【IT168 专稿】笔者在上篇文章“网络高级交警:路由策略解析”为各位IT168的读者介绍了路由策略的概念,用途和基本格式,让大家都明白路由策略是网络数据控制的高级策略,类似于我们现实中的高级交警,当然任何应用和技术都要对实践起作用才能持续发展,在本篇“网络高级交警——路由策略应用案例”中将为各位介绍在企业网络运行过程中通过路由策略解决实际问题的案例。
相关链接:网络高级交警:路由策略解析
网络高级交警:路由策略应用
环境介绍:
笔者所在企业负责区级教育网的维护与运行工作,由于下属分支机构比较多,而这些分支机构都是连接到区核心设备上,总共几百个下属网络上千台计算机和网络设备对外网进行访问,而核心设备连接的带宽总出口仅仅是15M,这在负载比较大的情况下根本无法满足实际需求,所有网络终端设备都会出现网络访问速度缓慢的问题。但是一味的增加网络带宽出口也不太现实,一方面扩大带宽的费用比较大,另一方面由于网络中的应用是多种多样的,特别是诸如电驴,BT等P2P软件的泛滥,使得总出口增加多少就被消耗多少,所以盲目增加网络出口不能解决问题的根源。
由于教育网用户使用最多的就是访问页面,浏览资源库信息。所以笔者和其他几位网络管理员将解决问题的重点放到提高页面WWW访问和浏览上。众所周知在我们日常浏览网页过程中,有很多信息是重复下载的,例如大家都访问www.it168.com,那么每个人都会通过网络出口重复获得www.it168.com页面的信息,这种资源重复下载造成网络带宽紧张。经过我们商议决定为区级教育网核心网络添加一台缓存服务器,这样通过页面缓存功能将大量重复访问从外网流量变成内网流量,从而提高了整体网络速度。而且缓存服务器还可以按照设置的时间自动下载和访问页面请求频繁的网站信息,使得整个网络在中午时段大家都上网的时候依然可以顺畅传输数据。(如图1)
图1 点击放大 |
网络拓扑:(如图2)
图2 |
理论上讲我们应该将缓存服务器放置在核心设备Cisco 6509与网络出口连接光纤猫之间,但是出于其他服务正常运行的考虑我们只希望将WWW页面浏览的80端口信息通过缓存服务器,而其他流量其他服务,基于其他端口的WWW页面访问依然和从前一样通过原有出口传输。
这样实际连接就是核心设备Cisco 6509其中的一个端口连接缓存服务器,原来的出口接口依然连接光纤猫,而缓存服务器的另一端连接回Cisco 6509设备,实现一个简单的回路。当网络有基于80端口的WWW访问时发送到Cisco 6509后再传输到缓存服务器上将信息反馈给客户端;而缓存服务器会定期通过其外网端口连接外部网络获取WWW页面信息保存在自己的缓存池中。如果网络中的流量是非WWW服务的,或者不是基于80端口的,那么这些流量由客户端发送到Cisco 6509设备后将直接发送到外网光猫传输出去。
路由策略巧设置:
从上面的网络拓扑和实际环境需求我们可以看出需要对路由进行控制,而CISCO 6509这个核心设备就当仁不让的充当此控制角色,一方面要对数据包进行分析,对基于80端口的WWW访问数据给出到达缓存服务器的路由,而对于其他数据给出到达光猫另一端的路由。这种对不同数据分配不同路由的策略就是我们所说的策略路由。下面就请各位跟随我一起在CISCO 6509上为这次网络规划升级环境设置对应的策略路由。
设置连接:
缓存服务器实际上就是一台普通的服务器,甚至CPU等方面基本上和P2级别一样,仅仅是硬盘大了点,并且使用RAID5进行提速和冗余。我们将他的一端连接到公司核心设备Cisco 6509上,记住好连接端口,应该采用一个千兆端口。
进入Cisco 6509的管理界面,设置路由策略。(如图3)
图3 点击放大 |
首先设置从缓存服务器到核心设备6509上的路由策略
route-map src80 permit 10
//建立一个策略路由,名字为src80,序号为10,规则为容许。
match ip address 151
//设置match满足条件,意思是只有满足ip address符合访问控制列表151中规定的才进行后面的set操作,否则直接跳过。
set ip next-hop 10.91.31.254
//满足上面条件的话就将这些数据的下一跳路由信息修改为10.91.31.254,即缓存服务器地址
再设置从分支网络到核心网络的路由策略
route-map des80 permit 10
//再建立一个策略路由,名字为des80,序号为10,规则为容许。
match ip address 150
//设置match满足条件,意义是只有满足ip address符合访问控制列表150中规定的才进行后面的set操作,否则直接跳过。
set ip next-hop 10.91.31.254
//满足上面条件的话就将这些数据的下一跳路由信息修改为10.91.31.254,即缓存服务器地址。
设置路由策略调用的访问控制列表信息:(如图4)
图4 点击放大 |
由于我们缓存访问页面设置是针对外部网络的,那么企业内部的WWW站点信息是不能缓存的,所以我们需要将这些内部WWW服务器的地址过滤掉,对他们的访问不通过缓存服务器。按照要求对访问控制列表150和151进行设置,具体指令如下。(我们内网服务器都在10.80.0.0这个网段,所以主要过滤此网段)
access-list 150 deny tcp any 10.80.0.0 0.7.255.255 eq www
access-list 150 permit tcp 10.80.0.0 0.7.255.255 any eq www
access-list 151 deny tcp 10.80.0.0 0.7.255.255 eq www any
access-list 151 permit tcp any eq www 10.80.0.0 0.7.255.255
接下来在所有端口上应用此策略:让所有端口连接的子公司都可以通过缓存服务器提高访问速度
指令如下:
int FastEthernet3/2
//进入千兆快速以太网接口
ip policy route-map src80
//应用路由策略src80,此策略为缓存服务器到核心设备6509上的路由策略。
exit
int vlan 101
//进入VLAN 101
ip policy route-map des80
//应用路由策略des80,此策略为分支网络到核心网络的路由策略,以下应用和此一样都是针对某VLAN接口的路由策略。
exit
int vlan 102
ip policy route-map des80
exit
int vlan 103
ip policy route-map des80
exit
int vlan 104
ip policy route-map des80
exit
int vlan 105
ip policy route-map des80
exit
在我们实际设置过程中有多少个VLAN和多少个接口就需要在多少个端口和VLAN上应用路由策略route-map。
控制路由策略:
有的时候我们频繁的使用缓存信息也会造成信息的不同步,这时就需要我们将已经设置好的路由策略取消,将网络还原为没有安装缓存服务器时的状态。如果我们需要取消该缓存服务器的话,只需要在Cisco 6509上执行以下命令将每个端口的路由策略取消即可。
int FastEthernet3/2
//进入该千兆以太网接口。
no ip policy route-map src80
//取消src80路由策略的应用。
exit
int vlan 101
//进入vlan 101
no ip policy route-map des80
//取消des80路由策略的应用,以下各个VLAN接口命令和此类似。
exit
int vlan 102
no ip policy route-map des80
exit
int vlan 103
no ip policy route-map des80
exit
int vlan 104
no ip policy route-map des80
exit
int vlan 105
no ip policy route-map des80
exit
int vlan 106
no ip policy route-map des80
exit
完成设置后保存退出路由器,我们的缓存服务器就停止工作了。
总结:
通过网络拓扑的连接和搭建以及对核心设备路由策略的设置,我们实现了对不同信息的数据采取不同路由的功能,有效的提高了网络带宽,将重复的流量交给了缓存服务器处理,让各个客户端计算机的网络访问速度大幅度提高。