Cisco交换机做策略路由

以节约成本、合理利用现有设备为原则,笔者制定了一个解决方案:利用MikroTikRouterOS,改造了几台办公淘汰下来的普通PC做成软路由,分担原来防火墙的流量来共同承担网络的出口任务,在三层交换机上做策略路由实现数据的不同流向,从而达到分流的目的。关于软路由(ROS)的安装配置等问题本文不做阐述,本文主要针对策略路由的实现及做策略路由时碰到的问题及优化进行详细阐述。策略路由中所谓策略的制定依赖于访问控制列表(ACL),因此策略路由中策略的制定是方便而又灵活的,可以满足不同方面的需求。这样,在vlan201接口下符合access-list100的数据就被转发到以10.10.3.2为内网接口的软路由上了,从而实现了分流。
关键词:策略路由,分流,ACL,软路由

  0 .引言
  校园网是高校信息化建设的基础设施,也是教学管理信息化现代化的必要平台。随着笔者所在学院的发展、网络应用的不断增加,原来的网络日益无法满足需求。后虽升级了网络核心三层交换机,但购买于早期的出口防火墙,因性能有限,越来越成为校园网络的瓶颈。
  升级网络出口设备当然是解决这一瓶颈比较好的方法,但一款高性能的路由器或防火墙往往价格不菲,而且还可能存在单点失效问题,不能完全解决问题。为此,以节约成本、合理利用现有设备为原则,笔者制定了一个解决方案:利用MikroTik RouterOS,改造了几台办公淘汰下来的普通PC做成软路由,分担原来防火墙的流量来共同承担网络的出口任务,在三层交换机上做策略路由实现数据的不同流向,从而达到分流的目的。关于软路由(ROS)的安装配置等问题本文不做阐述,本文主要针对策略路由的实现及做策略路由时碰到的问题及优化进行详细阐述。
  1.策略路由简介
  策略路由是一种比利用目标网络进行路由更加灵活的数据包路由转发机制,策略路由的优先级别高于普通路由。应用了策略路由以后,路由器将根据用户指定的策略决定如何对需要路由的数据包进行处理。一个接口应用策略路由后,将对该接口接收到的所有数据包进行检查,不符合策略路由的数据包将按照传统的路由转发进行处理,符合某个用户策略的数据包就会按照用户策略指定的下一跳地址或路由器接口进行转发。策略路由中所谓策略的制定依赖于访问控制列表(ACL),因此策略路由中策略的制定是方便而又灵活的,可以满足不同方面的需求。常用的策略路由有三种,分别是:基于IP地址的策略路由、基于数据包大小的策略路由和基于应用的策略路由。论文检测。
  2.策略路由实现分流
  笔者的案例是在思科WS-C3750G-24TS核心交换机上做策略路由,实现关键的办公应用流量仍由原来防火墙承担,而机房及电子阅览室等流量由PC改造的软路由承担,从而实现分流目的。只是需要注意的是对于该款交换机,其IOS如果是ipbase的则不支持策略路由,需要升级,而且需要在配置模式下输入命令sdm prefer routing 及reload重启后才能配置策略路由,但有些命令在该交换机上仍不支持。以下是基于IP地址的策略路由配置步骤及说明:
  C3750G(config)# access-list 100 permit ip 10.100.0.0 0.0.255.255 any
  *用访问控制列表先抓取路由,在此为机房网段 (以“*”开头的此段为笔者注释,下同)
  C3750G (config)#route-map toros permit 10
  *起个名字,如toros,这里的10是策略路由序号
  C3750G (config-route-map)#match ip address 100
  *匹配一个访问列表,这里的100是访问列表号
  C3750G (config-route-map)#set ip next-hop 10.10.3.2
  *设置一个策略,定义下一跳10.10.3.2,该地址为软路由内网接口地址
  C3750G (config-route-map)#exit
  C3750G (config)#int vlan 201
  *进入接口配置,这里是vlan 201接口,为一个机房vlan
  C3750G (config-if)#ip policy route-map toros
  *接口下调用
  C3750G (config-if)#exit
  这样,在vlan 201接口下符合access-list 100的数据就被转发到以10.10.3.2为内网接口的软路由上了,从而实现了分流。
  3. 策略路由配置改进
   经过上述配置后,已基本实现了分流的目的。但在做机房外网控制时,笔者却发现一个问题:当笔者在ROS软路由上关闭一机房的外网访问权限时,该机房访问内网资源突然变得异常缓慢。我们的目的是让机房访问内网资源时只需在核心交换机上交换即可,访问外网才用策略路由通过软路由。
  为何会出现这种情况?经分析原来是机房vlan的数据都先被转发到了软路由上,如目的地是内网资源,再被回指到核心交换机上,这样数据就被多绕了一道弯,而当关闭软路由上一策略时,似乎迟迟绕不出该道弯了,如何解决?只要把目的地是内网资源的数据拦截在核心交换机上做交换即可,可用ACL实现。论文检测。具体就是改进前文中的access-list 100,改进后的ACL如下:
  access-list100 deny ip 10.100.0.0 0.0.255.255 10.10.0.0 0.0.255.255
  access-list100 deny ip 10.100.0.0 0.0.255.255 10.100.0.0 0.0.255.255
  *上面几行即可实现当机房vlan访问内部资源时仍在核心交换机上交换,而无需经策略路由转发到软路由上,如还有其他内网网段,均需增加相应ACL。论文检测。
  *下面两行为原来的ACL
  access-list100 permit ip 10.100.0.0 0.0.255.255 any
   经过上述ACL的改进后,机房vlan及电子阅览室vlan访问内网及外网都非常顺畅了。
  4.结束语
   利用策略路由实现分流及实现过程中碰到问题的不断解决,笔者认为该方法具有一定的经济性与实用性,应用一年来,达到了良好的效果,同时也方便了机房外网的独立管理与控制。

参考文献
[1]史振华,殷焕炯.策略路由技术在校园网中应用[J].电脑知识与技术,2009,5(35):9929-9931.
[2]Catalyst 3750 Switch Software Configuration Guide[EB/OL].http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_46_se/configuration/guide/scg.html
[3]CISCO策略路由(PBR)配置实例[EB/OL].http://hi.baidu.com/my3377/blog/item/ca7a5cf055c3ddc67831aa55.html, 2008-05-23.
[4]三种常用的策略路由[EB/OL].http://hi.baidu.com/qq38540985/blog/item/22c6b40809d1a8c43ac76396.html, 2010-03-01.
[5]http://www.lslnet.com/linux/dosc1/48/linux-329876.htm.

你可能感兴趣的:(职场,Cisco,休闲,策略路由)