摘要：新落成的江蘇廣電城將即將投入使用，江蘇廣電網(wǎng)站搬入大樓全新的IDC機(jī)房。與廣播、電視并列為江蘇廣電總臺三大宣傳陣地的廣電網(wǎng)站由于受困于中國南北方網(wǎng)絡(luò)瓶頸的限制，經(jīng)常造成網(wǎng)絡(luò)視音頻節(jié)目傳播不暢，所以同時接入電信和網(wǎng)通成為解決問題的必要手段。此文首先對IDC雙線路關(guān)鍵技術(shù)進(jìn)行了概述，然后著重介紹了根據(jù)防火墻接口地址制定策略路由、實(shí)現(xiàn)雙線路的方法。

關(guān)鍵詞：雙線路；智能DNS；基于鏈路接口的策略路由

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)30-0573-03

Brief Analysis of the IDC double Circuit Network plan of Jiangsu Broadcasting Website

ZHANG Hai-yong

(Jiangsu Broadcasting Corporation，Nanjing 210087，China)

Abstract: The newly constructed Jiangsu Radio City will be fully put into use， the Jiangsu Broadcasting Website have been moving into the new IDC room of the building. Because the website which is tied for the three media of Jiangsu Broadcasting Corporation with radio TV stalemated in Chinese North and South network bottleneck， it ofen caused the audio and video program to disseminate intermittently. It is necessary that the website links to the CHINA TELECOM and CNC Simultaneously for solving the problem. This article introduces the IDC double circuit technique firstly， then the realizing method according to the policy routing based on the firewall interface is emphasized.

Key words: double circuit; intelligent DNS; policy routing based on interface

1 引言

由于中國電信和中國網(wǎng)通分別運(yùn)營南方21省及北方10省互聯(lián)網(wǎng)骨干網(wǎng)，運(yùn)營商之間的網(wǎng)絡(luò)訪問瓶頸導(dǎo)致在南方和北方的網(wǎng)站互訪速度非常緩慢，地處中國電信的江蘇廣電網(wǎng)站一直深受此困擾。江蘇廣電網(wǎng)站以視頻新聞為主要宣傳特色，絕對唱響、名師高徒全國選秀類節(jié)目會讓網(wǎng)站訪問量突起，每逢此時中國北方網(wǎng)絡(luò)用戶訪問江蘇廣電網(wǎng)站就會遭受嚴(yán)重的網(wǎng)絡(luò)瓶頸制約。如果長此下去網(wǎng)站的事業(yè)傳播與發(fā)展必會受到影響，在這種情況下，采用IDC雙線路技術(shù)同時接入中國電信和中國網(wǎng)通已經(jīng)成為解決問題的必要手段。

2 問題的分析和提出

雙線路技術(shù)就是通過特殊的技術(shù)手段把不同的網(wǎng)絡(luò)接入商（ISP）服務(wù)接入到一個服務(wù)器集群或某一臺服務(wù)器上面，使服務(wù)器所提供的網(wǎng)絡(luò)服務(wù)訪問用戶能盡可能以本地所屬ISP連接來進(jìn)行訪問，從而解決或者減輕跨ISP用戶訪問網(wǎng)站的緩慢延遲(南北網(wǎng)絡(luò)瓶頸)問題。

傳統(tǒng)的做法采用雙線路雙網(wǎng)卡實(shí)現(xiàn)方式：在同一服務(wù)器上面配置雙網(wǎng)卡，分別連接兩個網(wǎng)絡(luò)服務(wù)提供商，在這兩塊網(wǎng)卡上設(shè)置一個網(wǎng)通IP和一個電信IP，在服務(wù)器上配置路由表實(shí)現(xiàn)訪問網(wǎng)通和電信的用戶各自走不同的通道。在網(wǎng)站上設(shè)置網(wǎng)通IP地址鏈接和電信IP地址鏈接，網(wǎng)通用戶和電信用戶分別點(diǎn)擊各自的IP訪問服務(wù)器。

此方式缺點(diǎn)：服務(wù)器接入的是雙網(wǎng)卡，需要由專業(yè)技術(shù)人員在服務(wù)器上設(shè)置路由表，在服務(wù)器數(shù)量很多是增加了維護(hù)量和維護(hù)的難度，而且所有數(shù)據(jù)包都要在服務(wù)上路由判斷后再發(fā)往網(wǎng)通或電信的網(wǎng)卡。若訪問量較大時，占用服務(wù)器的資源很大，導(dǎo)致網(wǎng)站性能降低。所以，此方式只能用于規(guī)模較小的網(wǎng)站。

江蘇廣電網(wǎng)站服務(wù)器有幾十臺之多，顯然不適合以上方案。結(jié)合自身特點(diǎn)， 考慮接入雙線路后，首先解決南北運(yùn)營商網(wǎng)絡(luò)瓶頸，提高網(wǎng)站訪問速度，使網(wǎng)通的用戶通過網(wǎng)通網(wǎng)絡(luò)訪問江蘇廣電網(wǎng)服務(wù)器，電信的用戶通過電信網(wǎng)絡(luò)訪問江蘇廣電網(wǎng)服務(wù)器。其次，能實(shí)現(xiàn)內(nèi)部上網(wǎng)用戶分流。由此產(chǎn)生的具體需求如下：

1) 每臺服務(wù)器對外只提供唯一的域名，單域名雙線路。

2) 每臺服務(wù)器對外都具有合法的電信和網(wǎng)通IP地址，所有服務(wù)器如WWW、FTP以及SMTP等都能被外部網(wǎng)絡(luò)正常訪問。

3) 網(wǎng)通和電信用戶以本地所屬ISP連接來進(jìn)行訪問。

4) 內(nèi)部員工上網(wǎng)通過雙線路自動識別目的IP的歸屬，走最近的線路訪問INTERNET，提高訪問速度。

5) 建立VLAN策略和入侵防御安全方案。

3 關(guān)鍵技術(shù)介紹

3.1 智能DNS

DNS的主要功能是將難記的IP地址和容易記憶的域名進(jìn)行轉(zhuǎn)換，當(dāng)用戶在瀏覽器中輸入主機(jī)域名時，DNS服務(wù)器可以將此名稱解析為與之對應(yīng)的IP地址。這種DNS上的域名解析一般是靜態(tài)的，即域名與IP地址是一一對應(yīng)的。

智能DNS 指的是基于一種策略，服務(wù)器根據(jù)請求解析的客戶端所處在的網(wǎng)絡(luò)，返回相應(yīng)的解析結(jié)果；或者是DNS 服務(wù)器根據(jù)客戶端所在網(wǎng)絡(luò)的不同，應(yīng)用不同的安全策略，比如對內(nèi)網(wǎng)用戶提供遞歸解析服務(wù)的同時忽略外網(wǎng)用戶的遞歸解析請求等。

3.2 策略路由

策略路由是基本路由功能的智能延伸，它不僅可以根據(jù)數(shù)據(jù)包目的地址、源地址、數(shù)據(jù)包大小等條件為依據(jù)來進(jìn)行路由選擇，還可以根據(jù)設(shè)備鏈路接口來選擇路由。在外網(wǎng)訪問內(nèi)網(wǎng)服務(wù)器（Inbound）中，多采用基于設(shè)備接口的策略路由；內(nèi)網(wǎng)訪問外網(wǎng)（Outbound）多采用基于目的地址的策略路由。策略路由可通過路由器、防火墻實(shí)現(xiàn)，配置策略路由通常包括以下幾個步驟：

1) 定義路由映射來控制數(shù)據(jù)包的出口；

2) 為定義的路由映射設(shè)置匹配標(biāo)準(zhǔn)；

3) 為與給定標(biāo)準(zhǔn)相符的數(shù)據(jù)包設(shè)定路由處理行為（選擇路由路徑）；

4) 為需要進(jìn)行策略路由的端口指定相應(yīng)的策略路由；

5) 設(shè)置相應(yīng)的訪問控制列表作為路由映射的匹配標(biāo)準(zhǔn)。

3.3 地址映射

地址映射（NAT）主要有兩種類型：動態(tài)映射及靜態(tài)映射，通常在路由器或網(wǎng)關(guān)上實(shí)現(xiàn)。其中靜態(tài)NAT是將內(nèi)網(wǎng)的每個IP永久映射為外網(wǎng)中的某個合法IP地址。而動態(tài)NAT則是在公眾網(wǎng)定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。本文采用靜態(tài)NAT方式讓內(nèi)網(wǎng)的每一臺服務(wù)器擁有電信和網(wǎng)通的2個公網(wǎng)IP，采用動態(tài)NAT方式讓內(nèi)網(wǎng)的上網(wǎng)用戶動態(tài)獲取電信（網(wǎng)通）地址池中的隨機(jī)地址。

4 關(guān)鍵配置與實(shí)現(xiàn)

此方案以防火墻為核心出口設(shè)備，采用4口的阿姆瑞特防火墻，一口接電信，一口接網(wǎng)通，一口接服務(wù)器區(qū)VLAN，一口接內(nèi)網(wǎng)用戶區(qū)VLAN。在防火墻和服務(wù)器區(qū)之間串接入侵防御系統(tǒng)IPS。網(wǎng)絡(luò)布局主要是采用三層交換機(jī)CISCO3560建立VLAN的VTP域，劃分多個VLAN。一方面根據(jù)需要制定VLAN之間的訪問控制策略，隔離服務(wù)器區(qū)和內(nèi)網(wǎng)區(qū)，于是連接服務(wù)器區(qū)的VLAN和連接內(nèi)網(wǎng)區(qū)的VLAN被隔離開來。另一方面采用端口劃分VLAN的方式使得調(diào)整服務(wù)器和內(nèi)網(wǎng)計(jì)算機(jī)數(shù)量變得非常便利，不會局限于某一臺交換機(jī)的物理位置和端口數(shù)量。如圖1所示。

4.1 防火墻的配置

防火墻作為核心出口設(shè)備，同時接入電信和網(wǎng)通兩路鏈路。上行和下行的網(wǎng)絡(luò)數(shù)據(jù)傳輸全部通過防火墻來路由，外網(wǎng)訪問服務(wù)器（Inbound）采用基于防火墻鏈路接口的策略路由，內(nèi)網(wǎng)訪問公網(wǎng)（Outbound）采用基于目的地址的策略路由。此方案采用阿姆瑞特防火墻實(shí)現(xiàn)雙鏈路路由功能。服務(wù)器的內(nèi)部地址為私有地址192.168.1.80-192.168.1.110，電信公網(wǎng)地址為218.94.74.1-32，網(wǎng)通公網(wǎng)地址為58.240.127.160-192。

1) 對于每一臺服務(wù)器，其電信和網(wǎng)通的兩個公網(wǎng)IP地址同時靜態(tài)映射到一個內(nèi)部IP上，以WWW服務(wù)器為例，配置如下：

NAME sat_216_網(wǎng)通

SATanyall-nets any58.240.127.180 webmail SETDEST192.168.1.80

NAME sat_216_電信

SATanyall-nets any218.94.74.20 webmail SETDEST 192.168.1.80

（SAT為靜態(tài)映射命令，58.240.127.180、218.94.74.20為網(wǎng)通和電信的公網(wǎng)IP地址，ebmail為預(yù)定義的端口，SETDEST 192.168.1.80表示指向目的IP，其它的服務(wù)器以此類推．．．．．．）

2) 對于外網(wǎng)訪問服務(wù)器采用基于防火墻鏈路接口的策略路由制定回路路由。即對于從電信鏈路來的訪問請求，回路路由走防火墻的電信鏈路接口；對于從網(wǎng)通鏈路來的請求，回路路由走防火墻的網(wǎng)通鏈路接口。主要配置命令如下：

電信用戶訪問內(nèi)部服務(wù)器的電信公網(wǎng)IP

NAME 電信_in ROUTE { RET tel_out }any all-nets any tel_net Standard；

ROUTES；

PBRTABLE tel_out ORDERING Default；

lan_電信接口all-nets218.94.74.1；（電信出口網(wǎng)關(guān)IP）

END．

（第1行命令通過RET tel_out指定回路路由為電信鏈路接口路由，tel_net表示被訪問的

電信IP網(wǎng)段，下面4行命令對電信鏈路接口路由進(jìn)行了描述。）

網(wǎng)通用戶訪問內(nèi)部服務(wù)器的網(wǎng)通公網(wǎng)IP

NAME 網(wǎng)通_in ROUTE { RET cnc_out } any all-nets any cnc_net Standard；

ROUTES；

PBRTABLE cnc_out ORDERING Default；

lan_網(wǎng)通接口all-nets58.240.127.165；（網(wǎng)通出口網(wǎng)關(guān)IP）

END．

（第1行命令通過RET cnc_out指定回路路由為網(wǎng)通鏈路接口路由，cnc_net表示被訪問

的網(wǎng)通IP網(wǎng)段，下面4行命令對網(wǎng)通鏈路接口路由進(jìn)行了描述。）

3) 內(nèi)部員工訪問外網(wǎng)采用基于目的地址的策略路由技術(shù)。在防火墻中設(shè)置電信和網(wǎng)通的IP地址表，對于目標(biāo)地址屬于電信的IP則從電信的鏈路進(jìn)行NAT后轉(zhuǎn)發(fā)；對于目標(biāo)地址屬于網(wǎng)通的IP則從網(wǎng)通的鏈路進(jìn)行NAT后轉(zhuǎn)發(fā)；對于目標(biāo)地址既不屬于電信也不屬于網(wǎng)通的通過電信出口轉(zhuǎn)發(fā)。主要配置如下：

NAME lan-out-telnet

NAT lan_內(nèi)網(wǎng) any Standard ICMPRet {}SETSRC 218.94.74.8

NAME Lan-out-other

NAT lan_內(nèi)網(wǎng) any all-nets All ICMPRet {} SETSRC 58.240.127.169

（電信_net代表所有電信IP地址段，NAT為電信接口地址轉(zhuǎn)發(fā)；all-nets代表所有非電信IP地址段，NAT為網(wǎng)通接口地址轉(zhuǎn)發(fā)。）

4.2 智能DNS配置

基于策略DNS 的解決思路就是首先架設(shè)DNS 服務(wù)器，配置相應(yīng)的策略：網(wǎng)通網(wǎng)絡(luò)所在的用戶請求域名解析，返回網(wǎng)通IP 的響應(yīng)，其他的則返回電信的IP 解析。

DNS 服務(wù)器架設(shè)本系統(tǒng)在linux 平臺下塔建，在linux 下安裝DNS 服務(wù)器軟件Berkeley 的BIND(Berkeley Internet Name Domain)，版本是9.3.2，BIND9以下版本沒法實(shí)現(xiàn)策略域名的功能，在9 以上版本添加了VIEW選項(xiàng)，可以根據(jù)不同的Client提供給不同的解析地址。

安裝好DNS 服務(wù)器后，就可以對其進(jìn)行配置，實(shí)現(xiàn)策略域名解析功能，以下為主要配置文件/etc/named.conf的主要內(nèi)容。

1) 定義一個訪問控制列表，把網(wǎng)通的IP 添加到表里：

ACL \"CNC\"

{ 58.16.0.0/16;202.99.208.0/15;

202.99.232.0/21;58.18.0.0/16;．．．．．．;

202.99.240.0/20;58.19.0.0/16;．．．．．．

};

2) 配置網(wǎng)通、電信的VIEW選項(xiàng)

VIEW \"CNC\"

{ match- clients {CNC;};

zone \"jsbc.com\" {type master;file \"db1.jsbc.com\";}; //網(wǎng)通解析文件。

VIEW \"ANY\" //定義網(wǎng)通以外其他VIEW文件

{ match- clients {any;};

zone \"jsbc.com\"{type master;file \"db2.jsbc.com\";};//電信及其它解析文件

配置完named.conf 文件后，還要指定db1.jsbc.com、db2.jsbc.com的A記錄，把www、mail等對應(yīng)不同的IP地址，配制才真正完成。

4.3 vlan配置

江蘇廣電網(wǎng)站服務(wù)器和員工辦公計(jì)算機(jī)數(shù)量眾多，考慮采用劃分VLAN的方式建立網(wǎng)絡(luò)安全架構(gòu)。由于服務(wù)器分布位置和辦公計(jì)算機(jī)的分布位置無法完全分開，所以正好適合采用基于端口劃分的vlan：三層交換機(jī)之間采用VTP域，以一臺3層交換機(jī)建立VTP server，其他的為VTP client。根據(jù)部門行政劃分的需要確定員工工作計(jì)算機(jī)vlan的數(shù)量，根據(jù)服務(wù)器不同的應(yīng)用類型確定服務(wù)器VLAN數(shù)量。VLAN使得服務(wù)器區(qū)和內(nèi)網(wǎng)隔離，同時端口的調(diào)整使得服務(wù)器和內(nèi)網(wǎng)計(jì)算機(jī)數(shù)量的調(diào)整變得非常便利，不會局限于某一臺交換機(jī)的端口數(shù)量。

1) 跨越多個交換機(jī)劃分VLAN，首先建立VTP域，一個交換機(jī)設(shè)置為VTP服務(wù)器，其余的設(shè)置為VTP客戶端，主要配置如下：

CISCO3560#vlan database//進(jìn)入VLAN配置模式

CISCO3560(vlan)#vtp server (client)//設(shè)置為VTP SERVER(client)

CISCO3560(vlan)#vtp domain JSBC//設(shè)置vtp域名

2) 創(chuàng)建VLAN

CISCO3560(vlan)#vlan 3 name OFFICE //創(chuàng)建VLAN3，命名為OFFICE

3) 基于端口劃分VLAN，

CISCO3560(config)#interface fastethernet0/2 //設(shè)置F0/2口靜態(tài)VLAN訪問模式CISCO3560(config-if)#switchport mode access

CISCO3560(config-if)#switchport access vlan 3//此口分配給VLAN3

5 結(jié)束語

江蘇廣電網(wǎng)站IDC雙線路方案，服務(wù)器全部采用單網(wǎng)卡方式，基于智能域名解析，通過防火墻分別對應(yīng)電信和網(wǎng)通

接入，由此減少了雙網(wǎng)卡方式帶來的麻煩，實(shí)現(xiàn)了安全高效的對外視音頻發(fā)布和內(nèi)部用戶訪問INTERNET，從而解決了不同運(yùn)營商造成的南北方網(wǎng)絡(luò)瓶頸問題。目前以江蘇廣電總臺《絕對唱響》海選節(jié)目和《抗震救災(zāi)》的視頻傳播為測試，取得了良好的效果。

參考文獻(xiàn)：

[1] 王世恭，李文化.基于雙出口校園網(wǎng)WEB訪問策略[J].農(nóng)業(yè)網(wǎng)絡(luò)信息，2007(5).

[2] 繆元照，孟中.校園雙出口方案探討[J].計(jì)算機(jī)與現(xiàn)代化，2004(1).

[3] 李則鳴.DC雙線路技術(shù)實(shí)現(xiàn)方法[J].計(jì)算機(jī)與現(xiàn)代化，2007(12).

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文