策略路由在双出口网络中的应用

　　原网络拓扑图：

　　原网络描述：

　　该网是一个校园VPN网络中的一个节点，由一台H3C的MSR20-40 E0/1接口与电信连接，VPN由电信配置，对于本地用户是透明的，通过一条缺省路由0.0.0.0 0.0.0.0 218.17.210.18进行连接。G4/0接口与本地局域网连接，所有接口均启用了OSPF协议。本地局域网使用192.168.1.0/24、192.168.2.0/24、192.168.3.0/24、三个C类地址作为终端地址，视频会议用户和服务器使用11.5.32.0/24网段地址访问VPN。192.168.1.0/24、192.168.2.0/24、192.168.3.0/24网段访问VPN和互联网时需NAT转换成11.5.32.0/24网段中的地址。本地用户访问Web server(11.5.32.3)需要通过电信DNS server 进行地址解析，并通过VPN访问公网。

　　客户面临的新问题和解决方法

　　其一、由于整个VPN网络到公网的出口只有10M，而随着用户的增长，10M的带宽已经不能满足其应用。

　　其二、公网用户的不断增加，占用了大量VPN的带宽，影响了视频会议等实时性要求比较高的业务。

　　客户选定了增加一条ADSL来进行业务分流及提高用户访问互联网速度。

　　客户要求：

　　1、 本地用户(IP在192.168.0.0/16网段)访问互联网时必须从ADSL线路上行。

　　2、本地用户访问所有VPN中的资源必须从VPN上行，也就是说要实现本地访问。

　　新网络拓扑图：

　　解决方法：

　　第一，用户访问互联网可以通过缺省路由: 0.0.0.0 0.0.0.0 10.10.10.1 来实现，同时将原来缺省路由:0.0.0.0 0.0.0.0 218.17.210.18 的优先值降低，以达到线路备份的目的。第二，路由器MSR20-40所有接口均已启用OSPF协议，VPN全网联通，用户可实现本地访问。第三，由于电信方面的设置，从VPN上行的对VPN内Web server 的DNS请求将解析为私有地址，而从ADSL上行则解析为公网地址，要实现用户对Web server 在VPN内访问，需使用策略路由将所有DNS请求从VPN上行到电信DNS server 进行解析。

　　相关配置：

　　#

　　acl number 3000 #定义所有需要域名解析和源地址为11.0.0.0/8 网段的数据流

　　rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 202.96.134.133 0

　　rule 5 permit ip source 11.0.0.0 0.255.255.255

　　rule 20 deny ip

　　#

　　policy-based-route policy permit node 5

　　if-match acl 3000

　　apply ip-address next-hop 218.17.210.18

　　制定策略路由，将所有符合ACL3000的数据包的转发至218.17.210.18

　　#

　　interface GigabitEthernet4/0

　　port link-mode route

　　combo enable fiber

　　ip address 192.168.1.254 255.255.255.0

　　ip address 11.5.32.1 255.255.248.0 sub

　　ip policy-based-route policy # 在VPN出口应用策略路由

　　#

　　ip route-static 0.0.0.0 0.0.0.0 218.17.210.18 preference 100 (路由表)

　　ip route-static 0.0.0.0 0.0.0.0 10.10.10.1

2016年01月