校園網是高校的信息化建設的基礎設施��,是教學科研管理信息化和現代化的重要平臺��。大部分高校校園網從初建至今已有幾年的歷史���。初建時,一般都是租用一條DDN線路連接到中國教育和科研計算機網(CERNET)�。由于中國教育科研網與一般的電信級運營網絡不同,沒有非常充裕的線路���、設備冗余���,有可能發(fā)生單點故障,對于校園網的穩(wěn)定運行有一定的影響��。同時,通過CERNET訪問其他的共眾網如CHINANET�、GBNET等速率緩慢。隨著校園網用戶量增加和基于校園網絡的各種網絡應用的展開���,要求校園網絡出口具有較高的網絡帶寬���,原有單一的CERNET出口已不能滿足,有必要進一步擴大帶寬����,通過當地網絡服務提供商(ISP)開辟第二出口連入INTERNET是較好的解決途徑,許多學校采用了教育網和電信(或聯通�����、鐵通等)第二出口的雙出口方案���,既可以保留教育網資源��,同時可以增加帶寬�����,提高了訪問INTERNET資源的速度����。
各個學校采用了不同的技術實現雙出口�,但是基本上思路是相同的:對于訪問教育網資源和mail流量走教育網出口,對于用戶上網來說����,走第二出口。這樣���,一方面提高了校園網出口的冗余�����,增加了校園網的穩(wěn)定性���,另一方面,也解決了校外訪問校園網速度過慢的問題����,同時,有效減少教育網的國際流量���,降低網絡運行費用����。
第二出口從連接方式上來說,可以采用DDN專線�����、ISDN�����、ADSL等多種技術��,具體可以根據需求選擇���,在本文中不予以討論����。
一���、雙出口的解決方案
我校在原有一條CERNET接入鏈路的基礎上����,通過電信開辟了第二出口����。而增加了校園網絡出口線路����,從理論上說提高了網絡帶寬�,但是如果不調整原有網絡系統的結構���,其效果不能體現��。對該方案���,我們有以下幾方面的要求:
(1) 客戶端IP地址設置不受影響,即不用重新設置地址就可以正常上網;
(2) 客戶端訪問教育科研網的網站時���,出口線路CERNET���,訪問其他站點時,走中國電信線路出口��。
(3) 解決外部公眾網的用戶訪問我校校園網主頁的速度過慢的問題���。
(4) 校園網絡中的郵件走CERNET線路�。
(5) 盡可能的節(jié)約校園網調整、改造的投資�����。
校園網原出口結構和雙出口解決方案結構如圖1所示:
圖1
從圖1中可以看到�,CISCO catalyst 6509交換機是我校校園網的核心交換機,ssr1是教育網的接入設備��,ssr2是電信第二出口的接入設備通過在CISCO catalyst 6509交換機上配置靜態(tài)路由和策略路由���,保證授權的服務器和mail的所有流量都經ssr1到教育網���,其它的所有流量經ssr2到電信出口。同時�,在ssr2上使用了NAT技術,使有限的電信IP地址可以滿足大量校園網并發(fā)訪問的需求�,同時也相應提高了安全系數。
二��、涉及的網絡技術
第二出口方案中涉及技術有如下幾種:
1�����、 代理服務器技術
代理服務器一端接入Internet,另一端接入中心路由器���,通過代理服務軟件實現客戶端上網��。這種方式配置簡單�,設備費用低廉,并且不需要大規(guī)模改變原有的設備連接和配置���。但是相對來說���,由于是通過代理軟件實現共享上網�,訪問速度容易受到影響。
2�����、路由選擇
靜態(tài)路由是在路由器中設置的固定的路由表��。除非網絡管理員干預��,否則靜態(tài)路由不會發(fā)生變化��。由于靜態(tài)路由不能對網絡的改變作出反映���,一般用于網絡規(guī)模不大�、拓撲結構固定的網絡中。靜態(tài)路由的優(yōu)點是簡單����、高效、可靠�。在所有的路由中,靜態(tài)路由優(yōu)先級最高�����。當動態(tài)路由與靜態(tài)路由發(fā)生沖突時���,以靜態(tài)路由為準���。這種方式對于設備的要求較高,配置相對繁瑣��,但是上網的路由選擇與用戶無關���,用戶的上網方式無需進行任何改動����,可操作性較好。同時����,網絡管理人員可以根據兩個出口的帶寬和流量情況,調整路由指向����。
3、策略路由技術
在路由器進行包轉發(fā)決策過程中�,通常是根據所接受的包的目的地址進行的。路由器根據包的目的地址查找路由表�,從而作出相應的最優(yōu)路由轉發(fā)決策。當欲使某些包由其他路徑而不是明確的最短路徑路由時���,就可以啟用策略路由,即按照我們具體需要來決定數據包的路由�������;诓呗月酚捎腥缦聨追N方式�����,即:基于源IP地址的策略路由;基于數據包大小的策略路由;基于應用的策略路由;通過缺省路由平衡負載����。根據實際情況我們需要特定如郵件等服務器接受和發(fā)送包的路徑是通過CERNET�����,所以選擇的是基于源IP地址的策略路由�。這種方式是最佳選擇���,但是設備要求比較高�����。
在使用路由選擇時���,一般采用NAT——地址轉換技術解決內外網地址的轉換問題。NAT就是在內部專用網絡中使用內部地址���,而當內部節(jié)點要與外界網絡發(fā)生聯系時��,就在邊緣路由器或者防火墻處���,將內部地址替換成全局地址合法地址,從而在外部公共網上正常使用。目前NAT功能通常被集成到路由器��、防火墻等設備中�。NAT設備維護一個NAT表,用它來實現全局到本地和本地到全局地址的映射�。NAT設置可以分為靜態(tài)地址轉換、動態(tài)地址轉換和端口地址轉換����。
(1) 靜態(tài)地址轉換
靜態(tài)NAT是這三種中最容易實現的一種,它在NAT表中為每一個需要轉換的內部地址創(chuàng)建了固定的轉換條目���,映射了唯一的全局地址�����。內部地址與全局地址一一對應�����。每當內部節(jié)點與外界通信時,內部地址就會轉化為對應的全局地址�。這種方式主要用于服務器,以確保外部對服務器的正確訪問�。
(2) 動態(tài)地址轉換
增加了網絡管理的復雜性,但也提供了很大的靈活性。它將可用的全局地址地址集定義成NAT池(NATPool)����。對于要與外界進行通信的內部節(jié)點,如果還沒有建立轉換映射��,邊緣路由器或者防火墻將會動態(tài)地從NAT池中選擇全局地址對內部地址進行轉化����。每個轉換條目在連接建立時動態(tài)建立,而在連接終止時會被回收�。這樣,網絡的靈活性大大增強了����,所需要的全局地址進一步地減少。需要注意的是���,在地址池中的可用地址被耗盡后��,后續(xù)的連接請求將會失敗�����,會造成網絡連通性的問題����。所以應該使用超時操作選項來回收NAT池的全局地址。另外����,由于每次的地址轉換是動態(tài)的,所以同一個節(jié)點在不同的連接中的全局地址是不同的����,這會使SNMP的操作復雜化。
(3)端口地址轉換
端口地址轉換首先是一種動態(tài)地址轉換�,但是它可以允許多個內部本地地址共用一個內部合法地址。對只申請到少量IP地址但卻經常同時有多個用戶上外部網絡的情況��,這種轉換極為有用��。
三�、具體配置
下面我們討論一下CISCO catalyst 6509交換機的具體配置。具體配置中由于涉及到網絡安全機密����,校園網的各個接口地址,包括校園網的地址��、服務器的地址和電信的地址均由其他地址代替���。其中:10.0.0.0/24和10.0.1.0/24表示校園網內部的地址����,10.0.2.0/24表示校園網內部服務器的地址��,192.168.0.0/24表示電信的地址�。Ssr2路由器的ip地址為10.0.0.254,ssr1的ip地址為10.0.1.254�����。
1. 設置默認路由指向ssr2路由器:
ip route 0.0.0.0 0.0.0.0 10.0.0.254
2. 對于所有教育網的國內站點(免費流量)設置靜態(tài)路由����,指向ssr1路由器。
ip route 61.28.0.0 255.255.240.0 10.0.1.254
ip route 61.48.0.0 255.248.0.0 10.0.1.254
… …
ip route 219.216.0.0 255.248.0.0 10.0.1.254
ip route 219.232.0.0 255.248.0.0 10.0.1.254
ip route 219.242.0.0 255.254.0.0 10.0.1.254
ip route 219.244.0.0 255.252.0.0 10.0.1.254
3. 為了保證校園網中各院系的服務器流量都走教育網���,需要配置策略路由����。
(1) 配置服務器的訪問控制列表(假設服務器的地址為10.0.2.6�,10.0.2.8,10.0.2.10):
access -list 110 permit ip host 10.0.2.6 any
access -list 110 permit ip host 10.0.2.8 any
access -list 110 permit ip host 10.0.2.10 any
(2) 配置基于所有教育網的國內站點(免費流量)的訪問控制列表:
access -list 112 permit ip host 10.0.2.6 any
access -list 112 permit ip host 10.0.2.8 any
access -list 112 permit ip host 10.0.2.10 any
access -list 112 permit ip any 61.28.0.0 0.0.15.255
access -list 112 permit ip any 61.48.0.0 0.7.255.255
… …
access -list 112 permit ip any 219.216.0.0 0.7.255.255
access -list 112 permit ip any 219.232.0.0 0.7.255.255
access -list 112 permit ip any 219.242.0.0 0.1.255.255
access -list 112 permit ip any 219.244.0.0 0.3.255.255
access –list 112 deny ip any any
(3) 配置策略路由�����,特定的服務器所有流量都經由ssr1到教育網,其它的流量經ssr2到電信出口:
route – map server permit 10
match ip address 110
set ip next –hop 10.0.1.254
route – map todianxin permit 10
match ip address 112
set ip next –hop 10.0.0.254
(4) 完全保證沒有非授權流量從教育網流出����,應當把中國教育科研網的免費地址訪問控制列表(即上文中的 access –list 112訪問控制列表)應用連接到ssr1路由器的端口。
這樣�����,就保證了正常的路由指向����。
4、進行ssr2的NAT配置��。配置ssr2路由器快速以太網接口fastethernet0/0連接6509交換機�����,快速以太網接口fastethernet0/1連接DDN專線�,其中0/0端口為NAT內部接口,0/1端口為NAT的外部接口�。配置如下:
interface fastethernet0/0
ip address 10.0.0.254 255.255.255.252
ip nat inside
interface fastethernet0/1
ip address 192.168.0.254 255.255.255.252
ip nat outside
ip nat pool dianxin 192.168.0.65 192.168.0.90 netmask 255.255.255.224 //設置對外訪問地址
ip route 0.0.0.0 0.0.0.0 192.168.0.253 //配置默認路由
ip route 10.0.0.0 255.255.248.0 10.0.0.253 //配置靜態(tài)路由
access –list 100 permit ip 10.0.0.0 0.0.7.255 any //指定NAT范圍
ip nat inside source list 100 pool dianxin overload
四、結語
通過以上配置�,完成了園網的雙出口方案����。但是在使用過程中����,由于公眾網用戶仍然通過教育網訪問學校主頁�����,存在訪問速度較慢的問題���。為了解決這個問題��,我們做了一個教育網IP地址到電信IP地址的映射�,較好的解決了這個問題����。
校園網的雙出口已為越來越多的學校所采納,解決方案亦是仁者見仁����、智者見智。在確定方案的時候��,應根據所選用的設備和設計要求,合理的進行設計���。
