灵巧网关（Smart Gateway）策略路由例子

2005年9月24日

    为了提高对各个网络的用户对服务器的访问, 特别为服务器提供了CERNET、电信、网通的出口。由于服务器使用的Windows 操作系统无法提供策略路由，因此利用灵巧网关来提供策略路由表。网络的连接示意图如下：

 

    

 

CERNET出口                  电信出口                     网通出口

eth0：202.38.70.133        eth1：218.22.21.18       eth2：218.104.71.172

网关：202.38.70.254       网关：218.22.21.30     网关：218.104.71.161

 

 

 

                     SWITCH(连接三个出口与内网)

                     Eth3：192.168.0.254

 

 

                     内网IP：192.168.0.1

                     网关：192.168.0.254

 

 

 

    上图所示网络，内部地址为 192.168.0.*，三个出口的地址分别如图中所示。202.38.70.133、218.22.21.18、218.104.71.172都地址转换到内部的服务器192.168.0.1。

    对于上面的网络环境，即使专门的路由器也很难处理好策略路由问题。因为单独依据192.168.0.1 发回的应答数据包无法作出正确的路由判断。而灵巧网关可以查看该数据包相关的连接信息，根据原来数据包的目的地址来判断，完美的解决策略路由问题。

    这时，需要如下设置，让所有发送给202.38.70.133 的应答包经过教育网出去，所有发送给218.22.21.18的应答包经过电信网出去，所有发送给218.104.71.172的应答包经过网通出去，这样才能保证网络通讯正常:

 

配置文件startup.rc的内容如下：

#设置机器名字hostname gateway.dianjiao#加载相关模块modprobe ip_conntrackmodprobe ip_conntrack_ftpmodprobe ipt_statemodprobe ipt_conntrackmodprobe iptable_natmodprobe ip_nat_ftpip addr add 202.38.70.133/24 dev eth0ip addr add 218.22.21.18/27 dev eth1ip addr add 218.104.71.172/28 dev eth2ip addr add 192.168.0.254/24 dev eth3ip link set eth0 upip link set eth1 upip link set eth2 upip link set eth3 up#教育网ip route add 0/0 via 202.38.70.254 table 100#电信ip route add 0/0 via 218.22.21.30 table 101#网通ip route add 0/0 via 218.104.71.161 table 102#策略路由ip rule add from 0/0 table main pref 90#根据需要设置IP出口#fwmark 1 CERNET#fwmark 2 CHINANET#fwmark 3 网通ip rule add fwmark 1 table 100 pref 100ip rule add fwmark 2 table 101 pref 100ip rule add fwmark 3 table 102 pref 100ip rule add from 202.38.70.133 table 100 pref 101ip rule add from 218.22.21.18 table 101 pref 101ip rule add from 218.104.71.172 table 102 pref 101#缺省走CERNET出口ip rule add from 0/0 table 100 pref 200

配置文件multirun.rc的内容如下：

#IP包过滤设置iptables -Fiptables -t nat -Fiptables -t mangle -F#fwmark 1 CERNET#fwmark 2 CHINANET#fwmark 3 CNCiptables -t mangle -A PREROUTING -j MARK --set-mark 1 -m conntrack --ctorigdst 202.38.70.133iptables -t mangle -A PREROUTING -j MARK --set-mark 2 -m conntrack --ctorigdst 218.22.21.18iptables -t mangle -A PREROUTING -j MARK --set-mark 3 -m conntrack --ctorigdst 218.104.71.172#地址转换设置#www服务器iptables -t nat -A PREROUTING -j DNAT -d 202.38.70.133 --to 192.168.0.1iptables -t nat -A PREROUTING -j DNAT -d 218.22.21.18 --to 192.168.0.1iptables -t nat -A PREROUTING -j DNAT -d 218.104.71.172 --to 192.168.0.1iptables -t nat -A POSTROUTING -j SNAT -o eth0 --to 202.38.70.133iptables -t nat -A POSTROUTING -j SNAT -o eth1 --to 218.22.21.18iptables -t nat -A POSTROUTING -j SNAT -o eth2 --to 218.104.71.172#防火墙设置iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED