网站首页  词典首页

请输入您要查询的论文:

 

标题 浅析策略路由的实现
范文

    

    

    摘要:策略路由可以根据用户实际需求配置的规则来进行路由转发,对满足设定规则的数据包,执行相对应设置的转发,采用新华三的仿真软件HCL模拟网络环境,针对TCP协议设置了策略路由,在实验环境中分别配置了转发策略和本地策略路由,并进行了相应的测试,验证了配置策略路由后对TCP流量进行分流的效果,对企业网络用户规划策略路由具有一定的参考价值。

    关键词:策略路由;HCL;仿真:TCP

    中图分类号:TP393 文献标识码:A

    文章编号:1009-3044(2020)22-0067-02

    开放科学(资源服务)标识码(OSID):

    1 基本概念

    1.1策略路由的定义

    策略路由( POLICY based-routing PBR):匹配目的IP或源IP来进行的转发的策略路由;转发层面的事件,操作对象是数据包,匹配的是数据流;策略路由比所有路由的优先级都高,包括直连路由;只对本地转发表有效,影响下一跳。

    1.2 报文转发的流程

    没有配置策略路由的数据包转发流程如下:

    路由器收到数据包,根据数据包中的目的IP地址,查找路由表进行转发,

    1)查到匹配的路由条目,按匹配长度最长的路由进行转发。

    2)如果找不到路由条目,如果配置的默认路由,通过默认路由转发。

    3)如果没有默认路由,丢弃报文。

    配置策略路由后数据包的转发流程如下:

    1)策略路的优先级高,先根据设置的策略路由转发。

    2)如果没有匹配的节点,或者存在匹配节点,但是指导数据包进行转发失败的时候,则会根据路由表内除默认路由以外的其他路由来对数据包进行转发。

    3)如果数据包转发失败,则按照PBR设定的默认下一跳地址来指导数据包转发。

    4)如果转发数据包失败,则按照缺省路由转发数据包。

    1.3策略路由和路由策略的主要区别

    路由策略是按照数据包的属性,使用策略影响路由发布、接收或修改路由的参数而改变路由发现的结果,改变的是路由表,基于策略控制路由的引入、接收和发布,基于控制平面,为路由表和路由协议服务,路由策略和路由协议结合完成策略。

    策略路由不改变路由表,优先级高于路由表,转发数据包时,优先根据路由策略进行转发,路由策略没有匹配的规则,才按照路由表进行转发;基于策略控制数据包的转发,可以不按路由表转发,而按照配置的策略转发,转发失败后再查路由表转发,基于转发平面,为转发策略服务,需要手工逐跳进行配置来保证数据包按配置的策略进行转发。

    1.4策略路由的类型

    转发策略路由:对网络设备转发的报文起作用。

    本地策略路由:仅对网络设备自身产生的数据包有作用。

    2 策略路由的实现

    2.1 配置策略

    1)建立策略节点。

    2)设定策略节点所要匹配的规则。

    3)设定策略节点执行的动作。

    策略设定报文要匹配的规则,及匹配指定规则以后要对报文执行阻止或允许的操作。

    由若干或一个带编号的节点组成策略,节点的基本构成如下:

    (1)用节点编号标识每个节点。优先级越高的节点序号越小,将会优先执行优先级相对较高的节点。

    (2)每个节点具体的内容由if-match和apply来设置。if-match指定此节点要匹配的规则,apply子句用来指定此节点执行的动作,一个节点内允许配置多条if-match语句,但只能配置一条相同类型if-match语句,只有最近一次的设置生效。同一个节点内的各种类型if-match语句之间的关系是“与”的关系,即数据包一定匹配该节点全部if-match语句才是满足此节点的匹配规则。一个节点没有设置if-match语句,则任何报文都满足此节点的匹配规则,依据数据包满足全部if-match语句的情况来进行后续的处理。同一个节点可以设定若干条apply语句,但设定的apply语句不一定都执行。

    (3)所有节点对数据包的处理方式由匹配的模式来决定。匹配的模式有deny(阻止)和permit(允许)两种。

    网络设备应用路由策略后,设备会按照策略中指定的匹配规则及对应执行的操作,来对数据包转发:设备将依据优先级从高到低的次序来匹配配置的各节点,若数据包满足这个节点配置的匹配规则,此节点执行所对应的动作;若数据包不满足节点匹配规则,则按照优先级的次序继续进行下一个节点的匹配;若数据包与策略中所有节点的匹配规则都不满足,则按照路由表进行数据包的轉发。

    2.2 应用策略

    1)选择至少一项任务进行配置

    2)对本地产生的报文应用策略

    3)对接口转发的数据包应用策略

    4)在指定接口上应用转发策略

    3 策略路由部署

    3.1 网络拓扑

    企业网络连接互联网有两个出口,分别连接联通和电信,联通的链路是IOOM的带宽,电信的带宽较低,只有10M,如果路由器配置浮动路由,电信的链路只能作为备份链路,造成资源浪费,而采用路由策略可以实现不同的流量走不同的路径,把链路带宽充分利用,本实验采用华三云实验室(H3C CloudLab,简称HCL)来搭建网络拓扑,HCL是一款基于图形化界面全真网络仿真软件,此软件可以完成H3C公司多种型号虚拟网络设备的组成的虚拟网络搭建,测试H3C公司Comware V7系列平台的网络设备的实用工具。HCL的PC不支持Telnet,本实验采用Host连接真实机进行测试,通过配置路由策略实现局域网TCP协议的流量走ISP 1的链路,其他流量走ISP2的链路具体实现

    (1)基本配置

    R1的配置:

    [RI] interfaceGigabitEthernet0/0//进入接口

    [R1-GigabitEthernetO/O]ip address 172.16.1.1 24//配置IP地址

    [R1-GigabitEthernet0/0] interfaceSerial l/0//进入接口

    [R1-Seriall/O]ip address 2.2.2.1 24//配置IP地址

    [R1-Seriall/0] interfaceGigabitEthernetO/1//进人接口

    [R1-GigabitEthernetO/l]ip address l.1.1.1 24//配置IP地址

    [H3C]ip route-static 0.0.0.0 0 1.1.1.2//配置默认路由

    [H3C]ip route-static 0.0.0.0 0 2.2.2.2 preference 100//配置浮动路由

    [Rl]acl basic 2000//设置ACL

    [RI-acl-ipv4-basic-2000]rule permit source 172.16.1.00.0.0.255//定义NAT转换的地址

    [R1-acl-ipv4-basic-2000lquit

    [R1 interfaceGigabitEthernet0/1//进入接口

    [R1-GigabitEthernetO/l]nat outbound 2000//配置EasyIP

    [R1-GigabitEthemet0/1] interfaceSerial l/0//进入接口

    [R1-Seriall/O]nat outbound 2000//配置Easy IP

    ISP1的配置:

    [ISPI] interfaceGigabitEthernet 0/0//进入接口

    [ISPI-GigabitEthernetO/O]ip address l.1.1.2 24//配置IP地址

    [ISPI-GigabitEthernetO/O]quit

    [ISPl]telnet server enable//启用telnet服务

    [ISPl]user-interface vty 0 4

    [ISPI-line-vty0-4lset authentication password simple123456 11配置telnet口令

    [ISPI-line-vty0-4]user-role network-admin//设置用户角色的权限

    ISP2的配置:

    [ISPl] interface GigabitEthernet 0/0

    [ISPI-GigabitEthernetO/Olip address 2.2.2.2 24

    [ISPI-GigabitEthernetO/O]quit

    [ISPl]telnet server enable//启用telnet服务

    [ISPl]user-interface vty 0 4

    [ISPI-line-vty0-4lset authentication

    password simple123456//配置telnet口令

    [ISPI-line-vty0-4]user-role network-admin//设置用户角色的权限

    测试:Host可以telnet到ISPI和ISP2,都可以pmg通两个ISP的接口。

    (2)配置基于TCP协议的策略路由

    [H3C]acl advanced 3000//定义ACL

    [H3 C-acl-ipv4-adv-3000]rule permit tcp//匹配TCP报文

    [H3C-acl-ipv4-adv-3000lquit

    [H3Clpolicy-based-route tcp permit node 10//定义10号节点

    [H3C-pbr-tcp-lO]if-match acl 3000

    [H3C-pbr-tcp-lO]apply next-hop l.1.1.2//指定TCP报文下一跳地址为1.1.1.2

    (3)在接口上应用转发策略路由

    [H3C-pbr-tcp-lO]int g0/0

    [H3C-GigabitEthernetO/O]ip policy-based-route tcp//接口上应用转发路由策略

    测试结果:

    通过Host上测试,Host可以telnet登录到ISPI,telnet登录ISP2失败,Host可以Ping通ISP2的接口,telnet是基于TCP协议的应用,而Ping使用的是ICMP协议,转发路由策略生效。

    路由器上测试,在R1上telnet登录ISP1和ISP2均可以正常登录,说明转发路由策略对路由器本身产生的TCP报文不产生效果。

    (4)应用本地策略路由

    [Rl]ip local policy-based-route tcp //應用本地策略路由

    经测试:路由器上telnet登录ISPI正常,telnet登录ISP2失败,R1可以Ping通ISP2的接口,本地策略路由生效。

    4 结语

    通过HCL仿真测试策略路由,测试了转发策略路由和本地策略路由,策略路由可以根据协议、源IP或目的IP设置指定的下一跳和缺省的下一跳。可以根据企业用户的需求进行相应的设置,但策略路由的缺点是占用设备资源较多,只要配置了策略路由,路由器就要根据设定的规则检查数据包,会一直占用网络设备的资源,建议在真实网络环境中,尽量使用路由策略而减少使用策略路由来实现用户需求。

    参考文献:

    [1]朱麟,刘源.H3C路由与交换实践教程[M].北京:电子工业出版社,2018.

    [2]彭伟.基于策略路由部署的网络多出口设计研究[J].湖南工程学院学报(自然科学版),2019,29(3):48-52.

    [3]龚文涛,郎颖莹.基于路由策略和策略路由的Web应用防护架构设计[Jl.计算技术与自动化,2018,37(2):95-99.

    【通联编辑:代影】

    作者简介:王献宏(1969-),男,河南三门峡人,高级工程师,硕士,主要研究方向为计算机网络、网络安全。
随便看

 

科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。

 

Copyright © 2004-2023 puapp.net All Rights Reserved
更新时间:2025/3/15 13:49:57