策略路由在学校、小区等多网络出口环境中的应用

    如果一个单位有两个及以上的网络出口,就需要使用策略路由功能,这样能够将网络流量合理分摊到各个出口中。以往要实现策略路由功能,必须使用功能较强的路由器或Linux系统,Windows系统下基本上没有办法做策略路由。本系统基于Windows提供了功能强大的策略路由功能,不仅仅能够基于源IP地址,同时也能够基于源端口及目的端口。选择菜单“网络”->“策略路由设置”,如下图:

    本系统最多能够支持255个网络出口,并且可以在一块网卡的情况下进行路由转发。下面以几个具体的应用介绍一下策略路由的使用。
    一、学校多网络出口应用
    比如一所高校原先接入了CERNET,由于用户量的增大,光靠CERNET出口已经不能满足用户需要,所以又增加一条了电信出口。这时就会面临两个出口如何同时使用的问题。同时,还要能够保证互联网中用户访问校内WEB服务器。
    两条网络出口下的拓扑结构图:

    整个网络通过具有三层交换功能的核心交换机连接,两个出口分别由两个路由器连接(也可以用双网卡计算机代替硬件路由器)。因为学校接入CERNET,所以学校每台机器都有公网IP地址。因此,在CERNET出口路由器上不需要做NAT,只需要路由转发即可。而ChinaNET只给了学校极少量的IP地址,所以必须在该出口上做NAT,实现校内其他机器通过ChinaNET出口访问互联网。现在需要解决以下几个问题:
    1.当校内用户访问CERNET资源时自动走CERNET出口,而访问ChinaNET资源时自动走ChinaNET出口。
    2.互联网中的任何用户都可以直接访问校内任何机器的WWW服务。或许有人会觉得这一条多此一举,想当然的以为互联网中所有机器都可以直接访问校内。如果是单CERNET出口确实是这样,但是在多出口的情况下就会发生非常有意思的变化。当互联网中一台机器访问校内某台WEB服务器时,如果该用户在CERNET中,一切正常。而如果这个用户在ChinaNET中将不能访问校内WEB服务器,这是为什么呢?
    由于学校的IP地址为CERNET所分配,所以,当然ChinaNET用户访问校内WEB服务器时就会被路由到CERNET出口上,而进入校内。当WEB服务向这个用户IP地址返回数据时,由于策略路由,就会被转发到了ChinaNET出口,而经过ChinaNET出口时又被NAT进行了转换,所以当数据到达用户机器时就被系统认为不是自己所需要的数据,而遭丢弃。
    3.校内部分服务器的所有服务对互联网用户开放。
    解决办法如下(这里假设CERNET出口的内网IP地址为210.29.1.1,ChinaNET出口的内网IP地址为210.29.1.2):
    首先在一台服务器上安装《亿特网络认证计费系统》,并将核心交换机的默认网关指向安装本系统的机器IP地址。在本系统中添加如下策略路由:
    1.首先可以让互联网中所有用户访问校内WEB服务器。

    当所有内网机器的源端口为80时,将转发到210.29.1.1网关上,也就是转发到CERNET出口上。这样就能够保证互联网中所有机器可以访问校内任何机器的WEB服务器了。
    2.当校内用户访问CERNET资源时自动走CERNET出口,而访问ChinaNET资源时自动走ChinaNET出口。
    首先要获取主要CERNET资源的IP地址分配表,然后配置策略路由。比如:202.205.0.0/255.255.0.0为CERNET资源,只需要添加一条策略路由,目的IP地址202.205.0.0,目的IP地址子网掩码:255.255.0.0,网关IP地址为210.29.1.1即可。同理录入整个地址表。
    最后添加一条目的地址为0.0.0.0,子网掩码为0.0.0.0,网关IP地址为210.29.1.2,这样表示其他所有网络走ChinaNET出口。
    3.如果要开放部分机器的所有端口,只需要指定源IP地址及源子网掩码,并且网关要指向210.29.1.1即可。

    二、小区等多网络出口应用
    小区等多网络出口的应用与校园网络有着很大的差别,因为这样的环境下内网机器不提供对外服务,并且所有的网络出口都经过NAT转换。目前BT等P2P的应用对网络带宽造成了极大的负担,使得正常的网络带宽均被这些服务所占用。针对这样的情况,可以采取保证重要服务的方式。解决的方式是:
    小区使用两条出口,一条为主要网络出口带宽较高比如100Mbps,再使用一条辅助出口,比如2Mbps。然后通过策略路由将主要网络服务通过100M带宽出口,其他服务都通过2Mbps出口。所以,首先要定义一些主要服务,根据端口来区分服务。一般重要的服务有:
    21:FTP 25:SMTP(发邮件) 53:DNS 80:HTTP 110:POP3 443:HTTPS 554:RTSP(Real Player) 1755:MMS(MediaPlayer)
    将源IP及源子网掩码设置成0.0.0.0,目的地址也设为0.0.0.0,目的端口分别设置为上述端口,网关设置为100Mbps的IP地址。这样主要服务都通过主要网络出口,带宽得到了保证。
    最后再添加一条默认路由,其余所有网络服务均走2Mbps的出口。

    可以随时调整每一条路由策略的上下位置。前一条的优先级要比后一条高。

    说明:当IP地址为0.0.0.0时,子网掩码一定要是0.0.0.0,这表示所有地址。当要表示一台机器时,子网掩码一定要是255.255.255.255。在录入子网掩码是可以按字母“a,b,c,d,e”,会自动变成0.0.0.0,255.0.0.0--255.255.255.255。