高等校园网络双出口解决方案与实现

摘要多年来，我国高校在基础设施建设和应用提升方面做出了巨大努力，使校园网已经具备了相对丰富的应用平台和较为稳定的基础架构。然而，随着教学、办公、科研等对于校园网平台表现出越来越强的依赖性，网络出口的重要性日益突出，对于校园网出口的重构与优化成为当前亟待解决的问题。本文以校园网为研究对象，结合校园网改造工程，来对校园网出口问题进行分析，并提出一种在保留中国教育科研网接入的基础上，选择本地电信运营商，并行两条出口的双出口方案，以为校园网出口的重构和优化提供借鉴。关键词：校园网；系统优化；问题解决AbstractOvertheyears,ouruniversitieshavemadegreateffortsininfrastructureconstructionandapplicationpromotion,sothatthecampusnetworkalreadyhasarelativelyrichapplicationplatformandarelativelystableinfrastructure.However,suchasteaching,office,researchshowedgrowingdependenceforcampusnetworkplatform,theimportanceofthenetworkexportincreasinglyprominent,forthereconstructionandoptimizationofthecampusnetexportsbecomeanurgentproblemtobesolved.Basedoncampusnetworkastheresearchobject,thispapercombinedwiththecampusnetworkreconstructionproject,toanalyzetheproblemsofthecampusnetworkexport,andputforwardareservedChinaeducationresearch,onthebasisofnetworkaccess,selectthelocaltelecomoperators,theexportoftwoparalleldoubleexportpackage,thoughtreconstructionandoptimizationofcampusnetexports.Keywords:Ccampusnetwork;Systemoptimization;Problemsolving

目录TOC\o"1-3"\h\u24036摘要 I31437Abstract II17366第1章绪论 4105261.1研究背景 464131.2研究意义 518211.3研究方法 527584第2章相关理论综述 6143552.1使用代理服务器技术 641872.2使用路由选择进行调控 630542.3使用策略路由技术 759862.4NAT技术 86193第3章校园网双出口解决方案 949083.1解决方案 9136163.2具体方案配置 1013495参考文献 1427166致谢 15-PAGE10-绪论研究背景校园网的典型应用包括以下四个方面：第一，校园网是学校对外展示校园文化信息最便捷的形式，也是从外界获取信息的重要渠道；第二，校园网是一种学习辅助工具，为学生网上学习提供了环境。校园网上有着大量的校内资源，通过校园网对各自领域内的前沿知识进行即时的学习，利于学生协作学习和探索学习；第三，校园网能够为教学和科研活动提供服务，如辅助教师备课、提供教学资源、支持教师再学习、参与课堂教学等。通过校园网，教师可即时掌握最新科研成果，实现师生间的信息交互；第四，校园网服务于学校教育管理，依托于校园网传输线路，数据中心可为学校的人事管理、学籍管理、校园一卡通、财务管理等应用提供服务。由此可以看出，校园网是构建在现代网络技术和多媒体技术之上，为学校教学活动、学习活动、管理活动、科研活动服务的校园网络环境。将光纤专线接入中国教育科研网，可使对域内站点的访问得到明显提高。但因CERNET跨网宽带较为狭窄，故在访问域外站点时的提速并不明显。从成本方面考虑，域内访问为包月制，域外访问则依据流量进行收费。因此，这一出口方案不但难以节约信息费用，还可能会使流量费用增加。

相关调查显示，中国教育科研网的国际出口宽带仍停留在200M左右，而中国公用计算机已经上升至6000M左右。典型宽带实施零费用接入、包月制的信息费收取方式，对于集团用户还可优惠价格，故能够被广大学校所接受。

放弃中国教育科研网的接入，而选择典型运营商宽带接入方式，实现了对信息费用的有效控制。但是，放弃中国教育科研网的接入，意味着放弃了其网络带给学校的FTP服务、合法域名解析、丰富的IP地址等资源，这些都是非常珍贵的。虽然在中国公用计算机互联网上也可以通过建立学校主页镜像站点的形式来获取上述资源，但因其网内资源只部分开放，故很大程度上限制了校园网内资源的共享程度。

保留中国教育科研网接入，选择本地电信运营商，并行两条出口，虽然成本增加了，但性能得到了大幅度提升，通过计费策略，对资源进行科学配置，还可使域外流量实现零计费，有效节约信息费。双出口的方案还可彼此备份，避免了因线路问题导致的网络中断，进一步提升了系统的可靠安全性。通过这一部分内容的论述，可以看出，双出口方案的应用更为合理，应当成为今后校园网发展努力的方向研究意义双出口校园网是近年来校园网发展的大方向，它综合运用了策略路由、网络地址转换、静态路由等技术，充分整合了本地ISP和CERNET的资源优势，在解决校园网出口问题上具有很好的效果。当前，校园网双出口解决方案已被应用于多所高校校园网改造。实践表明，校园网的网络稳定性、访问速度得到了明显的提高，网络安全性进一步增强，网络运行和管理成本得到有效降低。研究方法选择科学的出口方案，是解决出口问题、规划网络结构的关键。相关理论综述使用代理服务器技术代理服务器技术是指在两个网络之间运行这样一个程序体系，相对于客户来讲，相当于一台服务器，相对于外界服务器来讲，它又是一台客户机。当代理服务器得到一个客户的连接访问某站点请求时，会检查这种请求是否符合规定，如果相关规则允许这种连接访问、代理服务器就从这个站点取回信息再转发给用户。代理服务器在外部网络和内部网络提出服务请求时，起着中间转接和隔离内、外层网络的作用，所以叫代理服务器（promysener)。代理服务器在内部用户和外界之间，相当于一堵墙，外界要访问内部网络，必须要通过它进行，无法连接访问内部网络的资源。代理服务器本身就是一种防火墙，该技术将跨越防火墙的链通信路进行了分段隔离，防火墙内外的计算机网络的连接只能通过代理服务器进行。代理服务器一端接入Internet,另一端接入中心路由器，通过代理服务软件实现客户端上网。这种方式配置简单，设备费用低廉，并且不需要大规模改变原有的设备连接和配置。但是相对来说，由于是通过代理软件实现共享上网，访问速度容易受到影响。使用路由选择进行调控各类业务日驱IP化和网络化，企业对广域网的要求正在达到一个新的水平。关键性应用的广域访问随着企业进一步整合数据中心的趋势而稳步增长。但是，这些最初为高速局域网设计的应用，在广域远程用户访问时对广域网带宽严重消耗，对网络性能造成不可预测的影响。同时，VoIP和视频会议可为企业节省大笔的费用，企业正在考虑部署这些应用，但它们对广域网上的延时高度敏感，对广域网上的带宽大量占用。此外，业务连续性所要求的频繁的远程备份和复制，给已经过度利用的广域网进一步增加了压力。正当用户试图突破广域网带宽和地理距离造成的更高延时的双重制约时，第三个问题出现了：减少对不同位置之间单一链路依赖的风险的需要。在全网中建立全面冗余的广域网是非常奢侈的选择。网络技术日新月异，发展得如火如荼。在网络建设的时候，可供选择的技术多种多样，用户可以构建自己的专网，依靠专网带宽的专属性来保证网络业务的开展；用户可以租用第三方运营商的VPN网络，由第三方运营商提供网络带宽的保证；用户也可以在公共网络平台上自己构建VPN网络等。因此，用户现在建设的是公共/专用混合广域网，这样的广域网可以更好地保障业务开展，同时降低成本。静态路由是在路由器中设置的固定的路由表。除非网络管理员干预，否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映，一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中，静态路由优先级最高。当动态路由与静态路由发生冲突时，以静态路由为准。这种方式对于设备的要求较高，配置相对繁琐，但是上网的路由选择与用户无关，用户的上网方式无需进行任何改动，可操作性较好。同时，网络管理人员可以根据两个出口的带宽和流量情况，调整路由指向使用策略路由技术应用策略路由，必须要指定策略路由使用的路由图，并且要创建路由图。一个路由图由很多条策略组成，每个策略都定义了1个或多个的匹配规则和对应操作。一个接口应用策略路由后，将对该接口接收到的所有包进行检查，不符合路由图任何策略的数据包将按照通常的路由转发进行处理，符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。策略路由可以使数据包按照用户指定的策略进行转发。对于某些管理目的，如QoS需求或VPN拓扑结构，要求某些路由必须经过特定的路径，就可以使用策略路由。例如，一个策略可以指定从某个网络发出的数据包只能转发到某个特定的接口。策略路由在中国最大的应用莫过于用于电信网通的互联互通的问题了，电信网通分家之后出现了中国特色的网络环境，就是南电信，北网通，电信的访问网通的线路较慢，网通访问电信的也较慢！人们就想到了接入电信网通双线路，这种情况下双线路的普及就使得策略路由就有了大的用武之地了！通过在路由设备上添加策略路由包的方式，成功的实现了电信数据走电信，网通数据走网通，这种应用一般都属于目的地址路由！在路由器进行包转发决策过程中，通常是根据所接受的包的目的地址进行的。路由器根据包的目的地址查找路由表，从而作出相应的最优路由转发决策。当欲使某些包由其他路径而不是明确的最短路径路由时，就可以启用策略路由，即按照我们具体需要来决定数据包的路由。基于策略路由有如下几种方式，即：基于源IP地址的策略路由；基于数据包大小的策略路由；基于应用的策略路由；通过缺省路由平衡负载。根据实际情况我们需要特定如邮件等服务器接受和发送包的路径是通过CERNET，所以选择的是基于源IP地址的策略路由。这种方式是最佳选择，但是设备要求比较高。NAT技术NAT（NetworkAddressTranslation，网络地址转换）是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址（即仅在本专用网内使用的专用地址），但现在又想和因特网上的主机通信（并不需要加密）时，可使用NAT方法。在使用路由选择时，一般采用NAT——地址转换技术解决内外网地址的转换问题。NAT就是在内部专用网络中使用内部地址，而当内部节点要与外界网络发生联系时，就在边缘路由器或者防火墙处，将内部地址替换成全局地址合法地址，从而在外部公共网上正常使用。目前NAT功能通常被集成到路由器、防火墙等设备中。NAT设备维护一个NAT表，用它来实现全局到本地和本地到全局地址的映射。NAT设置可以分为静态地址转换、动态地址转换和端口地址转换。（1）静态地址转换静态NAT是这三种中最容易实现的一种，它在NAT表中为每一个需要转换的内部地址创建了固定的转换条目，映射了唯一的全局地址。内部地址与全局地址一一对应。每当内部节点与外界通信时，内部地址就会转化为对应的全局地址。这种方式主要用于服务器，以确保外部对服务器的正确访问。（2）动态地址转换增加了网络管理的复杂性，但也提供了很大的灵活性。它将可用的全局地址地址集定义成NAT池（NATPool）。对于要与外界进行通信的内部节点，如果还没有建立转换映射，边缘路由器或者防火墙将会动态地从NAT池中选择全局地址对内部地址进行转化。每个转换条目在连接建立时动态建立，而在连接终止时会被回收。这样，网络的灵活性大大增强了，所需要的全局地址进一步地减少。需要注意的是，在地址池中的可用地址被耗尽后，后续的连接请求将会失败，会造成网络连通性的问题。所以应该使用超时操作选项来回收NAT池的全局地址。另外，由于每次的地址转换是动态的，所以同一个节点在不同的连接中的全局地址是不同的，这会使SNMP的操作复杂化。（3）端口地址转换端口地址转换首先是一种动态地址转换，但是它可以允许多个内部本地地址共用一个内部合法地址。对只申请到少量IP地址但却经常同时有多个用户上外部网络的情况，这种转换极为有用。校园网双出口解决方案解决方案从上述内容，我们可以知道，所谓校园网双出口，指的是同时具备中国公共计算机互联网和中国教育科研网两个出口的校园网。因此，校园网双出口的实践应用协调工作就成为当前亟待解决的问题。本文以河北工程大学为例，就双出口方案在其校园网内的实践应用进行分析。

校园网双接口方案的应用，首先就是进行校园网的结构改造。如图1所示，应用教育科研网所分配的IP地址，并划分其他计算机于一个网段，使私有IP地址成为使用的形式，从而保证DNS域名解析的完成。

路由设计指的是在因特网接入以太网的端口上设置策略路由，使校园网所有节点拥有中国教育科研网的合法IP。在进行域外访问时，校内其他用户可通过电信网接入路由器，并在翻译地址后传送回来。当前，河北工程大学已具有信息点5000多个，其中，办公区主机使用由中国教育科研网分配的静态IP地址，学生宿舍、学生实验室分配固定的私有IP地址，家属区分配固定的私有IP地址。办公区可对教育科研网进行直接访问，学生宿舍、实验室通过代理服务器来对教育科研网进行访问，家属区则通过NAT转换来对教育科研网进行访问。校园网全部用户通过公网IP来对教育科研网之外的互联网资源进行访问。学校之外的如WWW、DNS等服务器置于校园网中心，来完成同互联网直接的相互访问，而图书馆管理系统、教学管理系统等对内服务器只能由内部网络进行访问。

这一设计中，应用了具有高性能处理能力的防火墙，实现了教育网和校园网出口的路由功能。将单出口的路由器和防火墙，合并到防火墙中，减轻了教育网的线路负载，分担了防火墙负载，降低了设备运行延迟，提升教育网的访问速度。

NAT即网络转换技术，当前这一技术的发展已经日趋成熟，被用于因合法IP地址缺乏所导致各种问题的解决。在进行互联网访问时，可将内部地址同另一合法地址封装，在收回数据包时，再将其打开，以还原实际地址。河北工程大学内采用的是私有IP地址段和教育科研网IP地址段混合使用的方式，由教育网负责提供。其中，学生区内一律应用squid代理，以实现从私有IP地址段向中国教育科研网IP地址段的转换，从而形成类似于应用教育网IP地址段对互联网进行访问的形式。而办公区私有IP地址段则不应用squid代理。因此，无论是学生区，还是办公区，均要开展NAT转换。在设计方案中，我们对教育网所提供的全部私有IP地址段在防火墙上开展NAT。但因校园网有着较大的用户数量，在公网的访问过程当中，需要巨大数量的NAT，为使防火墙负荷得到降低，在电信出口和电信服务器上增加路由器，来对NAT数据进行分流，从而有效提升整个校园网的访问速度和效率。

域名系统由域名服务器和解析器组成，其中，解析器作为客户方，同应用程序相连接，来承担对域名服务器访问的责任，不但负责对域名服务器的返回应答，还需要完成对应用程序的信息传送。DNS技术的动态实现依赖于自身服务器中BIND软件View功能的发挥，其基本查询过程如下图2所示。

河北工程大学的注册域名为hebeu.省略，中国教育科研网为其注册机构，因其DNS服务器地址均由教育网提供，故其服务器应当走教育网的出口。但因公网同教育网之间存在一定程度的互联互通宽带限制，降低了教育网服务器被公网用户访问的速度。为应对这一问题，河北工程大学另外设置了电信服务器，这些服务器使用的地址均由电信提供，从而便利公网用户的访问。两种类型服务器均以hebeu.省略作为域名的扩展，主辅DNS服务器来负责对其解析，且要求DNS服务器能够以请求地址为依据实施区分，从而实现了对河北工程大学电信服务器和教育网服务器的访问，不但域名得到了统一，访问速度也进一步提升。

可控性方面，双出口形式的校园网，虽不能对每个计算机进行公网IP地址的分配，但可完成一个私有IP地址的分配。这表示可跳过NAT环节，将校内计算机直接连接于校园网内，并由学校网络中心实施统一的NAT处理。这样极大便利了对网内计算机的管理，保障了校园网络的可控性。安全性方面，双出口形式的校园网，使网内所有计算机都透明化，脱离了NAT设备的隐藏，当发生内部攻击时，校园网管理员可对实施攻击的计算机直接定位。机房管理方面，双出口形式的校园网分配给校内机房一些私网IP地址，进行统一的NAT处理，这样，机房管理员可将其看做公网IP地址进行使用，大大降低了机房管理员的工作量。具体方案配置我校校园网通过H3C—R6616路由器进行出口配置，网络出口有两条链路教育网和联通，由于教育网丢包现象严重，访问外网速度比较慢等原因，我校采取静态路由表和策略路由的方式进行分流，教育网所有免费的站点通过静态路由表走教育网出口，默认网关指向联通网关，所有外网和教育网收费站点通过默认网关出口，通过以上配置，校内用户访问外网速度明显加快。校园网的两个外网接口地址，54表示教育网出口地址，53表示联通出口地址。通过以上设置，虽优化了我校的网络，对数据流量进行了有效的分流，但是目前出现的问题是，一旦联通线路出现故障，所有的外网基本都无法访问，无法做到双链路备份，如何解决当外部通信的其中一条线路断掉后能自动切换到另外一条线路，从而达到校园网的安全传输，是我校遇到的一个问题。NQA（NetworkQualityAnalyzer）网络质量分析是一种实时的网络性能探测和统计技术，可以对响应时间、网络抖动、丢包率等网络信息进行统计。NQA还提供了与Track和应用模块联动的功能，实时监控网络状态的变化。为用户提供网络性能参数，如时延抖动、HTTP的总时延、通过DHCP获取IP地址的时延、TCP连接时延、FTP连接时延和文件传输速率等。配置两个自动侦测组（wan1）和（wan2），配置默认路由，当任意WAN链路出现故障时，流量可以在另外一条链路上进行转发通过以上设置，即解决了双出口问题，又做到两条线路的互相备份，当一条链路出现线路故障，校园内网络用户即可通过另外一条出口进行访问外网资源，从而实现校园网对外访问的真正的冗余备份，优化了校园网网络，保证了校园网安全稳定的运行。还有一种方法是通过CISCOcatalyst6509交换机的具体配置。具体配置中由于涉及到网络安全机密，校园网的各个接口地址，包括校园网的地址、服务器的地址和电信的地址均由其他地址代替。其中：/24和/24表示校园网内部的地址，/24表示校园网内部服务器的地址，/24表示电信的地址。Ssr2路由器的ip地址为54，ssr1的ip地址为54。1．设置默认路由指向ssr2路由器：iproute542．对于所有教育网的国内站点（免费流量）设置静态路由，指向ssr1路由器。iproute54iproute54……iproute54iproute54iproute54iproute543．为了保证校园网中各院系的服务器流量都走教育网，需要配置策略路由。（1）配置服务器的访问控制列表（假设服务器的地址为，，0）：access-list110permitiphostanyaccess-list110permitiphostanyaccess-list110permitiphost0any（2）配置基于所有教育网的国内站点（免费流量）的访问控制列表：access-list112permitiphostanyaccess-list112permitiphostanyaccess-list112permitiphost0anyaccess-list112permitipany55access-list112permitipany55……access-list112permitipany55access-list112permitipany55access-list112permitipany55access-list112permitipany55access–list112denyipanyany（3）配置策略路由，特定的服务器所有流量都经由ssr1到教育网，其它的流量经ssr2到电信出口：route–mapserverpermit10matchipaddress110setipnext–hop54route–maptodianxinpermit10matchipaddress112setipnext–hop54（4）完全保证没有非授权流量从教育网流出，应当把中国教育科研网的免费地址访问控制列表（即上文中的access–list112访问控制列表）应用连接到ssr1路由器的端口。这样，就保证了正常的路由指向。4、进行ssr2的NAT配置。配置ssr2路由器快速以太网接口fastethernet0/0连接6509交换机，快速以太网接口fastethernet0/1连接DDN专线，其中0/0端口为NAT内部接口，0/1端口为NAT的外部接口。配置如下：interfacefastethernet0/0ipaddress5452ipnatinsideinterfacefastethernet0/1ipaddress5452ipnatoutsideipnatpooldianxin50netmask24//设置对外访问地址iproute53//配置默认路由iproute53//配置静态路由access–list100permitip55any//指定NAT范