校園網(wǎng)雙出口網(wǎng)絡設計與實現(xiàn)

1、校園網(wǎng)雙出口網(wǎng)絡設計與實現(xiàn)第3期第74頁浙江紡織服裝職業(yè)技術學院學報72010年9月doi：10.3969/j.issn.1674-2346.2010.03.017校園網(wǎng)雙出口網(wǎng)絡設計與實現(xiàn)陳丹兒摘要：針對當前高校雙出口互聯(lián)方式存在的瓶頸問題，提出一種解決方案：利用策略路由、網(wǎng)絡地址轉(zhuǎn)換和策略DNS技術來解決雙出口網(wǎng)絡的問題。關鍵詞：高校雙出口互聯(lián)方式；策略路由；網(wǎng)絡地址轉(zhuǎn)換；策略DNS中圖分類號：TP393.02文獻標識碼：C文章編號：1674-2346(2010)03-0074-040引言各高校建設的大量優(yōu)質(zhì)數(shù)字教育資源基本上都是基于CERNET的，雖然CERNET中的用戶一般都能暢通免費

2、地訪問這些資源，但訪問CERNET免費地址以外的資源時，需要支付高昂的費用。同時，由于CERNET與其他ISP運營商網(wǎng)絡存在互聯(lián)互通障礙，嚴重影響了非教育網(wǎng)用戶對高校校園網(wǎng)中公用服務器的訪問，嚴重影響了高校信息化建設成果的推廣。因此，如何充分利用CERNET的優(yōu)秀資源和公網(wǎng)高速的帶寬資源，做到最好的資源整合成為校園網(wǎng)建設中迫切需要解決的問題。本文以浙江紡織服裝職業(yè)技術學院校園網(wǎng)二期建設的應用為背景，探討策略路由等技術在雙出口校園網(wǎng)中的應用。1問題的提出與分析浙江紡織服裝學院在建立校園網(wǎng)時租用1000M的線路接入本地電信網(wǎng)。隨著網(wǎng)絡需求的增加，在2008年校園網(wǎng)二期建設的過程中又租用了一條2M長

3、途光纖接入教育科研網(wǎng)CERNET。校園網(wǎng)雙出口線路如圖1所示。結(jié)合教育網(wǎng)和本地ISP的特點，采用雙出口互聯(lián)網(wǎng)接入后，要達到既能減少流經(jīng)教育網(wǎng)的國際流量，降低網(wǎng)絡運行費用，又可以增加網(wǎng)絡出口備份路由的目的，需解決以下問題：1）盡量不修改客戶端參數(shù)配置，使得用戶機器能正常工作。2）電信出口帶寬大,且實際訪問量也較多,大部分的流量是通過電信網(wǎng)出口出去的。僅當用戶訪問CERNET免費站點時，網(wǎng)絡出口為CERNET。3）校園網(wǎng)內(nèi)外的用戶都能快速訪問校園網(wǎng)的圖1校園網(wǎng)雙出口線路圖收稿日期：20100329作者簡介：陳丹兒，女，浙江紡織服裝職業(yè)技術學院，講師，碩士（浙江寧波315211） 2010年9月浙江

4、紡織服裝職業(yè)技術學院學報第3期第75頁、MAIL、FTP、DNS等服務器。4）兩條線路能互為備份，能根據(jù)2個出口的帶寬速率，對線路負載進行均衡，保證2條出口線路都能得到充分有效地利用，達到既經(jīng)濟又高速的目的。2校園網(wǎng)雙出口相關技術2.1網(wǎng)絡地址轉(zhuǎn)換NATNAT能夠使內(nèi)部IP地址經(jīng)過路由器連接到INTERNET時轉(zhuǎn)化為路由器外網(wǎng)口設置的公網(wǎng)地址，是一種成熟的技術方案。其解決方法是當內(nèi)部計算機與外部網(wǎng)絡通信時，將內(nèi)部網(wǎng)絡IP地址翻譯成合法的公網(wǎng)IP地址。教育網(wǎng)有充足的IP地址，訪問教育網(wǎng)時無需進行地址轉(zhuǎn)換。校園網(wǎng)公網(wǎng)出口采用NAT技術是為了將教育網(wǎng)公網(wǎng)IP轉(zhuǎn)換為本地電信運營商分配的IP，從而實現(xiàn)通

5、過本地電信線路連接到互聯(lián)網(wǎng)。2.2策略路由技術策略路由是路由器的一項擴展功能，它不僅可根據(jù)數(shù)據(jù)包目的地址為依據(jù)來進行路由選擇，還可根據(jù)數(shù)據(jù)包源IP地址、數(shù)據(jù)包大小等條件來選擇路由。當數(shù)據(jù)包經(jīng)過路由器轉(zhuǎn)發(fā)時，路由器根據(jù)預先設定的策略對數(shù)據(jù)包進行匹配，如匹配到一條策略，就根據(jù)該條策略指定的路由進行轉(zhuǎn)發(fā)；如沒有匹配到任何策略，就根據(jù)目的地址對報文進行路由。2.3策略DNS技術域名系統(tǒng)的功能是實現(xiàn)主機域名與IP地址之間的相互轉(zhuǎn)換。用戶訪問某臺服務器提供的服務時，在應用程序中基本上都是輸入服務器的域名，然后再由DNS服務器將此域名解析為與之對應的IP地址，應用程序最后都是依靠IP地址來和服務器通信的。傳

6、統(tǒng)的DNS系統(tǒng)對任何主機請求的域名，最后解析出的IP地址都是一樣的，不能根據(jù)不同的用戶解析出不同的IP地址。策略域名可以根據(jù)不同IP地址的請求將同一個域名解析為不同的IP地址。換句話說，對于教育網(wǎng)用戶解析出的IP地址為教育網(wǎng)分配的IP地址，對于電信網(wǎng)用戶解析出的IP地址為電信網(wǎng)分配的IP地址。因此，應用策略域名技術，可以使外網(wǎng)用戶訪問校園網(wǎng)服務時根據(jù)用戶接入的ISP而解析出對應ISP的地址，讓用戶能高速訪問到服務。3方案設計與實現(xiàn)3.1網(wǎng)絡地址轉(zhuǎn)換NAT本校申請了充足的教育網(wǎng)IP地址，在內(nèi)部校園網(wǎng)主機訪問CERNET時不需要做NAT，而申請的電信公網(wǎng)IP地址有限，因此，需在電信網(wǎng)出口做NAT，

7、將內(nèi)部CERNET主機請求包的源地址映射為電信網(wǎng)提供的地址，這樣請求包就能夠以電信合法的地址身份通過電信網(wǎng)去請求服務，而應答包也會順利成章的從電信出口進入校園網(wǎng)相應主機請求，建立連接實現(xiàn)通信。具體配置如下：1）建立標準訪問列表router（config）#access-list1permitany2）定義NAT轉(zhuǎn)換router（config）#ipnatpooltelcom61.xx.xx.13461.xx.xx.134netmask52router（config）#ipnatinsidesourcelist1pooltelcomoverload3）將NAT轉(zhuǎn)換應用到

8、路由器電信網(wǎng)出口router（config）#interfacefastethernet0router（config-if）#ipnatinsiderouter（config）#interfacefastethernet1router（config-if）#ipnatoutside3.2靜態(tài)路由設置通過訪問CERNET網(wǎng)站，將教育網(wǎng)地址分配表下載下來。按以下思路進行靜態(tài)路由配置：CERNETPDF 文件使用 ;pdfFactory Pro; 試用版本創(chuàng)建 .fineprint第3期第76頁陳丹兒：校園網(wǎng)雙出口網(wǎng)絡設計與實現(xiàn)2010年9月中的網(wǎng)絡地址都通過CERNET線路從地址210.xxx.x

9、xx.101訪問，其余所有地址均通過本地電信網(wǎng)提供的地址61.xxx.xxx.135訪問出去。具體配置如下：1）配置電信網(wǎng)缺省路由router（config）#iproute61.xxx.xxx.1352）配置教育網(wǎng)靜態(tài)路由router（config）#iproute-static255.0210.xxx.xxx.101router（config）#iproute-static210.xxx.xxx.101由于教育網(wǎng)靜態(tài)路由很多，這里不一一列出。3.3策略路由設置好靜態(tài)路由后，發(fā)現(xiàn)利用DNS域名和IP地址

10、均無法訪問、DNS等服務器，其主要原因在于這些服務器的設置均采用教育網(wǎng)的IP地址，外網(wǎng)用戶必須通過教育網(wǎng)線路才能訪問本校服務器，而路由器的靜態(tài)路由配置中除了部分教育網(wǎng)免費網(wǎng)址的路由是指向教育網(wǎng)的出口以外，其他的路由都是通過默認路由從本地電信網(wǎng)出去，這樣就導致訪問學校的服務器和DNS服務器的訪問流量從教育網(wǎng)接口進入，但服務器回應的數(shù)據(jù)包卻按照默認路由從公網(wǎng)的出口送出，發(fā)送的數(shù)據(jù)報文無法正確達到訪問服務器的網(wǎng)絡用戶，從而造成無論利用服務器IP地址或域名都無法訪問、DNS服務器的現(xiàn)象。利用基于源IP地址的策略路由技術，與基于目的地址的路由選擇機制相比，具有節(jié)省開支、負載均衡等優(yōu)點。它的工作原理是：如

11、果在某個接口上啟用了基于策略的路由，那么在該接口的進入方向上接收的任何數(shù)據(jù)包都要先經(jīng)過策略路由過濾，檢查數(shù)據(jù)包中源IP地址是否與策略路由采用的訪問控制列表ACL中的IP地址一致。若一致，則按照路由策略對數(shù)據(jù)報進行轉(zhuǎn)發(fā)；若不同，則按默認路由轉(zhuǎn)發(fā)。1）配置訪問列表ACL該表中的地址為校園網(wǎng)內(nèi)對外提供服務的主機IP地址，如、DNS等服務器地址，具體配置為：router（config）#access-list2permit202.xxx.xxx.1/服務器router（config）#access-list2permit202.xxx.xxx.4/DNS服務器2）配置策略路由如果源地址為202.xxx

12、.xxx.1和202.xxx.xxx.4，則指定下一跳地址為210.xxx.xxx.101，即將數(shù)據(jù)包發(fā)往教育網(wǎng)，策略路由名為111，具體配置為：router（config）#route-map111permit10router（config-route-map）#matchipaddress2router（config-route-map）#setipnext-hopView功能，讓每個來源不同的網(wǎng)絡在查詢該DNS時，能有不同的查詢狀態(tài)或回應信息。BIND的主要配置文件named.conf的主要內(nèi)容如下：aclzjff/20;/20;202

13、.117.240.0/20;/紡院IP地址集PDF 文件使用 ;pdfFactory Pro; 試用版本創(chuàng)建 .fineprint2010年9月浙江紡織服裝職業(yè)技術學院學報第3期第77頁acleducn/16;/16;/教育網(wǎng)IP地址集View“zjff”/指向校園網(wǎng)內(nèi)部IP的域名解析文件Match-clientszjff;zone“”inTypemaster;File“_zjff”;View“educn”/指向IP的域名解析文件match-clientseducn;zone“”inTypemaste

14、r;File“_educn”;View“external”/指向其他IP的域名解析文件match-clientsany;zone“”inTypemaster;File“_any”;通過以上配置，就可以使教育科研網(wǎng)用戶通過教育科研網(wǎng)訪問學校網(wǎng)站.，而其他用戶通過電信網(wǎng)訪問學校網(wǎng)站。4總結(jié)通過以上操作，我們學校很好的解決了雙出口網(wǎng)絡由于教育網(wǎng)和公網(wǎng)寬帶瓶頸問題而引起的訪問速度慢、訪問超時等問題，提高了網(wǎng)站的可靠性，同時又避免了給學校帶來額外網(wǎng)絡流量費用。但該方案也存在一定的不足，如不能判斷校園網(wǎng)出口擁塞狀況等。如何在現(xiàn)有條

15、件下科學、合理地配置和管理校園網(wǎng)，使網(wǎng)絡軟硬件資源在其生命周期中最大限度地發(fā)揮作用，將是我們今后工作中探索的重點。參考文獻1羅偉雄，時東曉，劉嵐.校園網(wǎng)多出口路由優(yōu)化方案J.計算機應用，2009，29（6）：41-43.2單杰.職業(yè)院校校園網(wǎng)雙線出口技術淺析J.通信技術,2009，5（42）：167-168.3錢江紅，王耀青.基于路由器的校園網(wǎng)雙出口的實現(xiàn)方法J.武漢冶金管理干部學院學報,2005，15（3）：74-76.4董民，周衛(wèi)東，沈慶國.路由器原理、操作及應用M.北京：國防工業(yè)出版社，2006.5崔騁宇.解決雙出口校園網(wǎng)瓶頸J.網(wǎng)管員世界,2006（3）：74-75.6ThomasM.CISCO網(wǎng)絡互聯(lián)設備M.北京：機械工業(yè)出版社，2003.7湯云劍，朱尚明，金毅.校園網(wǎng)建設和多出口帶寬設計J.化工高等教育,2009（1）：80-82.TheDesignandRealizationofDoubleConnectionsCampusNetworkCHENDan-erInviewofthecurrentbottleneckproblemofdoubleconnectionscampusnetworkincolleges