双出口校园网中策略路由的应用.docVIP

双出口校园网中策略路由的应用 李鸿章 内容提要：利用策略路由解决了在双出口的校园网络中web服务器无法正常访问的问题。 关键词：校园网、双出口、策略路由、源地址路由 引言：大部分的学校在建立校园网时都通过租用一条专门线路将校园局域网接入中国教育科研网，但教育科研网存在以下缺点：设备陈旧、带宽不足；利用教育科研网访问公众网CHINANET、GBNET等速度缓慢；国际流量需要收取高额的费用。由于目前绝大多数的网络资源都存在于公众网，随着校园网用户的增加和网络应用的进一步发展，原有单一的CERNET出口已无法满足需求，有必要通过当地网络服务提供商（ISP）开辟第二出口连入INTERNET。笔者所在的滨海中等专业学校在建立校园网时便租用了一条2M长途光纤接入教育科研网，随着网络需求的增加一年以后又利用100M的线路接入本地电信网。但在同时接入本地电信出口和教育科研网出口两条线路以后，发现无论是通过输入域名还是直接输入IP地址都无法访问校园网的Web服务器。而在增加电信网络接入线路以前，使用单一的教育科研网出口线路时，校园网WEB服务器一直可以正常访问。 1、无法访问校园网WEB服务器问题分析： 在同时接入两条上网线路以后，做了如下设置： 1因为电信服务商无法提供IP地址，而教育科研网则提供了16个c类地址，因此校园网内部所有计算机、服务器和网络设备均设置为教育科研网提供的IP地址。 2、在电信网的接口上作NAT地址转换； 3、设置静态路由，凡目的网络地址属于教育科研网免费流量地址的均设置静态路由走教育网线路，其它的则设置默认路由走电信线路。 4、为web 服务器绑定属于教育科研网的域名：。 校园网双出口线路如下图： 其中路由器的接口E0 接本地校园网，IP地址设为：222.xxx.xxx.3；路由器接口E1接本地电信网，IP地址设置为：58.xxx.xxx.66；路由器的接口E2 接教育科研网，IP地址设为：210.xxx.xxx.126。电信提供的以太网接口地址为58.xxx.xxx.65；教育科研网提供的以太网接口地址为210.xxx.xxx8.125。WEB服务器IP地址设置为：222.xxx.xxx.4；DNS服务器IP地址设置为：222.xxx.xxx.1。 静态路由配置如下： ip route-static 58.xxx.xxx.65 preference 60 ip route-static 210.xxx.xxx.125 preference 60 ip route-static 210.xxx.xxx.125 preference 60 ip route-static 210.xxx.xxx.125 preference 60 ip route-static 6 55 210.xxx.xxx.125 preference 60 ip route-static 210.xxx.xxx.125 preference 60 ...... 路由表很长，以下略。 这样的基本设置是没有错误的，但为什么利用DNS域名和IP地址均无法访问web 服务器呢？通过分析我们发现，因为web服务器和DNS服务器设置的是都是教育网的IP地址，外网用户必须通过教育网线路才能访问本校服务器，而路由器的静态路由配置中除了部分教育网免费网址的路由是指向教育网的出口的以外，其它的路由都是通过默认路由从本地电信网出去，这样就导致访问学校web服务器和dns服务器的访问流量从教育网接口进入但是服务器回应的数据包却按照默认路由从公网的出口送出，回送的数据报文无法正确到达访问服务器的网络用户，从而造成无论利用服务器IP地址或是域名都无法访问Web服务器的现象。 经过以上的分析，我们发现只要能够将WEB服务器和DNS服务器的回送报文通过教育网接口返回，而不是通过默认路由走电信网出口就可以解决问题。要达到这样的目的就需要利用策略路由。 2、利用策略路由解决问题： 策略路由是一种比利用目标网络进行路由更加灵活的数据包路由转发机制，策略路由的优先级别高于普通路由。应用了策略路由以后路由器将根据用户指定的策略决定如何对需要路由的数据包进行处理。一个接口应用策略路由后，将对该接口接收到的所有数据包进行检查，不符合路由策略的数据包将按照通常的路由转发进行处理，符合某个用户策略的数据包就会按照用户策略指定的下一跳地址或路由器接口进行转发。 策略路由中所谓策略的制定依赖于访问控制列表ACL，因此策略路由中策略的制定是方便而又灵活的，可以满足不同方面的需求。制定策略路由时根据源地址来进行策略实施的称为源地址路由；也可以根据协议类型（例如将UDP和TCP两种不同协议的报文送入不同的线路）、应用（例如某些视频应用要求实时传送，可以将rstp流单独使用一条