H3C交换机策略路由技术及其应用

H3C交换机策略路由技术及其应用

1 概述

Internet的高速发展，为用户提供了更多的接入方式的选择，例如现在的高校一般都可以用教育网和电信网两种方式接入internet。为了能够让不同的用户通过不同的方式访问internet资源，用户对三层交换机的路由功能提出了更高的要求。H3C公司的策略路由技术是一种通过识别不同的网络数据包从而按照预先设定好的策略进行转发的技术，它可以对网络数据包按不同的关键字段进行识别分类，以决定其转发策略。策略路由技术可以有效的控制网络用户数据包的流向和行为。

策略路由位于IP层，在做IP转发前，如果报文命中某个策略路由对应的规则，则要进行相应的策略路由的动作，动作包括重定向到指定下一跳，以及remark 标记（如TOS、IP优先级或DSCP），然后根据重定向的下一跳代替报文的目的IP 去查FIB表，做IP转发。

图1 策略路由在系统中的位置

2 术语

NEXTHOP

重定向下一跳：策略路由处理过程中，代替报文的目的ip来查找路由表以得到真正下一跳的一个ip地址。

ACL（Access Control List）

访问控制列表：包含一系列的规则。这些规则可以用来匹配报文以决定对报文做相应的策略路由动作。

FIB (Forwarding Information Base)

转发信息表：FIB是三层转发的核心数据，用于指导IP报文的转发。

PBR (Policy Based Routing)

策略路由：根据事先预定义的策略对报文进行路由转发。

TOS (Type of Service)

服务类型：在IP报文头中的标志，用来进行流量控制。

NP (Network Processor)

网络处理器：一种用于数据报文处理的可编程、高性能网络专用处理器。

3 策略路由功能特性

PBR使用关键字对数据包进行分类从而采用不同策略对数据包进行转发，所使用的关键字为数据包本身或相关的一些特征项：

源IP地址

目的IP地址

源端口号

目的端口号

IP协议类型

PBR能够根据这些关键字进行数据包分类，不同的类别使用不同的策略路由。策略路由是基于数据包的关键特征字的，可以按关键特征字进行任意组合，使策略路由的控制更为灵活。

3.1 入接口绑定策略路由

入接口是指内网侧的接口，通过在内网侧的VLAN接口上绑定策略路由配置可以把内网中进入该VLAN接口的所有报文按照一定的规则分类，并按照不同的策略进行路由转发。一个内网接口一般都对应了一个子网。一般对一个子网的路由转发策略是相同的，所以这种方式可以简化ACL规则的复杂度。通常情况下，由于芯片的限制，入接口上配置规则的数量是受限制的。

3.2 出接口绑定策略路由

出接口是指公网一侧的接口，一般连接到更大的局域网或者internet。通过

在公网侧的VLAN接口上绑定策略路由配置可以把内网中从该接口出去的所有报文按照一定的规则分类，并按照不同的策略进行路由转发。出接口策略路由配置通常不受芯片的限制，规则数量可以达到3000条。

3.3 重定向到下一跳以及Remark标记

重定向的下一跳可以是直连的设备也可以是网络中的路由可达的非直连设备。重定向的下一跳可以同时配置多个，系统按照优先级在不同的下一跳之间切换，先配置的下一跳具有较高的优先级。当高优先级的下一跳可达时，一定是重定向到高优先级的下一跳。Remark可以改变报文的TOS、IP优先级字段或DSCP 字段。

3.4 同时作策略路由和NAT

当策略路由下一跳的出口绑定了NAT时，转发的报文在重定向以后同时会

进行NAT转换，即报文源IP转换成地址池IP，然后再进行三层转发。

4 典型组网

例如，对于校园网来说，一般都有两个网络出口，如教育网出口和电信网出

口。校内用户访问教育网时走教育网出口，访问公网时走电信网出口。通过对目的IP进行分类，出口交换机的策略路由功能能够区分不同的流转发到不同的出口，从而实现这种选路要求。

图2 策略路由在校园出口典型应用