校园网双出口网络设计与实现

1、校园网双出口网络设计与实现第3期第74页浙江纺织服装职业技术学院学报72010年9月doi：10.3969/j.issn.1674-2346.2010.03.017校园网双出口网络设计与实现陈丹儿摘要：针对当前高校双出口互联方式存在的瓶颈问题，提出一种解决方案：利用策略路由、网络地址转换和策略DNS技术来解决双出口网络的问题。关键词：高校双出口互联方式；策略路由；网络地址转换；策略DNS中图分类号：TP393.02文献标识码：C文章编号：1674-2346(2010)03-0074-040引言各高校建设的大量优质数字教育资源基本上都是基于CERNET的，虽然CERNET中的用户一般都能畅通免费

2、地访问这些资源，但访问CERNET免费地址以外的资源时，需要支付高昂的费用。同时，由于CERNET与其他ISP运营商网络存在互联互通障碍，严重影响了非教育网用户对高校校园网中公用服务器的访问，严重影响了高校信息化建设成果的推广。因此，如何充分利用CERNET的优秀资源和公网高速的带宽资源，做到最好的资源整合成为校园网建设中迫切需要解决的问题。本文以浙江纺织服装职业技术学院校园网二期建设的应用为背景，探讨策略路由等技术在双出口校园网中的应用。1问题的提出与分析浙江纺织服装学院在建立校园网时租用1000M的线路接入本地电信网。随着网络需求的增加，在2008年校园网二期建设的过程中又租用了一条2M长

3、途光纤接入教育科研网CERNET。校园网双出口线路如图1所示。结合教育网和本地ISP的特点，采用双出口互联网接入后，要达到既能减少流经教育网的国际流量，降低网络运行费用，又可以增加网络出口备份路由的目的，需解决以下问题：1）尽量不修改客户端参数配置，使得用户机器能正常工作。2）电信出口带宽大,且实际访问量也较多,大部分的流量是通过电信网出口出去的。仅当用户访问CERNET免费站点时，网络出口为CERNET。3）校园网内外的用户都能快速访问校园网的图1校园网双出口线路图收稿日期：20100329作者简介：陈丹儿，女，浙江纺织服装职业技术学院，讲师，硕士（浙江宁波315211） 2010年9月浙江

4、纺织服装职业技术学院学报第3期第75页、MAIL、FTP、DNS等服务器。4）两条线路能互为备份，能根据2个出口的带宽速率，对线路负载进行均衡，保证2条出口线路都能得到充分有效地利用，达到既经济又高速的目的。2校园网双出口相关技术2.1网络地址转换NATNAT能够使内部IP地址经过路由器连接到INTERNET时转化为路由器外网口设置的公网地址，是一种成熟的技术方案。其解决方法是当内部计算机与外部网络通信时，将内部网络IP地址翻译成合法的公网IP地址。教育网有充足的IP地址，访问教育网时无需进行地址转换。校园网公网出口采用NAT技术是为了将教育网公网IP转换为本地电信运营商分配的IP，从而实现通

5、过本地电信线路连接到互联网。2.2策略路由技术策略路由是路由器的一项扩展功能，它不仅可根据数据包目的地址为依据来进行路由选择，还可根据数据包源IP地址、数据包大小等条件来选择路由。当数据包经过路由器转发时，路由器根据预先设定的策略对数据包进行匹配，如匹配到一条策略，就根据该条策略指定的路由进行转发；如没有匹配到任何策略，就根据目的地址对报文进行路由。2.3策略DNS技术域名系统的功能是实现主机域名与IP地址之间的相互转换。用户访问某台服务器提供的服务时，在应用程序中基本上都是输入服务器的域名，然后再由DNS服务器将此域名解析为与之对应的IP地址，应用程序最后都是依靠IP地址来和服务器通信的。传

6、统的DNS系统对任何主机请求的域名，最后解析出的IP地址都是一样的，不能根据不同的用户解析出不同的IP地址。策略域名可以根据不同IP地址的请求将同一个域名解析为不同的IP地址。换句话说，对于教育网用户解析出的IP地址为教育网分配的IP地址，对于电信网用户解析出的IP地址为电信网分配的IP地址。因此，应用策略域名技术，可以使外网用户访问校园网服务时根据用户接入的ISP而解析出对应ISP的地址，让用户能高速访问到服务。3方案设计与实现3.1网络地址转换NAT本校申请了充足的教育网IP地址，在内部校园网主机访问CERNET时不需要做NAT，而申请的电信公网IP地址有限，因此，需在电信网出口做NAT，

7、将内部CERNET主机请求包的源地址映射为电信网提供的地址，这样请求包就能够以电信合法的地址身份通过电信网去请求服务，而应答包也会顺利成章的从电信出口进入校园网相应主机请求，建立连接实现通信。具体配置如下：1）建立标准访问列表router（config）#access-list1permitany2）定义NAT转换router（config）#ipnatpooltelcom61.xx.xx.13461.xx.xx.134netmask52router（config）#ipnatinsidesourcelist1pooltelcomoverload3）将NAT转换应用到

8、路由器电信网出口router（config）#interfacefastethernet0router（config-if）#ipnatinsiderouter（config）#interfacefastethernet1router（config-if）#ipnatoutside3.2静态路由设置通过访问CERNET网站，将教育网地址分配表下载下来。按以下思路进行静态路由配置：CERNETPDF 文件使用 ;pdfFactory Pro; 试用版本创建 .fineprint第3期第76页陈丹儿：校园网双出口网络设计与实现2010年9月中的网络地址都通过CERNET线路从地址210.xxx.x

9、xx.101访问，其余所有地址均通过本地电信网提供的地址61.xxx.xxx.135访问出去。具体配置如下：1）配置电信网缺省路由router（config）#iproute61.xxx.xxx.1352）配置教育网静态路由router（config）#iproute-static255.0210.xxx.xxx.101router（config）#iproute-static210.xxx.xxx.101由于教育网静态路由很多，这里不一一列出。3.3策略路由设置好静态路由后，发现利用DNS域名和IP地址

10、均无法访问、DNS等服务器，其主要原因在于这些服务器的设置均采用教育网的IP地址，外网用户必须通过教育网线路才能访问本校服务器，而路由器的静态路由配置中除了部分教育网免费网址的路由是指向教育网的出口以外，其他的路由都是通过默认路由从本地电信网出去，这样就导致访问学校的服务器和DNS服务器的访问流量从教育网接口进入，但服务器回应的数据包却按照默认路由从公网的出口送出，发送的数据报文无法正确达到访问服务器的网络用户，从而造成无论利用服务器IP地址或域名都无法访问、DNS服务器的现象。利用基于源IP地址的策略路由技术，与基于目的地址的路由选择机制相比，具有节省开支、负载均衡等优点。它的工作原理是：如

11、果在某个接口上启用了基于策略的路由，那么在该接口的进入方向上接收的任何数据包都要先经过策略路由过滤，检查数据包中源IP地址是否与策略路由采用的访问控制列表ACL中的IP地址一致。若一致，则按照路由策略对数据报进行转发；若不同，则按默认路由转发。1）配置访问列表ACL该表中的地址为校园网内对外提供服务的主机IP地址，如、DNS等服务器地址，具体配置为：router（config）#access-list2permit202.xxx.xxx.1/服务器router（config）#access-list2permit202.xxx.xxx.4/DNS服务器2）配置策略路由如果源地址为202.xxx

12、.xxx.1和202.xxx.xxx.4，则指定下一跳地址为210.xxx.xxx.101，即将数据包发往教育网，策略路由名为111，具体配置为：router（config）#route-map111permit10router（config-route-map）#matchipaddress2router（config-route-map）#setipnext-hopView功能，让每个来源不同的网络在查询该DNS时，能有不同的查询状态或回应信息。BIND的主要配置文件named.conf的主要内容如下：aclzjff/20;/20;202

13、.117.240.0/20;/纺院IP地址集PDF 文件使用 ;pdfFactory Pro; 试用版本创建 .fineprint2010年9月浙江纺织服装职业技术学院学报第3期第77页acleducn/16;/16;/教育网IP地址集View“zjff”/指向校园网内部IP的域名解析文件Match-clientszjff;zone“”inTypemaster;File“_zjff”;View“educn”/指向IP的域名解析文件match-clientseducn;zone“”inTypemaste

14、r;File“_educn”;View“external”/指向其他IP的域名解析文件match-clientsany;zone“”inTypemaster;File“_any”;通过以上配置，就可以使教育科研网用户通过教育科研网访问学校网站.，而其他用户通过电信网访问学校网站。4总结通过以上操作，我们学校很好的解决了双出口网络由于教育网和公网宽带瓶颈问题而引起的访问速度慢、访问超时等问题，提高了网站的可靠性，同时又避免了给学校带来额外网络流量费用。但该方案也存在一定的不足，如不能判断校园网出口拥塞状况等。如何在现有条

15、件下科学、合理地配置和管理校园网，使网络软硬件资源在其生命周期中最大限度地发挥作用，将是我们今后工作中探索的重点。参考文献1罗伟雄，时东晓，刘岚.校园网多出口路由优化方案J.计算机应用，2009，29（6）：41-43.2单杰.职业院校校园网双线出口技术浅析J.通信技术,2009，5（42）：167-168.3钱江红，王耀青.基于路由器的校园网双出口的实现方法J.武汉冶金管理干部学院学报,2005，15（3）：74-76.4董民，周卫东，沈庆国.路由器原理、操作及应用M.北京：国防工业出版社，2006.5崔骋宇.解决双出口校园网瓶颈J.网管员世界,2006（3）：74-75.6ThomasM.CISCO网络互联设备M.北京：机械工业出版社，2003.7汤云剑，朱尚明，金毅.校园网建设和多出口带宽设计J.化工高等教育,2009（1）：80-82.TheDesignandRealizationofDoubleConnectionsCampusNetworkCHENDan-erInviewofthecurrentbottleneckproblemofdoubleconnectionscampusnetworkincolleges