论文部分内容阅读
[摘要]概述校园网采用多个出口接入互联网的必要性,指出在这种环境下不能采用常规的基于目的地址的路由,可以采用策略路由技术来满足要求,最后给出了一个具体的实例。
[关键词]多出口 路由图 策略路由
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2008)0720102-01
一、概述
目前高校网络出口都比较复杂,普遍都会采用双网络或者多网络出口方式。其中一个为教育网出口,其余的为电信等其它ISP的出口。
教育网出口采用会员制加按流量计费形式,可以免费访问一部分网络地址(包括教育网地址和一部分免费网络地址),对于其余地址的访问,则按照流量收费的。如果完全通过教育网出口来对外访问,则会因为流量巨大造成网络资费过高(访问非免费网络地址)和访问非教育网速度较慢。
基于速度、资源利用情况和费用的考虑,高校一般都会使用多出口与互联网相连。
二、需求分析
当学校使用两个(或多个)网络出口后,一般有如下基本的需求:
1.校园网用户对外的访问策略。访问教育网内的资源时,走教育网出口;访问非教育网(包括国内其他网站和国外站点)内的资源时,走电信等ISP出口;
2.校园网外用户对校园网的访问策略。只能通过教育网出口进入到校园网(因为其它ISP提供的地址数比较少)。
三、策略路由技术
传统的路由都是根據目的地址来进行报文的转发。在这种机制下,路由器只能根据报文的目的地址为用户提供比较单一的路由方式。
基于策略的路由为网络管理者提供了比传统路由对报文的转发和存储更强的控制能力。它使网络管理者不仅能够根据目的地址,而且能够根据协议类型、报文大小、应用、IP源地址来选择转发路径。
当数据包经过路由器转发时,路由器根据预先设定的策略对数据包进行匹配,如果匹配到一条策略,就根据该条策略指定的路由进行转发;如果没有匹配到任何策略,就使用路由表中的各项根据目的地址对报文进行路由。
四、解决方案及实现
假设某个学校的出口网络拓扑如下:核心路由器(假设是思科的产品)的g0/1接教育网CERNET出口,g0/2接电信CHINANET出口,g0/3接校园网。
(一)如果在网络核心路由器上只采用传统的基于目的地址的路由来进行数据包的转发,那么:
1.校园网用户对外的访问策略是满足的(采用静态路由和缺省路由)。
2.校园网外用户对校园网的访问策略不完全满足。教育网的用户可以访问校内的服务,其他非教育网的用户都不能访问校内服务。因为这些非教育网的校外用户访问校内服务时只能从教育网进来(服务器采用教育网地址),如果返回时按照基于目的地址路由,则返回路由走的是CHINANET,但各ISP一般都做了源地址抑制,也就是说返回时源地址如果不是CHINANET分配的地址,就将数据包丢弃了,而返回时源地址是教育网的地址,因此返回数据不能到达校外非教育网用户。
(二)如果在网络核心路由器上同时采用基于应用的策略路由和传统的基于目的地址的路由来进行数据包的转发,那么:
1.校园网用户对外的访问策略(采用静态路由和缺省路由来实现)。
2.校园网外用户对校园网的访问策略都能够满足。非教育网的校外用户虽然只能从教育网进来访问校内服务器,但因为采用了策略路由,当返回时,核心路由器会按照策略路由选择从教育网出口返回。
(三)因此,采用基于策略的路由可以解决这种多出口校园网的问题,核心路由器上路由的配置如下:
1.缺省路由指向CHINANET;
2.到教育网的静态路由指向CERNET;
3.基于源地址(提供服务的校内服务器的地址)和源端口号(仅提供服务的校内服务器的服务端口号)的策略路由指向CERNET,但不能扩大源端口号,否则,服务器对外的访问可能都走CERNET出去。
(四)具体配置如下:
1.缺省路由的配置:
Router(config)#ip route 0.0.0.0 0.0.0.0 x.x.x.x
注释:x.x.x.x是核心路由器和ChinaNet出口防火墙相连网络的防火墙接口地址
2.到教育网的静态路由的配置:
Router(config)#ip route x.x.x.x y.y.y.y z.z.z.z
注释:x.x.x.x是网络号,y.y.y.y是该网络对应的掩码,z.z.z.z是核心路由器和教育网出口防火墙相连网络的防火墙接口地址,这里应该有很多条到教育网的静态路由,教育网的地址段可以到www.edu.cn去下载
3.基于源地址和源端口号的策略路由配置:
(1)定义访问列表。Router(config)#access-list 110 permit tcp host x.x.x.x eq y any
注释:x.x.x.x是服务器地址,y是服务器服务的端口号(比如WWW服务为80,SMTP服务为25等),有多少服务就要写多少条这种访问列表
(2)定义路由图。Router(config)#route-map server
注释:server是管理员取的路由图的名字
Router(config-route-map)#match ip address 110
注释:匹配定义的访问列表
Router(config-route-map)#set ip next-hop x.x.x.x
注释:设置下一条的地址,即满足访问列表报文的从哪儿路由出去,这样就不单单看目的地址就进行路由,达到了策略路由的目的,x.x.x.x是核心路由器和教育网出口防火墙相连网络的防火墙接口地址
(3)应用路由图。Router(config)#interface g0/3
Router(config-if)#ip policy route-map server
注释:在接口中应用策略路由
参考文献:
[1]石硕:交换机/路由器及其配置,北京:电子工业出版社,2007.
[2][美]David hucaby:CISCO现场手册:路由配置 北京:人民邮电出版社,2004.
[3]http://www.cisco.com.
[关键词]多出口 路由图 策略路由
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2008)0720102-01
一、概述
目前高校网络出口都比较复杂,普遍都会采用双网络或者多网络出口方式。其中一个为教育网出口,其余的为电信等其它ISP的出口。
教育网出口采用会员制加按流量计费形式,可以免费访问一部分网络地址(包括教育网地址和一部分免费网络地址),对于其余地址的访问,则按照流量收费的。如果完全通过教育网出口来对外访问,则会因为流量巨大造成网络资费过高(访问非免费网络地址)和访问非教育网速度较慢。
基于速度、资源利用情况和费用的考虑,高校一般都会使用多出口与互联网相连。
二、需求分析
当学校使用两个(或多个)网络出口后,一般有如下基本的需求:
1.校园网用户对外的访问策略。访问教育网内的资源时,走教育网出口;访问非教育网(包括国内其他网站和国外站点)内的资源时,走电信等ISP出口;
2.校园网外用户对校园网的访问策略。只能通过教育网出口进入到校园网(因为其它ISP提供的地址数比较少)。
三、策略路由技术
传统的路由都是根據目的地址来进行报文的转发。在这种机制下,路由器只能根据报文的目的地址为用户提供比较单一的路由方式。
基于策略的路由为网络管理者提供了比传统路由对报文的转发和存储更强的控制能力。它使网络管理者不仅能够根据目的地址,而且能够根据协议类型、报文大小、应用、IP源地址来选择转发路径。
当数据包经过路由器转发时,路由器根据预先设定的策略对数据包进行匹配,如果匹配到一条策略,就根据该条策略指定的路由进行转发;如果没有匹配到任何策略,就使用路由表中的各项根据目的地址对报文进行路由。
四、解决方案及实现
假设某个学校的出口网络拓扑如下:核心路由器(假设是思科的产品)的g0/1接教育网CERNET出口,g0/2接电信CHINANET出口,g0/3接校园网。
(一)如果在网络核心路由器上只采用传统的基于目的地址的路由来进行数据包的转发,那么:
1.校园网用户对外的访问策略是满足的(采用静态路由和缺省路由)。
2.校园网外用户对校园网的访问策略不完全满足。教育网的用户可以访问校内的服务,其他非教育网的用户都不能访问校内服务。因为这些非教育网的校外用户访问校内服务时只能从教育网进来(服务器采用教育网地址),如果返回时按照基于目的地址路由,则返回路由走的是CHINANET,但各ISP一般都做了源地址抑制,也就是说返回时源地址如果不是CHINANET分配的地址,就将数据包丢弃了,而返回时源地址是教育网的地址,因此返回数据不能到达校外非教育网用户。
(二)如果在网络核心路由器上同时采用基于应用的策略路由和传统的基于目的地址的路由来进行数据包的转发,那么:
1.校园网用户对外的访问策略(采用静态路由和缺省路由来实现)。
2.校园网外用户对校园网的访问策略都能够满足。非教育网的校外用户虽然只能从教育网进来访问校内服务器,但因为采用了策略路由,当返回时,核心路由器会按照策略路由选择从教育网出口返回。
(三)因此,采用基于策略的路由可以解决这种多出口校园网的问题,核心路由器上路由的配置如下:
1.缺省路由指向CHINANET;
2.到教育网的静态路由指向CERNET;
3.基于源地址(提供服务的校内服务器的地址)和源端口号(仅提供服务的校内服务器的服务端口号)的策略路由指向CERNET,但不能扩大源端口号,否则,服务器对外的访问可能都走CERNET出去。
(四)具体配置如下:
1.缺省路由的配置:
Router(config)#ip route 0.0.0.0 0.0.0.0 x.x.x.x
注释:x.x.x.x是核心路由器和ChinaNet出口防火墙相连网络的防火墙接口地址
2.到教育网的静态路由的配置:
Router(config)#ip route x.x.x.x y.y.y.y z.z.z.z
注释:x.x.x.x是网络号,y.y.y.y是该网络对应的掩码,z.z.z.z是核心路由器和教育网出口防火墙相连网络的防火墙接口地址,这里应该有很多条到教育网的静态路由,教育网的地址段可以到www.edu.cn去下载
3.基于源地址和源端口号的策略路由配置:
(1)定义访问列表。Router(config)#access-list 110 permit tcp host x.x.x.x eq y any
注释:x.x.x.x是服务器地址,y是服务器服务的端口号(比如WWW服务为80,SMTP服务为25等),有多少服务就要写多少条这种访问列表
(2)定义路由图。Router(config)#route-map server
注释:server是管理员取的路由图的名字
Router(config-route-map)#match ip address 110
注释:匹配定义的访问列表
Router(config-route-map)#set ip next-hop x.x.x.x
注释:设置下一条的地址,即满足访问列表报文的从哪儿路由出去,这样就不单单看目的地址就进行路由,达到了策略路由的目的,x.x.x.x是核心路由器和教育网出口防火墙相连网络的防火墙接口地址
(3)应用路由图。Router(config)#interface g0/3
Router(config-if)#ip policy route-map server
注释:在接口中应用策略路由
参考文献:
[1]石硕:交换机/路由器及其配置,北京:电子工业出版社,2007.
[2][美]David hucaby:CISCO现场手册:路由配置 北京:人民邮电出版社,2004.
[3]http://www.cisco.com.