校園網(wǎng)雙出口網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)

1、校園網(wǎng)雙出口網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)第3期第74頁(yè)浙江紡織服裝職業(yè)技術(shù)學(xué)院學(xué)報(bào)72010年9月doi：10.3969/j.issn.1674-2346.2010.03.017校園網(wǎng)雙出口網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)陳丹兒摘要：針對(duì)當(dāng)前高校雙出口互聯(lián)方式存在的瓶頸問(wèn)題，提出一種解決方案：利用策略路由、網(wǎng)絡(luò)地址轉(zhuǎn)換和策略DNS技術(shù)來(lái)解決雙出口網(wǎng)絡(luò)的問(wèn)題。關(guān)鍵詞：高校雙出口互聯(lián)方式；策略路由；網(wǎng)絡(luò)地址轉(zhuǎn)換；策略DNS中圖分類(lèi)號(hào)：TP393.02文獻(xiàn)標(biāo)識(shí)碼：C文章編號(hào)：1674-2346(2010)03-0074-040引言各高校建設(shè)的大量?jī)?yōu)質(zhì)數(shù)字教育資源基本上都是基于CERNET的，雖然CERNET中的用戶(hù)一般都能暢通免費(fèi)

2、地訪(fǎng)問(wèn)這些資源，但訪(fǎng)問(wèn)CERNET免費(fèi)地址以外的資源時(shí)，需要支付高昂的費(fèi)用。同時(shí)，由于CERNET與其他ISP運(yùn)營(yíng)商網(wǎng)絡(luò)存在互聯(lián)互通障礙，嚴(yán)重影響了非教育網(wǎng)用戶(hù)對(duì)高校校園網(wǎng)中公用服務(wù)器的訪(fǎng)問(wèn)，嚴(yán)重影響了高校信息化建設(shè)成果的推廣。因此，如何充分利用CERNET的優(yōu)秀資源和公網(wǎng)高速的帶寬資源，做到最好的資源整合成為校園網(wǎng)建設(shè)中迫切需要解決的問(wèn)題。本文以浙江紡織服裝職業(yè)技術(shù)學(xué)院校園網(wǎng)二期建設(shè)的應(yīng)用為背景，探討策略路由等技術(shù)在雙出口校園網(wǎng)中的應(yīng)用。1問(wèn)題的提出與分析浙江紡織服裝學(xué)院在建立校園網(wǎng)時(shí)租用1000M的線(xiàn)路接入本地電信網(wǎng)。隨著網(wǎng)絡(luò)需求的增加，在2008年校園網(wǎng)二期建設(shè)的過(guò)程中又租用了一條2M長(zhǎng)

3、途光纖接入教育科研網(wǎng)CERNET。校園網(wǎng)雙出口線(xiàn)路如圖1所示。結(jié)合教育網(wǎng)和本地ISP的特點(diǎn)，采用雙出口互聯(lián)網(wǎng)接入后，要達(dá)到既能減少流經(jīng)教育網(wǎng)的國(guó)際流量，降低網(wǎng)絡(luò)運(yùn)行費(fèi)用，又可以增加網(wǎng)絡(luò)出口備份路由的目的，需解決以下問(wèn)題：1）盡量不修改客戶(hù)端參數(shù)配置，使得用戶(hù)機(jī)器能正常工作。2）電信出口帶寬大,且實(shí)際訪(fǎng)問(wèn)量也較多,大部分的流量是通過(guò)電信網(wǎng)出口出去的。僅當(dāng)用戶(hù)訪(fǎng)問(wèn)CERNET免費(fèi)站點(diǎn)時(shí)，網(wǎng)絡(luò)出口為CERNET。3）校園網(wǎng)內(nèi)外的用戶(hù)都能快速訪(fǎng)問(wèn)校園網(wǎng)的圖1校園網(wǎng)雙出口線(xiàn)路圖收稿日期：20100329作者簡(jiǎn)介：陳丹兒，女，浙江紡織服裝職業(yè)技術(shù)學(xué)院，講師，碩士（浙江寧波315211） 2010年9月浙江

4、紡織服裝職業(yè)技術(shù)學(xué)院學(xué)報(bào)第3期第75頁(yè)、MAIL、FTP、DNS等服務(wù)器。4）兩條線(xiàn)路能互為備份，能根據(jù)2個(gè)出口的帶寬速率，對(duì)線(xiàn)路負(fù)載進(jìn)行均衡，保證2條出口線(xiàn)路都能得到充分有效地利用，達(dá)到既經(jīng)濟(jì)又高速的目的。2校園網(wǎng)雙出口相關(guān)技術(shù)2.1網(wǎng)絡(luò)地址轉(zhuǎn)換NATNAT能夠使內(nèi)部IP地址經(jīng)過(guò)路由器連接到INTERNET時(shí)轉(zhuǎn)化為路由器外網(wǎng)口設(shè)置的公網(wǎng)地址，是一種成熟的技術(shù)方案。其解決方法是當(dāng)內(nèi)部計(jì)算機(jī)與外部網(wǎng)絡(luò)通信時(shí)，將內(nèi)部網(wǎng)絡(luò)IP地址翻譯成合法的公網(wǎng)IP地址。教育網(wǎng)有充足的IP地址，訪(fǎng)問(wèn)教育網(wǎng)時(shí)無(wú)需進(jìn)行地址轉(zhuǎn)換。校園網(wǎng)公網(wǎng)出口采用NAT技術(shù)是為了將教育網(wǎng)公網(wǎng)IP轉(zhuǎn)換為本地電信運(yùn)營(yíng)商分配的IP，從而實(shí)現(xiàn)通

5、過(guò)本地電信線(xiàn)路連接到互聯(lián)網(wǎng)。2.2策略路由技術(shù)策略路由是路由器的一項(xiàng)擴(kuò)展功能，它不僅可根據(jù)數(shù)據(jù)包目的地址為依據(jù)來(lái)進(jìn)行路由選擇，還可根據(jù)數(shù)據(jù)包源IP地址、數(shù)據(jù)包大小等條件來(lái)選擇路由。當(dāng)數(shù)據(jù)包經(jīng)過(guò)路由器轉(zhuǎn)發(fā)時(shí)，路由器根據(jù)預(yù)先設(shè)定的策略對(duì)數(shù)據(jù)包進(jìn)行匹配，如匹配到一條策略，就根據(jù)該條策略指定的路由進(jìn)行轉(zhuǎn)發(fā)；如沒(méi)有匹配到任何策略，就根據(jù)目的地址對(duì)報(bào)文進(jìn)行路由。2.3策略DNS技術(shù)域名系統(tǒng)的功能是實(shí)現(xiàn)主機(jī)域名與IP地址之間的相互轉(zhuǎn)換。用戶(hù)訪(fǎng)問(wèn)某臺(tái)服務(wù)器提供的服務(wù)時(shí)，在應(yīng)用程序中基本上都是輸入服務(wù)器的域名，然后再由DNS服務(wù)器將此域名解析為與之對(duì)應(yīng)的IP地址，應(yīng)用程序最后都是依靠IP地址來(lái)和服務(wù)器通信的。傳

6、統(tǒng)的DNS系統(tǒng)對(duì)任何主機(jī)請(qǐng)求的域名，最后解析出的IP地址都是一樣的，不能根據(jù)不同的用戶(hù)解析出不同的IP地址。策略域名可以根據(jù)不同IP地址的請(qǐng)求將同一個(gè)域名解析為不同的IP地址。換句話(huà)說(shuō)，對(duì)于教育網(wǎng)用戶(hù)解析出的IP地址為教育網(wǎng)分配的IP地址，對(duì)于電信網(wǎng)用戶(hù)解析出的IP地址為電信網(wǎng)分配的IP地址。因此，應(yīng)用策略域名技術(shù)，可以使外網(wǎng)用戶(hù)訪(fǎng)問(wèn)校園網(wǎng)服務(wù)時(shí)根據(jù)用戶(hù)接入的ISP而解析出對(duì)應(yīng)ISP的地址，讓用戶(hù)能高速訪(fǎng)問(wèn)到服務(wù)。3方案設(shè)計(jì)與實(shí)現(xiàn)3.1網(wǎng)絡(luò)地址轉(zhuǎn)換NAT本校申請(qǐng)了充足的教育網(wǎng)IP地址，在內(nèi)部校園網(wǎng)主機(jī)訪(fǎng)問(wèn)CERNET時(shí)不需要做NAT，而申請(qǐng)的電信公網(wǎng)IP地址有限，因此，需在電信網(wǎng)出口做NAT，

7、將內(nèi)部CERNET主機(jī)請(qǐng)求包的源地址映射為電信網(wǎng)提供的地址，這樣請(qǐng)求包就能夠以電信合法的地址身份通過(guò)電信網(wǎng)去請(qǐng)求服務(wù)，而應(yīng)答包也會(huì)順利成章的從電信出口進(jìn)入校園網(wǎng)相應(yīng)主機(jī)請(qǐng)求，建立連接實(shí)現(xiàn)通信。具體配置如下：1）建立標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表router（config）#access-list1permitany2）定義NAT轉(zhuǎn)換router（config）#ipnatpooltelcom61.xx.xx.13461.xx.xx.134netmask52router（config）#ipnatinsidesourcelist1pooltelcomoverload3）將NAT轉(zhuǎn)換應(yīng)用到

8、路由器電信網(wǎng)出口router（config）#interfacefastethernet0router（config-if）#ipnatinsiderouter（config）#interfacefastethernet1router（config-if）#ipnatoutside3.2靜態(tài)路由設(shè)置通過(guò)訪(fǎng)問(wèn)CERNET網(wǎng)站，將教育網(wǎng)地址分配表下載下來(lái)。按以下思路進(jìn)行靜態(tài)路由配置：CERNETPDF 文件使用 ;pdfFactory Pro; 試用版本創(chuàng)建 .fineprint第3期第76頁(yè)陳丹兒：校園網(wǎng)雙出口網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)2010年9月中的網(wǎng)絡(luò)地址都通過(guò)CERNET線(xiàn)路從地址210.xxx.x

9、xx.101訪(fǎng)問(wèn)，其余所有地址均通過(guò)本地電信網(wǎng)提供的地址61.xxx.xxx.135訪(fǎng)問(wèn)出去。具體配置如下：1）配置電信網(wǎng)缺省路由router（config）#iproute61.xxx.xxx.1352）配置教育網(wǎng)靜態(tài)路由router（config）#iproute-static255.0210.xxx.xxx.101router（config）#iproute-static210.xxx.xxx.101由于教育網(wǎng)靜態(tài)路由很多，這里不一一列出。3.3策略路由設(shè)置好靜態(tài)路由后，發(fā)現(xiàn)利用DNS域名和IP地址

10、均無(wú)法訪(fǎng)問(wèn)、DNS等服務(wù)器，其主要原因在于這些服務(wù)器的設(shè)置均采用教育網(wǎng)的IP地址，外網(wǎng)用戶(hù)必須通過(guò)教育網(wǎng)線(xiàn)路才能訪(fǎng)問(wèn)本校服務(wù)器，而路由器的靜態(tài)路由配置中除了部分教育網(wǎng)免費(fèi)網(wǎng)址的路由是指向教育網(wǎng)的出口以外，其他的路由都是通過(guò)默認(rèn)路由從本地電信網(wǎng)出去，這樣就導(dǎo)致訪(fǎng)問(wèn)學(xué)校的服務(wù)器和DNS服務(wù)器的訪(fǎng)問(wèn)流量從教育網(wǎng)接口進(jìn)入，但服務(wù)器回應(yīng)的數(shù)據(jù)包卻按照默認(rèn)路由從公網(wǎng)的出口送出，發(fā)送的數(shù)據(jù)報(bào)文無(wú)法正確達(dá)到訪(fǎng)問(wèn)服務(wù)器的網(wǎng)絡(luò)用戶(hù)，從而造成無(wú)論利用服務(wù)器IP地址或域名都無(wú)法訪(fǎng)問(wèn)、DNS服務(wù)器的現(xiàn)象。利用基于源IP地址的策略路由技術(shù)，與基于目的地址的路由選擇機(jī)制相比，具有節(jié)省開(kāi)支、負(fù)載均衡等優(yōu)點(diǎn)。它的工作原理是：如

11、果在某個(gè)接口上啟用了基于策略的路由，那么在該接口的進(jìn)入方向上接收的任何數(shù)據(jù)包都要先經(jīng)過(guò)策略路由過(guò)濾，檢查數(shù)據(jù)包中源IP地址是否與策略路由采用的訪(fǎng)問(wèn)控制列表ACL中的IP地址一致。若一致，則按照路由策略對(duì)數(shù)據(jù)報(bào)進(jìn)行轉(zhuǎn)發(fā)；若不同，則按默認(rèn)路由轉(zhuǎn)發(fā)。1）配置訪(fǎng)問(wèn)列表ACL該表中的地址為校園網(wǎng)內(nèi)對(duì)外提供服務(wù)的主機(jī)IP地址，如、DNS等服務(wù)器地址，具體配置為：router（config）#access-list2permit202.xxx.xxx.1/服務(wù)器router（config）#access-list2permit202.xxx.xxx.4/DNS服務(wù)器2）配置策略路由如果源地址為202.xxx

12、.xxx.1和202.xxx.xxx.4，則指定下一跳地址為210.xxx.xxx.101，即將數(shù)據(jù)包發(fā)往教育網(wǎng)，策略路由名為111，具體配置為：router（config）#route-map111permit10router（config-route-map）#matchipaddress2router（config-route-map）#setipnext-hopView功能，讓每個(gè)來(lái)源不同的網(wǎng)絡(luò)在查詢(xún)?cè)揇NS時(shí)，能有不同的查詢(xún)狀態(tài)或回應(yīng)信息。BIND的主要配置文件named.conf的主要內(nèi)容如下：aclzjff/20;/20;202

13、.117.240.0/20;/紡院IP地址集PDF 文件使用 ;pdfFactory Pro; 試用版本創(chuàng)建 .fineprint2010年9月浙江紡織服裝職業(yè)技術(shù)學(xué)院學(xué)報(bào)第3期第77頁(yè)acleducn/16;/16;/教育網(wǎng)IP地址集View“zjff”/指向校園網(wǎng)內(nèi)部IP的域名解析文件Match-clientszjff;zone“”inTypemaster;File“_zjff”;View“educn”/指向IP的域名解析文件match-clientseducn;zone“”inTypemaste

14、r;File“_educn”;View“external”/指向其他IP的域名解析文件match-clientsany;zone“”inTypemaster;File“_any”;通過(guò)以上配置，就可以使教育科研網(wǎng)用戶(hù)通過(guò)教育科研網(wǎng)訪(fǎng)問(wèn)學(xué)校網(wǎng)站.，而其他用戶(hù)通過(guò)電信網(wǎng)訪(fǎng)問(wèn)學(xué)校網(wǎng)站。4總結(jié)通過(guò)以上操作，我們學(xué)校很好的解決了雙出口網(wǎng)絡(luò)由于教育網(wǎng)和公網(wǎng)寬帶瓶頸問(wèn)題而引起的訪(fǎng)問(wèn)速度慢、訪(fǎng)問(wèn)超時(shí)等問(wèn)題，提高了網(wǎng)站的可靠性，同時(shí)又避免了給學(xué)校帶來(lái)額外網(wǎng)絡(luò)流量費(fèi)用。但該方案也存在一定的不足，如不能判斷校園網(wǎng)出口擁塞狀況等。如何在現(xiàn)有條

15、件下科學(xué)、合理地配置和管理校園網(wǎng)，使網(wǎng)絡(luò)軟硬件資源在其生命周期中最大限度地發(fā)揮作用，將是我們今后工作中探索的重點(diǎn)。參考文獻(xiàn)1羅偉雄，時(shí)東曉，劉嵐.校園網(wǎng)多出口路由優(yōu)化方案J.計(jì)算機(jī)應(yīng)用，2009，29（6）：41-43.2單杰.職業(yè)院校校園網(wǎng)雙線(xiàn)出口技術(shù)淺析J.通信技術(shù),2009，5（42）：167-168.3錢(qián)江紅，王耀青.基于路由器的校園網(wǎng)雙出口的實(shí)現(xiàn)方法J.武漢冶金管理干部學(xué)院學(xué)報(bào),2005，15（3）：74-76.4董民，周衛(wèi)東，沈慶國(guó).路由器原理、操作及應(yīng)用M.北京：國(guó)防工業(yè)出版社，2006.5崔騁宇.解決雙出口校園網(wǎng)瓶頸J.網(wǎng)管員世界,2006（3）：74-75.6ThomasM.CISCO網(wǎng)絡(luò)互聯(lián)設(shè)備M.北京：機(jī)械工業(yè)出版社，2003.7湯云劍，朱尚明，金毅.校園網(wǎng)建設(shè)和多出口帶寬設(shè)計(jì)J.化工高等教育,2009（1）：80-82.TheDesignandRealizationofDoubleConnectionsCampusNetworkCHENDan-erInviewofthecurrentbottleneckproblemofdoubleconnectionscampusnetworkincolleges