应用策略路由优化监测台网络结构

马进

(国家广播电影电视总局监管中心有线监测处 北京 100866)

摘 要 本文针对监测台内单路由器结构无法将来自不同网段的数据转发至不同接口地址的问题，应用策略路由并结合实际网络结构和实验结果，提出具体的解决方案。关键词 策略路由 监测网 网段

0 引言

合理高效利用监测监管网络资源是统一监管平台的基本要求。广播监测网(简称监测网1)与有线电视监测网络(简称监测网2)是监管平台网络的重要组成部分，两张监测网络独立运行，监测台均成为各自网内的重要节点，即在监测台至中央平台的监管平台骨干线路中有两条链路可通达。按照规划，监测网1的业务通过监测网1的链路回传，监测网2的业务通过监测网2的链路回传, 一些重要的业务如OA办公业务能够通过两张监测网链路同时开展，互为备份。但在实际应用中，有些监测台的出口路由器只有一台，分属监测网1、2网段的业务通过默认路由选择其中的一条链路。这就形成了两张监测网的业务同时选用一条监测链路回传的实际情况，既浪费了资源又形成单点故障隐患。如果能够在一台路由器上实现对来自不同源地址的数据包经其转发的目的地址也不同，那将消除上述不合理现象。笔者在现有网络条件下搭建实验环境，测试不同源地址网段设备发送的数据包能够通过策略路由匹配规则分别转发到指定接口地址，最终证实所提出相关方案可在实际环境中应用，并提出相关解决方案。

1 监测台单路由器结构弊端分析

1.1监测台单路由器结构弊端目前，一些监测台采用一台路由器与监管平台网络（即监测网1与监测网2）相连接，这样既造成单点故障隐患又浪费网络资源。当这条与监管平台网络相连通的唯一通路出现硬件故障，只有等待故障修复才能恢复全部业务，故障影响可想而知。为了能够将台内分属监测网1和监测网2网段的数据包转发至下一跳网络设备直至中央平台，现采用一条默认路由将所有数据包送至唯一指定设备。在监测网1链路状况正常时选用监测网1，当监测网1中断时，将该下一跳设备地址修改为监测网2内网络设备，这样监测网1、2的业务全部通过唯一链路回传，在一定程度上实现了链路互为备份。但当两条链路均正常时，总有一条闲置，造成浪费。如图1所示，监测台内分属监测网1和监测网2网段的工作站通过监测台核心交换机实现三层互通，并通过默认路由将数据包传送至监测台外部接入路由器，而在外部接入路由器选择向外借助哪张监测网络链路回传至中央平台时只有依靠在外部接入路由器上配置的默认路由选择其中之一。

图1 监测台单路由器结构示意图

1.2 解决方案比对与测试在单路由器结构遇到明显技术障碍时，会采用增加一台路由器的方式，如图4所示，将台内去往两张监测网的不同网段设备连接到不同路由器上转发出台。这种方式能够解决监测台内分属不同网段设备转发数据包仅选用一条通路的问题。但增加一台路由器和一台用于连接该网段设备的接入交换机，硬件成本高。笔者认为可以在监测台现有条件下，通过策略路由的配置和对应端口调用，实现上述需求。为能够在实际环境中正常运行，笔者搭建测试环境对策略路由的应用效果进行测试。测试环境如图2所示：在测试环境里配置中央平台工作站、监测网1工作站、监测网2工作站分属不同网段。在四台交换机上配置静态路由，使得中央平台工作站仅能够通过监测网1交换机沿线路1到达监测台交换机，最终访问监测网1工作站，中央平台工作站按照图中所示的线路2访问监测网2工作站，且均未配置回程静态路由。接下来在监测台交换机上配置策略：acl number 1rule 5 permit source 10.2.2.0 0.255.255.255acl number 2rule 5 permit source 10.3.3.0 0.255.255.255traffic classifier 1if-match acl 1traffic behavior gaungboremark ip-nexthop 端口3地址traffic classifier 2if-match acl 2traffic behavior anboremark ip-nexthop 端口4地址并在端口1调用：traffic-policy 1 inbound端口2调用：traffic-policy 2 inbound在端口调用完成后，监测网1工作站仅能通过线路1与中央平台互访，监测网2工作站仅能通过线路2与中央平台互访。即监测网1的业务通过线路1的链路回传，监测网2的业务通过线路2的链路回传，台内监测网1、2网段设备又能够各自通过两条链路同时访问中央平台工作站，开展OA等关键业务，互为备份。可以通过Tracert命令实现对数据传递线路的跟踪，查询每一级端口地址，追溯数据收发线路。

图2 测试实验环境示意图

在测试过程中也发现了一些问题：由于在监测网1交换机与监测网2交换机之间没有路由指向，因此分属监测网1、2的工作站之间是无法相互通信的，这和预想的结果吻合，因为策略路由的优先级是高于直连路由的。另外测试环境与实际工作环境存在差异，在监管平台网络中，监测网1与监测网2之间是有路由可以连通的，如图2所示的监测网1工作站与监测网2工作站之间由于策略路由的限制无法在监测台交换机上相互通信，它们的数据交换需要经过中央平台网络来完成，这段路程在实际监管平台网络中有可能是数千公里的光缆网络，其间经过数十台传输、数通设备的转发，这将降低工作效率。

2 关键技术与实验结果分析

2.1策略路由应用要素应用策略路由，必须要指定策略路由使用的路由图，并且要创建路由图。一个路由图由很多条路由策略组成，每一个策略都定义了一个或多个匹配规则和对应操作。一个接口应用策略路由后，将对该接口接收到的所有数据包进行检查，不符合路由图中任何策略的数据包将按照通常的路由转发进行处理，符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。策略路由可以使数据包按照用户指定的策略进行转发，例如，本文应用策略可以指定从某个网络发出的数据包只能转发到某个特定的接口。2.2 实验结果分析从实验结果可以看出，利用策略设置和对应的端口调用可以将指定源地址段的数据包转发至指定IP地址的网络设备接口。通过一台出口路由器实现监测网1的业务通过监测网1的链路回传，监测网2的业务通过监测网2的链路回传。路由策略的建立是为了有效管控数据传输，而不应成为数据传输壁垒。由于策略路由优先级别高于其他路由，应用策略路由优化监测台网络结构会对台内原有业务产生影响。监测台内同时有分属监测网1和监测网2网段的设备（服务器、工作站等），它们之间的通信也是台内的业务需求。如果只考虑到它们访问中央平台的需求，而忽视它们之间的互联互通需求，它们将只能匹配路由策略通过中央平台这条唯一通路相连通，而近在咫尺的设备之间数据的传递将跨越几千公里的广电网络，经过数十个传输设备才能到达对方的硬盘中。对台内网络配置稍加修改即可实现监测台内分属不同监测业务网段设备之间进行数据通信时选用最短通路。如图3所示，将监测台内分属不同网段的工作站网关统一设置在监测台核心交换机上，这样无论工作站属于监测网1还是监测网2网段，它们通过监测台核心交换机即可实现三层互联。在监测台外部接入路由器上与监测台核心交换机相连接的接口调用策略，转发不同源地址的数据包至不同目的地址。综上可以得出，在进行策略路由配置时应注意以下几点。首先应考虑周全，将所有台内需要转发到指定接口地址的网段都要考虑在内。包括连接在监测台内核心交换机上的一些前端站点，只有包含前端站点网段，才能够在中央平台正常收测到前端回传的信号数据。其次策略路由优先级高于包括直连路由在内的其他路由，在同一台设备上既配置有策略路由和其他形式路由时将优先匹配策略规则。最后在配置策略时不同源地址的数据包转发至不同目的地址，不符合条件的数据包通过deny策略过滤掉。在所有过滤规则后再配置一个rule permit或rule deny规则，对于与任何过滤规则都不匹配的报文，系统统一对其采取的默认行为。

３解决方案

由上述实验得出，通过配置基于接口的ACL规则结合端口调用，实现对指定接口接收到的报文进行过滤，并根据数据报文不同源地址按照匹配规则转发至不同接口。对于监测台现有结构无需进行大规模改造，而是在配置上加以改进就能够满足需求。各监测台的网络结构略有不同，针对不同的原有结构提出几种优化方案。3.1 单路由器直连核心交换机结构监测台仅有一台外部接入路由器是当前亟待优化的网络结构，通过基于接口的策略配置使得台内原本连接在核心交换机上不同网段的监测网1和监测网2设备在经过外部接入路由器的转发后，分别去往指定的不同监测网网络设备接口。3.1.1 应用策略规则后的工作状态如果监测台内分属监测网1和监测网2网段的网关全部在监测台核心交换机上进行宣告，它们之间的通信在核心交换机上就可以直接完成。如果有一部分网段是在监测台外部接入路由器上进行宣告，应统一将网关修改设置到核心交换机上，再通过默认路由从核心交换机指向监测台外部接入路由器。所有连接在接入交换机上的工作站发出的数据包都会通过默认路由转发至监测台外部接入路由器。在外部接入路由器上对接核心交换机的端口中应用策略配置，将来自不同源地址的数据包转发至指定接口地址，分别送往监测网1和监测网2的网络路由中。3.1.2 链路中断时的切换如图3所示，当监测网1链路中断时，从中央平台经监测网2链路登录外部接入路由器，撤销端口的策略调用，并将监测网1中业务路由写到监测网2的相关路由器上，这样台内属于监测网1的工作站即可借道监测网2的路由与中央平台正常交互并开展该网段内业务。通过实际环境测试，在监测网1链路中断时，使用监测网2网段工作站可以完成监测网1的全部业务。链路切换只是使监测网1网段工作站能够正常工作。

图3 监测台单路由器结构策略路由使用示意图

3.2单路由器下接三层交换机结构单路由器下接三层交换机结构也是当前监测台较多使用的网络结构。首先将分属监测网1和监测网2网段的网关全部在三层监测业务交换机上进行宣告，并将所属工作站全部直连到该交换机下。这样分属监测网1和监测网2网段的工作站之间就可以通过三层监测业务交换机实现互通。在外部接入路由器上配置基于接口的策略规则，使得台内属于监测网1和监测网2网段的设备在通过外部接入路由器的转发后，去往指定的网络设备接口。如图3所示：

图4单路由器下接三层交换机结构示意图

这种结构首先应保证三层监测业务交换机上有足够的端口连接全部监测网1、2的工作站；其次要在三层监测业务交换机上配置去往核心交换机的默认路由；最后要在外部接入路由器上配置一条rule permit或rule deny规则，保证核心交换机上其他网段设备可以通过匹配这条规则来访问中央平台。3.3 双路由器结构前面提出两种无需增加硬件设备的解决方案，也是本文论述的重点。但一部分监测台本身具备双路由器条件，且单路由器结构无法解决单点故障隐患，这使得本文一定要介绍较稳妥、成本高的双路由器解决方案。当外部接入路由器采用双路由器结构时，可将监测网1网段设置在监测网1外部接入路由器上，将监测网2网段设置在监测网2外部接入路由器上，并在各自路由器上通过接入交换机连接各自网段工作站。当工作站有出台请求时通过各自的外部接入路由器转接至各自监测网络链路中。当监测网1链路中断时通过监测网2路由登录核心交换机，再从其直连端口登录故障的外部接入路由器，修改其默认路由，将其指向核心交换机接口地址，这样台内属于监测网1的工作站即可借道监测网2的路由到达中央平台，如图5所示绿色线路。这样配置，可以保证台内分属不同监测网网段的设备，在其中一条链路发生故障时，两网段设备仍可正常访问中央平台。

图5 监测台双路由器结构解决方案示意图

４总结与展望

本文所论述基于接口的策略路由应用解决了监测台单路由器结构条件下针对多网段设备无法转发至不同接口地址的问题。在正确使用策略路由后，监测台能够实现双链路备份的机制，但仍存在单点故障隐患，不可忽视。策略路由的应用不仅限于此，熟练应用还能解决更多实际问题。 参考文献［1］ W.Richard Stevens .TCP/IP详解-卷1协议. [M].范建华，北京：机械工业出版社，2000［2］ James F.Kurose Keith.Ross计算机网络. [M].陈鸣，北京：机械工业出版社，2014:52-331 编辑：中国新闻技术工作者联合会