高校校园网源地址策略路由及应用
发布:admin | 发布时间: 2010年5月2日策略路由(Policy-Based routing)是路由器的一项扩展功能。它不仅能以目的地址为依据来进行路由选择,还能根据源IP地址、目的IP址、协议字段,甚至于TCP、UDP的源、目的端口等多种组合进行选路。简单地说,只要IP 标准或扩展的访问控制列表(standard/extended ACL)能设置的,都可以作为策略路由的匹配规则进行转发。
一、目的策略和源地址策略:
基于目的地址的策略路由一般用于网络的出口,针对访问不同的目的地设置不同的路由,特别适合有多个网络出口的网络。这种策略一般应用于出口路由器或防火墙上。
基于源地址的策略路由,主要针对数据包的来源设置不同策略规则,这样可以根据用户IP地址的不同设置不同的策略路由,如对不同的IP设置不同的路由出口(当然在出口设备上可以做不同的应用),源地址策略路由适合于对不同级别的用户设置不同的路由策略,其可以应用于出口设备上也可应用于网络内部核心或汇聚设备上。
二、源地址策略目的和作用
下面主要说明基于源地址的策略路由在网络核心设备上应用。
下图是个典型的三层网络结构,其中核心层和汇聚层设备上起动态路由协议。网络有一个出口网关A,出口网关A与核心设备之间使用静态路由,核心设备上有个静态路由其目的地为Any,下一跳指向出口设备。核心网络设备下连三个汇聚设备,汇聚设备和核心设备之间起动态路由协议(如OSPF),核心设备将静态路由和直连路由发布到动态路由协议上(如OSPF),这样汇聚设备下面所有的计算机访问外网直接走到路由器接口上。如果汇聚设备C上的IP在访问外网的时候需要设置不同于其他设备上的控制策略或出口,同时又不影响汇聚设备C上的IP正常的访问内网。则必须在核心设备上添加另一个出口网关B,作为汇聚设备C连接外网的网关,运行适合区域C的外网控制或计费策略。
为达到上面的目的需要在核心设备上配置基于源地址的策略路由。
三、源地址策略路由设计思路
汇聚设备C上的数据包在访问核心设备或其他汇聚设备上的用户的时候访问路径和路由不变,访问外网时走另一条路由。
设计一个访问地址的策略,当汇聚设备C上数据包到达核心设备时,核心设备查看其目的地址,如果其访问内网地址则不按照策略走。如果访问外网则指向规定的下一跳,当然该网关上必须有个回路由指向核心交换。
核心设备上基于源地址的策略路由设计思路如下:
1,定义一个源地址为汇聚设备C的,访问地址为网内IP的扩展访问列表;
2,定义一个访问外网的控制列表;
3,定义一个路由策略;
4,在路由策略内对于符合网内访问的通信(上面定义的访问列表),不执行下面的路由策略,即按原先的路由表选路;
5,在该策略里定义访问任何网站下一跳指向相应的网关地址;
6,将定义的策略应用到相应的接口,即核心设备与汇聚设备的接口。
四、具体配置应用
1,在凯创交换机ER16上的配置
先定义访问内部列表
acl 300 permit ip 192.168.0.0/20 10.16.0.0/20
acl 300 permit ip 192.168.0.0/20 172.16.0.0/20
再定义访问外网的列表
acl 310 permit ip 192.168.0.0/20 any
在策略里面不允许上面的访问列表应用策略
ip-policy pbr_c deny acl 300 sequence 1
在策略里指定访问外网的下一跳地址
ip-policy pbr_c permit acl 310 next-hop-list 192.168.100.3 action policy-first sequence 2
将该路由策略应用到接口上
ip-policy pbr_c apply interface to-fcnic
2,锐捷8610e上的配置
首先定义扩展访问列表
ip access-list extended 300
10 deny ip 192.168.0.0 0.0.15.255 10.16.0.0 0.0.15.255
20 deny ip 192.168.0.0 0.0.15.255 172.16.0.0 0.0.15.255
30 permit ip 192.168.0.0 0.0.15.255 0.0.0.3 any
Exit
然后定义route-map,并匹配访问控制列表及指定下一跳地址
route-map pbr_c permit 10
match ip address 300
set ip next-hop 192.168.100.3
exit
最后将策略应用到核心设备下联的接口或VLAN接口上
interface GigabitEthernet 1/3
ip policy route-map pbr_c
exit
五、结语
通过这个方法可以有效地进行数据源地址分流,同时在不同的网关上可以采用不同的控制方式或计费策略。考虑到各个厂家设备的不同,设置基于源地址的策略路由配置方法步骤可能不一样,但原理、思路是相同的,即在启用指向外网的路由之前,先不允许访问内网的数据走该策略路由。实际作用是网内的其他路由,包括动态路由优先于访问外网的策略路由。
文章如转载,请注明转载自:http://www.5iadmin.com/post/575.html
- 相关文章:
校园网上网帐号被盗事件的分析与防范 (2010-1-13 14:52:25)
发表评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
