資源描述:
《在Linux下配置基于策略的路由》由會員上傳分享�����,免費在線閱讀�,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1���、傳統(tǒng)路山器在網(wǎng)絡(luò)和需求變得復(fù)雜時將無法滿足需要����,而一種基于策略的路山給了我們更好的選擇���。木文給出一個Linux下的配置實例����,它在2.4G奔騰4處理器���、256M內(nèi)存的計算機上運行通過���,并在160多臺屯腦的網(wǎng)絡(luò)環(huán)境下運轉(zhuǎn)正常。基于策略的路由比傳統(tǒng)路由更強大�,使用更靈活,它使網(wǎng)絡(luò)管理者不僅能夠根據(jù)目的地址而且能夠根據(jù)報文大小��、應(yīng)用或IP源地址來選擇轉(zhuǎn)發(fā)路徑��。在現(xiàn)實的網(wǎng)絡(luò)應(yīng)用中����,這種選擇的口由性還是很需要的��。而Linux從2」版本的內(nèi)核開始就實現(xiàn)了對策略路由的支持���,下面就介紹一個配置實例�����,以期對讀者有所幫助�����。實例背景如圖所示�����,兩個內(nèi)部網(wǎng)通過遠(yuǎn)端路由器1與因特網(wǎng)相聯(lián)��,通過遠(yuǎn)端路由器2與上級網(wǎng)相聯(lián)�,L
2、inux服務(wù)器做策略路由器��,內(nèi)冇4塊網(wǎng)卡����。IP地址的分配情況如表所示。在應(yīng)用需求方面��,內(nèi)網(wǎng)1允許通過遠(yuǎn)端路由器1(172.22.254.254)連接因特網(wǎng)�,但只允許H((p協(xié)議、Flp協(xié)議經(jīng)常性通過�,其他協(xié)議分時間段開放(這樣做是為了避免員工在上班時間打網(wǎng)絡(luò)游戲和聊天),例如在上班時間(7:30?16:30)封閉��,在下班時間(16:30?7:30)和周六�、日全天開放。而且�,內(nèi)網(wǎng)1無權(quán)訪問內(nèi)網(wǎng)2及上級網(wǎng),但可以訪問內(nèi)網(wǎng)2上的服務(wù)器�����。而允許內(nèi)網(wǎng)2訪問外網(wǎng),上級網(wǎng)則只能訪問內(nèi)網(wǎng)2上的192.16&1.2服務(wù)器���。而防火墻主要用來阻止外網(wǎng)主動訪問內(nèi)網(wǎng)���,防止網(wǎng)絡(luò)攻擊。實現(xiàn)過程這里我們選擇RedHatE
3����、nteipriseLinuxWS3操作系統(tǒng),其內(nèi)核版本是2.4.21,對策略路由已經(jīng)有了很好的支持���,下面的配越也以此為基礎(chǔ)。1.設(shè)置IP地址首先�,執(zhí)行如下命令:ifconfigethO10.89.9.1netmask255.255.255.0ifconfigethl192.16&1.1nelmask255.255.255.0ifconfigeth2172.22.254.14netmask255.255.255.0ifconfigcth310.140.133.14netmask255.255.255.0為了訃計算機丿壯動時H動設(shè)置IP地址,還需要分別修改/etc/sysconfig/netw
4�、ork-scripts/F的四個文件:ifbf^-ethO、ifefg-eth1>ifcfg-eth2>ifcfg-eth3,將0NBOOT屈性設(shè)為yes,即“ONBOOT=yes”��,文件格式如下:#IntelCorp.82545EMGigabitEthernetController(Copper)DEVICE=eth0BOOTPROTO=noncHWADDR-00:0c:76:20:54:71ONBOOT=yesTYPE=E(hemetUSERCTL=yesPEERDNS=noNETMASK-255.255.255.0IPADDR=10.89.9.1如果你不喜歡命令行模式,也可以在圖形模
5����、式下進行以上操作:主菜單一>系統(tǒng)設(shè)置-網(wǎng)絡(luò),設(shè)好IP地址并激活,并且選中“當(dāng)計算機啟動時激活設(shè)備"選項��。2.打開轉(zhuǎn)發(fā)功能執(zhí)行命令"echo"1">/proc/sys/net/ipv4/ip_fbrward”,或者在/etc/sysconfig/netvork文件屮添加“FORWARDIPV4二yes"��。3.創(chuàng)建路由表編輯/etc/iproute2/rt_tables文件����,執(zhí)行如下命令。在這里新添加了4個路由表��,分別為inll����、inl2、inl3��、int4.#reservedvalues#255local#254main#253default#0unspec#local#1inr.ruhe
6���、p1inti2int23int34int41.添加路由執(zhí)行如下命令:iprouteadddefaultvia10.89.9.1tableintiiprouteadddefaultvia192」68.1.1tableint2iprouteadddefaultvia172.22.254.254tabicint3iprouteadd192.16&0.0/16via10.140.133.254tableint4iprouteadddefaultvia172.22.254.254tableint4這里在int4路由表中添加了兩條路由,當(dāng)進入到該路由表之后�����,要192.168.0.0/16的數(shù)據(jù)包則路由
7�����、到10.140.133.254,其他數(shù)據(jù)包則路由到172.22.254.254.5標(biāo)記(MARK)特殊包執(zhí)行如下兩條命令:iptables-tmangle-APREROUTING-ptep-mmultiportports80,8080,20,21-s10.89.9.0/24-jMARKset-mark1iptables-tmangle-APREROUTING-pudpdport53-s10.89.9.0/24-jMARK
