公司高级路由的建立调整管理和FAQ
一.策略路由的理论
二.策略路由的配置
三.策略路由在公司在公司中的实际应用
四.策略路由的设置调整方式
五.策略路由的FAQ
1.策略路由介绍
策略性是指对于IP包的路由是以网络管理员根据需要定下的一些策略为主要依据进行路由的。例如我们可以有这样的策略:“所有来直自网A的包,选择X路径;其他选择Y路径”,或者是“所有TOS为A的包选择路径F;其他选者路径K”。
Cisco 的网络操作系统 (Cisco IOS) 从11.0开始就采用新的策略性路由机制。而Linux是在内核2.1开始采用策略性路由机制的。策略性路由机制与传统的路由算法相比主要是引入了多路由表以及规则的概念。
2.多路由表(multiple Routing Tables)
传统的路由算法是仅使用一张路由表的。但是在有些情形底下,我们是需要使用多路由表的。例如一个子网通过一个路由器与外界相连,路由器与外界有两条线路 相连,其中一条的速度比较快,一条的速度比较慢。对于子网内的大多数用户来说对速度并没有特殊的要求,所以可以让他们用比较慢的路由;但是子网内有一些特 殊的用户却是对速度的要求比较苛刻,所以他们需要使用速度比较快的路由。如果使用一张路由表上述要求是无法实现的,而如果根据源地址或其它参数,对不同的 用户使用不同的路由表,这样就可以大大提高路由器的性能。
3.规则(rule)
规则是策略性的关键性的新的概念。我们可以用自然语言这样描述规则,例如我门可以指定这样的规则: 规则一:“所有来自192.16.152.24的IP包,使用路由表10, 本规则的优先级别是1500” 规则二:“所有的包,使用路由表253,本规则的优先级别是32767” 我们可以看到,规则包含3个要素: 什么样的包,将应用本规则(所谓的SELECTOR,可能是filter更能反映其作用); 符合本规则的包将对其采取什么动作(ACTION),例如用那个表; 本规则的优先级别。优先级别越高的规则越先匹配(数值越小优先级别越高)。
二.策略性路由的配置方法
1.iproute工具包
传统的linux下配置路由的工具是route,而实现策略性路由配置的工具是iproute2工具包。这个软件包是由Alexey Kuznetsov开发的,软件包所在的主要网址为ftp://ftp.inr.ac.ru/ip-routing/。 这里简单介绍策略性路由的配置方法,以便能更好理解第二部分的内容。详细的使用方法请参考Alexey Kuznetsov写的 ip-cfref文档。策略性路由的配置主要包括接口地址的配置、路由的配置、规则的配置。
2.接口地址的配置IP Addr
对于接口的配置可以用下面的命令进行: Usage: ip addr [ add | del ] IFADDR dev STRING 例如: router># ip addr add 192.168.0.1/24 broadcast 192.168.0.255 label eth0 dev eth0 .
上面表示,给接口eth0赋予地址192.168.0.1 掩码是255.255.255.0(24代表掩码中1的个数),广播地址是192.168.0.255
3.路由配置IP Route
Linux最多可以支持255张路由表,其中有3张表是内置的: 表255 本地路由表(Local table) 本地接口地址,广播地址,已及NAT地址都放在这个表。该路由表由系统自动维护,管理员不能直接修改。 表254 主路由表(Main table) 如果没有指明路由所属的表,所有的路由都默认都放在这个表里,一般来说,旧的路由工具(如route)所添加的路由都会加到这个表。一般是普通的路由。 表253 默认路由表 (Default table) 一般来说默认的路由都放在这张表,但是如果特别指明放的也可以是所有的网关路由。 表 0 保留 路由配置命令的格式如下: Usage:ip route list SELECTOR ip route { change | del | add | append | replace | monitor } ROUTE
如果想查看路由表的内容,可以通过命令:
ip route list table table_number
对于路由的操作包括change、del、add 、append 、replace 、 monitor这些。例如添加路由可以用:
router># ip route add 0/0 via 192.168.0.4 table main
router># ip route add 192.168.3.0/24 via 192.168.0.3 table 1
第一条命令是向主路由表(main table)即表254添加一条路由,路由的内容是设置192.168.0.4成为网关。
第二条命令代表向路由表1添加一条路由,子网192.168.3.0(子网掩码是255.255.255.0)的网关是192.168.0.3。
在多路由表的路由体系里,所有的路由的操作,例如网路由表添加路由,或者在路由表里寻找特定的路由,需要指明要操作的路由表,所有没有指明路由表,默认是对主路由表(表254)进行操作。而在单表体系里,路由的操作是不用指明路由表的。
4.规则的配置IP Rule
在Linux里,总共可以定义 个优先级的规则,一个优先级别只能有一条规则,即理论上总共可以有 条规则。其中有3个规则是默认的。命令用法如下:
Usage: ip rule [ list | add | del ] SELECTOR ACTION
SELECTOR := [ from PREFIX ] [ to PREFIX ] [ tos TOS ]
[ dev STRING ] [ pref NUMBER ]
ACTION := [ table TABLE_ID ] [ nat ADDRESS ]
[ prohibit | reject | unreachable ]
[ flowid CLASSID ]
TABLE_ID := [ local | main | default | new | NUMBER
首先我们可以看看路由表默认的所有规则:
root@netmonster# ip rule list
0: from all lookup local
32766: from all lookup main
32767: from all lookup default
规则0,它是优先级别最高的规则,规则规定,所有的包,都必须首先使用local表(254)进行路由。本规则不能被更改和删除。
规则32766,规定所有的包,使用表main进行路由。本规则可以被更改和删除。
规则32767,规定所有的包,使用表default进行路由。本规则可以被更改和删除。 在默认情况下进行路由时,首先会根据规则0在本地路由表里寻找路由,如果目的地址是本网络,或是广播地址的话,在这里就可以找到合适的路由;如果路由失 败,就会匹配下一个不空的规则,在这里只有32766规则,在这里将会在主路由表里寻找路由;如果失败,就会匹配32767规则,即寻找默认路由表。如果 失败,路由将失败。重这里可以看出,策略性路由是往前兼容的。
还可以添加规则:
router># ip rule add [from 0/0] table 1 pref 32800
router >#ip rule add from 192.168.3.112/32 [tos 0x10] table 2 pref 1500 prohibit
第一条命令将向规则链增加一条规则,规则匹配的对象是所有的数据包,动作是选用路由表1的路由,这条规则的优先级是32800。
第二条命令将向规则链增加一条规则,规则匹配的对象是IP为192.168.3.112,tos等于0x10的包,使用路由表2,这条规则的优先级是1500,动作是。添加以后,我们可以看看系统规则的变化。 router># ip rule 0: from all lookup local 1500 from 192.168.3.112/32 [tos 0x10] lookup 2 32766: from all lookup main 32767: from all lookup default 32800: from all lookup 1
上面的规则是以源地址为关键字,作为是否匹配的依据的。除了源地址外,还可以用以下的信息: From ---- 源地址
To -- 目的地址(这里是选择规则时使用,查找路由表时也使用)
Tos -- IP包头的TOS(type of sevice)域
Dev -- 物理接口 Fwmark -- 防火墙参数
采取的动作除了指定表,还可以指定下面的动作:
Table 指明所使用的表
Nat 透明网关 Action prohibit 丢弃该包,并发送 COMM.ADM.PROHIITED的ICMP信息
Reject 单纯丢弃该包
Unreachable丢弃该包, 并发送 NET UNREACHABLE的ICMP信息
5.策略性路由的应用
(1).基于源地址选路( Source-Sensitive Routing) 如果一个网络通过两条线路接入互联网,一条是比较快的ADSL,另外一条是比较慢的普通的调制解调器。这样的话,网络管理员既可以提供无差别的路由服务,也可以根据源地址的不同,使一些特定的地址使用较快的线路,而普通用户则使用较慢的线路,即基于源址的选路。
(2).根据服务级别选路(Quality of Service) 网络管理员可以根据IP报头的服务级别域,对于不同的服务要求可以分别对待对于传送速率、吞吐量以及可靠性的有不同要求的数据报根据网络的状况进行不同的路由。
(3).节省费用的应用 网络管理员可以根据通信的状况,让一些比较大的阵发性通信使用一些带宽比较高但是比较贵的路径一段短的时间,然后让基本的通信继续使用原来比较便宜的基 本线路。例如,管理员知道,某一台主机与一个特定的地址通信通常是伴随着大量的阵发性通信的,那么网络管理员可以安排一些策略,使得这些主机使用特别的路 由,这些路由是按需拨号,带宽比较高的线路,通信完成以后就停止使用,而普通的通信则不受影响。这样既提高网络的性能,又能节省费用。
(4).负载平衡(Load Sharing) 根据网络交通的特征,网络管理员可以在不同的路径之间分配负荷实现负载平衡。
1.cn2上建立路由表
进入/etc/iproute2/rt_tables,编辑要建立表的名称。如公司cn2网络建立的表如下:
2.cn2上建立多接口
具体更多接口的建立方法,我在新VPS上ip隧道的搭建方法中说过了哈,这里建立了tun102 tun106 tun107 tun104隧道接口
3.建立路由
linux下高级路由就是建立在多表多接口的基础上的,所以下面的步骤就是根据具体业务要求,建立正确的路由
(1).获取google .cnet. test facebook_apple,vpn的ip地址
(2).建立iproute.sh脚本
#!/bin/sh
VIA=$2
DEV=$3
ROUTE_TABLE=$4
DEST=`cat $5`
for ip in $DEST; do
ip ro $1 $ip via $VIA dev $DEV table $ROUTE_TABLE
done
exit 0
脚本用法如下,如:
office user访问用户举例
iproute.sh add 1xx.151.212.241 eth1 cnnet cnnet.txt
让访问国内网站的用户走cnnet路由表规定的路由通过eth1接口出去
iproute.sh add 172.16.106.2 tun106 google google.txt
让访问google的用户走路由表google走tun106接口出去访问
openvpn user访问用户举例
iproute.sh add 182.151.212.241 eth1 vpn cnnet.txt
让拨vpn进来的用户访问通过路由表vpn 然后走eth1接口出去
iproute.sh add 172.16.103.2 tun103 vpn route_to_SG.txt
让拨vpn进来的用户通过访问路由表vpn,然后通过tun103接口出去
4.IP Rule的制定
通过ip rule规则制定路由访问的优先顺序
具体事例如下:
为google指定的有限顺序为5
ip ru add lookup google pref 5
5.规定源ip走指定的路由表
具体事例:openvpn用户所分配的ip都是172.16.0.0/24这个网段的,如果想让这个网段的ip走路由表vpn,按照路由表规定的方式出去,具体设置方法如下:
iproute.sh add 182.151.212.241 eth1 vpn tun.txt
iproute.sh add 172.16.103.2 tun103 vpn facebook_apple.ip
然后增加命令
ip rule add from 172.16.0.0/24 lookup vpn pref 8
附加:这gw1和gw2中的运用
gw1的ip地址是10.0.2.231,想让这个地址走test表出去
ip ro add default via 182.151.212.241 dev eth1 table test
ip ru add from 10.0.2.231lookup test pref 4
5.默认路由调整方式
ip ro r via 172.16.107.2 metric 100
1.发现google现在新增了ip,直接在google.txt里面添加新的ip段即可
2.改变优先级,直接用replace替换掉原来的优先级别
3.实际工作应用环境的调整,可以依照上面说的具体实例进行相应的修改
五.FAQ
1.当某个隧道不通的时候的调整方式:
Q:如用户访问不了google网站,原来隧道是107,现在103隧道能够通,修改方式如下:
A:iproute.sh replace 172.16.103.2 tun103 vpn google.txt
2.默认路由不通
Q:一些没有规定特别路由表的网站如amazon.com不能够访问,这个就需要修改默认路由的隧道了哟
A:如ip ro r via 172.16.107.2重新运行一遍
注意:当修改完运行过后,别忘记在network.sh中添加相应的修改。