61.189.0.0 0.0.127.255
　　 rule 5 permit ip destination 61.176.0.0 0.0.255.255
　　 rule 6 permit ip destination 218.24.0.0 0.3.255.255
　　 rule 7 permit ip destination 218.28.0.0 0.1.255.255
　　 rule 9 permit ip destination 202.106.0.0 0.0.255.255
  ……………………
　　3.1.2配置交换机端口（219.234.*.*为路由下一跳地址）
　　interface GigabitEthernet4/2/3
　　 traffic-redirect inbound ip-group 30 01 rule 1 system-index 229 next-hop 219.*.*.181
　　 traffic-redirect inbound ip-group 3001 rule 2 system-index 230 next-hop 219.*.*.181
　　 traffic-redirect inbound ip-group 3001 rule 4 system-index 231 next-hop 219.*.*.181
　　 traffic-redirect inbound ip-group 3001 rule 5 system-index 232 next-hop 219.*.*.181
　　 traffic-redirect inbound ip-group 3001 rule 6 system-index 233 next-hop 219.*.*.181
　　 traffic-redirect inbound ip-group 3001 rule 7 system-index 234 next-hop 219.*.*.181
　　 traffic-redirect inbound ip-group 3001 rule 9 system-index 235 next-hop 219.*.*.181
    ……………………
3.1.3防火墙上的NAT 设置
　⑴接口地址
  ip address outside 219.*.*.178 255.255.255.252
　　ip address inside 219.*.*.181 255.255.255.252
　⑵定义NAT 池（全局方式下设置）：
　global (outside) 1 221.202.*.*
　⑶配置NAT（全局方式下设置）：
　nat (inside) 1 203.79.*.* 255.255.255.0 600 600　
四、结果
　 多出口网络的实现极大的方便了网内用户高速访问Internet资源的需求，同时第二出口（或更多出口）的建立也可以对网络的出口进行有效的备份，减少单一出口造成的网络中断，在网络建设中得到广泛的应用。　
参考文献：
［1］
［2］ （美）Cisco System 公司著. Cisco ISO 12.0参考书 服务质量优化技术［M］. 北京：希望电子出版社.1999.
［3］ （美）Cisco System 公司著. Cisco ISO 12.0参考书 网络协议解决方案［M］. 第一卷（上）,北京：希望电子出版社, 1999.
［4］ （美）David hucaby. CISCO现场手册：路由配置［M］. 北京：人民邮电出版社,2004.