校園網(wǎng)是高校的信息化建設(shè)的基礎(chǔ)設(shè)施,是教學(xué)科研管理信息化和現(xiàn)代化的重要平臺。大部分高校校園網(wǎng)從初建至今已有幾年的歷史���。初建時,一般都是租用一條DDN線路連接到中國教育和科研計算機(jī)網(wǎng)(CERNET)。由于中國教育科研網(wǎng)與一般的電信級運(yùn)營網(wǎng)絡(luò)不同�,沒有非常充裕的線路���、設(shè)備冗余����,有可能發(fā)生單點(diǎn)故障,對于校園網(wǎng)的穩(wěn)定運(yùn)行有一定的影響����。同時,通過CERNET訪問其他的共眾網(wǎng)如CHINANET�����、GBNET等速率緩慢��。隨著校園網(wǎng)用戶量增加和基于校園網(wǎng)絡(luò)的各種網(wǎng)絡(luò)應(yīng)用的展開���,要求校園網(wǎng)絡(luò)出口具有較高的網(wǎng)絡(luò)帶寬����,原有單一的CERNET出口已不能滿足�����,有必要進(jìn)一步擴(kuò)大帶寬���,通過當(dāng)?shù)鼐W(wǎng)絡(luò)服務(wù)提供商(ISP)開辟第二出口連入INTERNET是較好的解決途徑��,許多學(xué)校采用了教育網(wǎng)和電信(或聯(lián)通���、鐵通等)第二出口的雙出口方案,既可以保留教育網(wǎng)資源�,同時可以增加帶寬,提高了訪問INTERNET資源的速度�����。
各個學(xué)校采用了不同的技術(shù)實現(xiàn)雙出口�����,但是基本上思路是相同的:對于訪問教育網(wǎng)資源和mail流量走教育網(wǎng)出口��,對于用戶上網(wǎng)來說�����,走第二出口�。這樣,一方面提高了校園網(wǎng)出口的冗余��,增加了校園網(wǎng)的穩(wěn)定性��,另一方面,也解決了校外訪問校園網(wǎng)速度過慢的問題�,同時,有效減少教育網(wǎng)的國際流量����,降低網(wǎng)絡(luò)運(yùn)行費(fèi)用。
第二出口從連接方式上來說����,可以采用DDN專線、ISDN�����、ADSL等多種技術(shù)��,具體可以根據(jù)需求選擇����,在本文中不予以討論。
一����、雙出口的解決方案
我校在原有一條CERNET接入鏈路的基礎(chǔ)上,通過電信開辟了第二出口���。而增加了校園網(wǎng)絡(luò)出口線路�,從理論上說提高了網(wǎng)絡(luò)帶寬,但是如果不調(diào)整原有網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)��,其效果不能體現(xiàn)�。對該方案����,我們有以下幾方面的要求:
(1) 客戶端IP地址設(shè)置不受影響,即不用重新設(shè)置地址就可以正常上網(wǎng);
(2) 客戶端訪問教育科研網(wǎng)的網(wǎng)站時����,出口線路CERNET,訪問其他站點(diǎn)時�,走中國電信線路出口。
(3) 解決外部公眾網(wǎng)的用戶訪問我校校園網(wǎng)主頁的速度過慢的問題�����。
(4) 校園網(wǎng)絡(luò)中的郵件走CERNET線路���。
(5) 盡可能的節(jié)約校園網(wǎng)調(diào)整��、改造的投資����。
校園網(wǎng)原出口結(jié)構(gòu)和雙出口解決方案結(jié)構(gòu)如圖1所示:
圖1
從圖1中可以看到,CISCO catalyst 6509交換機(jī)是我校校園網(wǎng)的核心交換機(jī)��,ssr1是教育網(wǎng)的接入設(shè)備�����,ssr2是電信第二出口的接入設(shè)備通過在CISCO catalyst 6509交換機(jī)上配置靜態(tài)路由和策略路由�,保證授權(quán)的服務(wù)器和mail的所有流量都經(jīng)ssr1到教育網(wǎng),其它的所有流量經(jīng)ssr2到電信出口����。同時,在ssr2上使用了NAT技術(shù)����,使有限的電信IP地址可以滿足大量校園網(wǎng)并發(fā)訪問的需求,同時也相應(yīng)提高了安全系數(shù)��。
二�����、涉及的網(wǎng)絡(luò)技術(shù)
第二出口方案中涉及技術(shù)有如下幾種:
1、 代理服務(wù)器技術(shù)
代理服務(wù)器一端接入Internet,另一端接入中心路由器�����,通過代理服務(wù)軟件實現(xiàn)客戶端上網(wǎng)����。這種方式配置簡單,設(shè)備費(fèi)用低廉�,并且不需要大規(guī)模改變原有的設(shè)備連接和配置���。但是相對來說����,由于是通過代理軟件實現(xiàn)共享上網(wǎng)�,訪問速度容易受到影響。
2��、路由選擇
靜態(tài)路由是在路由器中設(shè)置的固定的路由表���。除非網(wǎng)絡(luò)管理員干預(yù)�,否則靜態(tài)路由不會發(fā)生變化�。由于靜態(tài)路由不能對網(wǎng)絡(luò)的改變作出反映,一般用于網(wǎng)絡(luò)規(guī)模不大、拓?fù)浣Y(jié)構(gòu)固定的網(wǎng)絡(luò)中�。靜態(tài)路由的優(yōu)點(diǎn)是簡單、高效��、可靠��。在所有的路由中�����,靜態(tài)路由優(yōu)先級最高�����。當(dāng)動態(tài)路由與靜態(tài)路由發(fā)生沖突時�,以靜態(tài)路由為準(zhǔn)。這種方式對于設(shè)備的要求較高�����,配置相對繁瑣�,但是上網(wǎng)的路由選擇與用戶無關(guān),用戶的上網(wǎng)方式無需進(jìn)行任何改動��,可操作性較好�。同時,網(wǎng)絡(luò)管理人員可以根據(jù)兩個出口的帶寬和流量情況,調(diào)整路由指向�����。
3�����、策略路由技術(shù)
在路由器進(jìn)行包轉(zhuǎn)發(fā)決策過程中��,通常是根據(jù)所接受的包的目的地址進(jìn)行的��。路由器根據(jù)包的目的地址查找路由表�,從而作出相應(yīng)的最優(yōu)路由轉(zhuǎn)發(fā)決策��。當(dāng)欲使某些包由其他路徑而不是明確的最短路徑路由時���,就可以啟用策略路由�,即按照我們具體需要來決定數(shù)據(jù)包的路由������;诓呗月酚捎腥缦聨追N方式,即:基于源IP地址的策略路由;基于數(shù)據(jù)包大小的策略路由;基于應(yīng)用的策略路由;通過缺省路由平衡負(fù)載。根據(jù)實際情況我們需要特定如郵件等服務(wù)器接受和發(fā)送包的路徑是通過CERNET���,所以選擇的是基于源IP地址的策略路由����。這種方式是最佳選擇�����,但是設(shè)備要求比較高���。
在使用路由選擇時����,一般采用NAT——地址轉(zhuǎn)換技術(shù)解決內(nèi)外網(wǎng)地址的轉(zhuǎn)換問題���。NAT就是在內(nèi)部專用網(wǎng)絡(luò)中使用內(nèi)部地址�����,而當(dāng)內(nèi)部節(jié)點(diǎn)要與外界網(wǎng)絡(luò)發(fā)生聯(lián)系時�,就在邊緣路由器或者防火墻處�,將內(nèi)部地址替換成全局地址合法地址����,從而在外部公共網(wǎng)上正常使用�����。目前NAT功能通常被集成到路由器���、防火墻等設(shè)備中�。NAT設(shè)備維護(hù)一個NAT表����,用它來實現(xiàn)全局到本地和本地到全局地址的映射。NAT設(shè)置可以分為靜態(tài)地址轉(zhuǎn)換�����、動態(tài)地址轉(zhuǎn)換和端口地址轉(zhuǎn)換�。
(1) 靜態(tài)地址轉(zhuǎn)換
靜態(tài)NAT是這三種中最容易實現(xiàn)的一種�,它在NAT表中為每一個需要轉(zhuǎn)換的內(nèi)部地址創(chuàng)建了固定的轉(zhuǎn)換條目,映射了唯一的全局地址�����。內(nèi)部地址與全局地址一一對應(yīng)。每當(dāng)內(nèi)部節(jié)點(diǎn)與外界通信時�����,內(nèi)部地址就會轉(zhuǎn)化為對應(yīng)的全局地址�����。這種方式主要用于服務(wù)器���,以確保外部對服務(wù)器的正確訪問����。
(2) 動態(tài)地址轉(zhuǎn)換
增加了網(wǎng)絡(luò)管理的復(fù)雜性��,但也提供了很大的靈活性�����。它將可用的全局地址地址集定義成NAT池(NATPool)����。對于要與外界進(jìn)行通信的內(nèi)部節(jié)點(diǎn),如果還沒有建立轉(zhuǎn)換映射���,邊緣路由器或者防火墻將會動態(tài)地從NAT池中選擇全局地址對內(nèi)部地址進(jìn)行轉(zhuǎn)化��。每個轉(zhuǎn)換條目在連接建立時動態(tài)建立���,而在連接終止時會被回收��。這樣�����,網(wǎng)絡(luò)的靈活性大大增強(qiáng)了����,所需要的全局地址進(jìn)一步地減少�����。需要注意的是���,在地址池中的可用地址被耗盡后��,后續(xù)的連接請求將會失敗,會造成網(wǎng)絡(luò)連通性的問題�����。所以應(yīng)該使用超時操作選項來回收NAT池的全局地址。另外����,由于每次的地址轉(zhuǎn)換是動態(tài)的,所以同一個節(jié)點(diǎn)在不同的連接中的全局地址是不同的��,這會使SNMP的操作復(fù)雜化����。
(3)端口地址轉(zhuǎn)換
端口地址轉(zhuǎn)換首先是一種動態(tài)地址轉(zhuǎn)換,但是它可以允許多個內(nèi)部本地地址共用一個內(nèi)部合法地址����。對只申請到少量IP地址但卻經(jīng)常同時有多個用戶上外部網(wǎng)絡(luò)的情況,這種轉(zhuǎn)換極為有用��。
三����、具體配置
下面我們討論一下CISCO catalyst 6509交換機(jī)的具體配置。具體配置中由于涉及到網(wǎng)絡(luò)安全機(jī)密��,校園網(wǎng)的各個接口地址����,包括校園網(wǎng)的地址����、服務(wù)器的地址和電信的地址均由其他地址代替��。其中:10.0.0.0/24和10.0.1.0/24表示校園網(wǎng)內(nèi)部的地址����,10.0.2.0/24表示校園網(wǎng)內(nèi)部服務(wù)器的地址,192.168.0.0/24表示電信的地址����。Ssr2路由器的ip地址為10.0.0.254,ssr1的ip地址為10.0.1.254��。
1. 設(shè)置默認(rèn)路由指向ssr2路由器:
ip route 0.0.0.0 0.0.0.0 10.0.0.254
2. 對于所有教育網(wǎng)的國內(nèi)站點(diǎn)(免費(fèi)流量)設(shè)置靜態(tài)路由���,指向ssr1路由器��。
ip route 61.28.0.0 255.255.240.0 10.0.1.254
ip route 61.48.0.0 255.248.0.0 10.0.1.254
… …
ip route 219.216.0.0 255.248.0.0 10.0.1.254
ip route 219.232.0.0 255.248.0.0 10.0.1.254
ip route 219.242.0.0 255.254.0.0 10.0.1.254
ip route 219.244.0.0 255.252.0.0 10.0.1.254
3. 為了保證校園網(wǎng)中各院系的服務(wù)器流量都走教育網(wǎng)�����,需要配置策略路由�。
(1) 配置服務(wù)器的訪問控制列表(假設(shè)服務(wù)器的地址為10.0.2.6��,10.0.2.8����,10.0.2.10):
access -list 110 permit ip host 10.0.2.6 any
access -list 110 permit ip host 10.0.2.8 any
access -list 110 permit ip host 10.0.2.10 any
(2) 配置基于所有教育網(wǎng)的國內(nèi)站點(diǎn)(免費(fèi)流量)的訪問控制列表:
access -list 112 permit ip host 10.0.2.6 any
access -list 112 permit ip host 10.0.2.8 any
access -list 112 permit ip host 10.0.2.10 any
access -list 112 permit ip any 61.28.0.0 0.0.15.255
access -list 112 permit ip any 61.48.0.0 0.7.255.255
… …
access -list 112 permit ip any 219.216.0.0 0.7.255.255
access -list 112 permit ip any 219.232.0.0 0.7.255.255
access -list 112 permit ip any 219.242.0.0 0.1.255.255
access -list 112 permit ip any 219.244.0.0 0.3.255.255
access –list 112 deny ip any any
(3) 配置策略路由,特定的服務(wù)器所有流量都經(jīng)由ssr1到教育網(wǎng)�,其它的流量經(jīng)ssr2到電信出口:
route – map server permit 10
match ip address 110
set ip next –hop 10.0.1.254
route – map todianxin permit 10
match ip address 112
set ip next –hop 10.0.0.254
(4) 完全保證沒有非授權(quán)流量從教育網(wǎng)流出,應(yīng)當(dāng)把中國教育科研網(wǎng)的免費(fèi)地址訪問控制列表(即上文中的 access –list 112訪問控制列表)應(yīng)用連接到ssr1路由器的端口����。
這樣,就保證了正常的路由指向�����。
4��、進(jìn)行ssr2的NAT配置�����。配置ssr2路由器快速以太網(wǎng)接口fastethernet0/0連接6509交換機(jī)�,快速以太網(wǎng)接口fastethernet0/1連接DDN專線,其中0/0端口為NAT內(nèi)部接口,0/1端口為NAT的外部接口�����。配置如下:
interface fastethernet0/0
ip address 10.0.0.254 255.255.255.252
ip nat inside
interface fastethernet0/1
ip address 192.168.0.254 255.255.255.252
ip nat outside
ip nat pool dianxin 192.168.0.65 192.168.0.90 netmask 255.255.255.224 //設(shè)置對外訪問地址
ip route 0.0.0.0 0.0.0.0 192.168.0.253 //配置默認(rèn)路由
ip route 10.0.0.0 255.255.248.0 10.0.0.253 //配置靜態(tài)路由
access –list 100 permit ip 10.0.0.0 0.0.7.255 any //指定NAT范圍
ip nat inside source list 100 pool dianxin overload
四�、結(jié)語
通過以上配置,完成了園網(wǎng)的雙出口方案�����。但是在使用過程中����,由于公眾網(wǎng)用戶仍然通過教育網(wǎng)訪問學(xué)校主頁,存在訪問速度較慢的問題��。為了解決這個問題����,我們做了一個教育網(wǎng)IP地址到電信IP地址的映射,較好的解決了這個問題��。
校園網(wǎng)的雙出口已為越來越多的學(xué)校所采納���,解決方案亦是仁者見仁���、智者見智���。在確定方案的時候,應(yīng)根據(jù)所選用的設(shè)備和設(shè)計要求���,合理的進(jìn)行設(shè)計。
