动态源地址路由在校园网管理中应用.docVIP

动态源地址路由在校园网管理中应用 　　摘 要:本文作者结合工作实践,介绍了Router OS提供的动态策略路由在配置校园网中的应用,并特别介绍了几种基于动态源地址路由的常见疑难问题解决方案。 　　关键词:Router OS;校园网配置;策略路由;源地址路由 　　中图分类号:TP393.07文献标识码:B文章编号:1673-8454(2010)13-0009-02 　　 　　一、典型的双网环境 　　目前高校的校园网络通常接入中国教育和科研计算机网(CERNET),但是基于网络速度、互联互通、城域网共享等因素,部分高校校园网络还接入了本地的电信运营商网络。 　　这种双网环境带来了路由问题,经过路由器的数据包要发送到哪一个出口?这就需要用到策略路由。策略路由是一种基于路由表来决定如何对需要路由的数据包进行处理的机制,路由表决定了一个数据包的下一跳转发路由器。 　　1.目的地址路由 　　一种策略路由是根据路由的目的地址来进行的,称为目的地址路由,目的地址路由已经被广泛支持,所以通常双网环境的路由方案是根据CERNET的范围,按照目标地址设定路由表: 　　/ ip route 　　add dst-address=/24 gateway= scope=255 target-scope=10 　　comment= disabled=no 　　add dst-address=/0 gateway= scope=255 target-scope=10 　　comment= disabled=no 　　该配置设定:如果目标是/24,数据包转发给CERNET路由器,否则一律转发给电信网路由器。 　　2.源地址路由 　　另一种策略路由是根据数据包源地址来进行策略实施的,称为源地址路由。而支持源地址路由的软硬件较少,只有部分昂贵的专业路由器才提供该项支持。而Router OS作为一种廉价路由器,基于强大的Linux内核,给用户提供了一种实现源地址路由的方式,这大大方便了复杂环境下校园网的管理工作。 　　大多数高级路由器提供的源地址路由工作还只能按照源地址做简单匹配判断。然而Router OS提供了IPtables的mangle(标记)机制,可以在路由分配前根据数据包的各种性质加以标记,然后在路由分配时,根据路由表中对各种标记设置的下一跳路由进行转发,这种方法极为强大和灵活。 　　二、校园网常见疑难问题的解决方案 　　1.按源地址分配出口 　　校园网管理中的一个常见需求就是按照地址来源分配出口。例如本文网络拓扑中/24为教师工作室,/24为学生宿舍,要求教师工作室缺省路由改为使用电信出口。 　　/ ip firewall mangle 　　add chain=prerouting src-address=/24 action=mark-routing 　　new-routing-mark=teacherStudio passthrough=yes comment= disabled=no 　　在路由分配前给来自/24的数据包加上标记teacherStudio 　　/ ip route 　　add dst-address=/0 prefsrc= gateway= 　　check-gateway=ping distance=0 scope=255 target-scope=10 　　routing-mark=teacherStudio comment= disabled=no 　　在路由分配时根据路由标记查询路由表,把标记为teacherStudio的数据包送往电信路由器。 　　2.在图书馆资源访问控制中的应用 　　 高校购买的学术数据库资源一般是按照用户IP授权的,这就要求管理员设定路由表,保证访问数据库资源的数据包通过CERNET路由器。为了解决这个问题,笔者查询了各数据库资源的IP地址并编入了静态路由表。但是随着数据库资源的增多、数据库资源本身IP的变化等,导致静态路由表的方法难以管理、经常失效,已不能满足要求。经调查发现访问数据库资源前,用户都要访问图书馆首页,笔者根据这种用户行为模式设计了一种动态策略: 　　/ ip firewall mangle 　　add chain=prerouting dst-address=/24 action=add-src-to-address-list 　　address-list=lib address-list-timeout=1h comment= disabled=no 　　把所有访问图书馆网段/24的IP地址加入address list(地址表)lib中 　　/ ip firewall mangle 　　add chain=pre