基于VLAN的策略路由的應(yīng)用

3 在Linux系統(tǒng)中策略路由的實(shí)現(xiàn)
在Linux系統(tǒng)上實(shí)現(xiàn)策略路由也是基于上述原理。通過(guò)RPDB實(shí)現(xiàn)， RPDB主要由多路由表和規(guī)則組成，由規(guī)則選取表。路由表以及對(duì)其的操作和其對(duì)外的接口是整個(gè)RPDB的核心部分。路由表主要由table，zone， node這些主要的數(shù)據(jù)結(jié)構(gòu)構(gòu)成。對(duì)路由表的操作主要包含物理的操作以及語(yǔ)義的操作。
3．1 策略路由
策略路由就是不僅根據(jù)數(shù)據(jù)報(bào)的目的地址，而且還根據(jù)數(shù)據(jù)報(bào)的其他一些特性，如：源地址、IP協(xié)議、傳輸層端口，甚至是數(shù)據(jù)包的負(fù)載部分內(nèi)容進(jìn)行路由選擇。而傳統(tǒng)路由算法都是根據(jù)IP包目的地址進(jìn)行路由選擇。
3．2 應(yīng)用Linux策略路由的一般步驟
在Linux上應(yīng)用策略路由，首先根據(jù)實(shí)際應(yīng)用分析確定路由策略，然后一般采取以下步驟：
(1)創(chuàng)建多路由表通過(guò)編輯／etc／iproute2／rt jables文件創(chuàng)建路由表：

(2)向路由表添加路由 向路由表中增加路由使用iproute命令，例如：向user_table1路由表中增加路由：
ip route add 202．201．100．0／24 via 192．168．100．1 tableuser_table 1
(3)建立相應(yīng)的規(guī)則使用ip rule命令設(shè)置規(guī)則，例如：ip rule add from 192．168．100．0／24 table tlSer table1／／來(lái)自192．168．100．0／24的IP包使用路由表user_table1(基于源地址選取路由表)ip rule add to 202．11 1．100．0／24 table user table1 ／／去往202．111．100．0／24的IP包使用路由表user_table1(基于目標(biāo)地址選取路由表)

4 解決方案
建設(shè)一個(gè)工廠局域網(wǎng)，局域網(wǎng)中只有2層交換機(jī)．通過(guò)一臺(tái)具有NAT功能的路由器接人當(dāng)?shù)豂SP，此局域網(wǎng)中有3種用戶類(lèi)型上網(wǎng)：機(jī)房用戶，辦公室用戶，財(cái)務(wù)部門(mén)用戶?，F(xiàn)準(zhǔn)備架設(shè)一臺(tái)Linux服務(wù)器，劃分3個(gè)VLAN，分別為：VLAN10(用于開(kāi)放機(jī)房)網(wǎng)段為192．168．1．0／24，VLAN 11(用于辦公室)網(wǎng)段為192．168．2．0／24，VLAN 12(用于財(cái)務(wù)部門(mén))網(wǎng)段為192．168．3．0／24。規(guī)定機(jī)房用戶不允許訪問(wèn)財(cái)務(wù)部門(mén)和辦公室計(jì)算機(jī)，財(cái)務(wù)部門(mén)用戶不允許訪問(wèn)Internet，而辦公室用戶允許訪問(wèn)Internet和財(cái)務(wù)部門(mén)的計(jì)算機(jī)。該實(shí)例中Linux系統(tǒng)所使用內(nèi)核為2．4．20。網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。要求Linux內(nèi)核支持802．1Q VLAN，并支持策略路由。

(1)創(chuàng)建各個(gè)VLAN
vconfig add eth0 10
vconfig add eth0 11
vconfig add eth0 12
這樣，在系統(tǒng)中就創(chuàng)建了3個(gè)基于802．IQ VLAN，由于在eth0接口配置3個(gè)VLAN系統(tǒng)會(huì)自動(dòng)加載802．1Q模塊。另外，在本例中需把與eth0相連的交換機(jī)端口設(shè)置為T(mén)runk模式。