鐘锃光

（廈門大學(xué)經(jīng)濟學(xué)院教學(xué)實驗中心，福建廈門361005）

動態(tài)源地址路由在校園網(wǎng)管理中的應(yīng)用

鐘锃光

（廈門大學(xué)經(jīng)濟學(xué)院教學(xué)實驗中心，福建廈門361005）

本文作者結(jié)合工作實踐，介紹了Router OS提供的動態(tài)策略路由在配置校園網(wǎng)中的應(yīng)用，并特別介紹了幾種基于動態(tài)源地址路由的常見疑難問題解決方案。

Router OS；校園網(wǎng)配置；策略路由；源地址路由

一、典型的雙網(wǎng)環(huán)境

目前高校的校園網(wǎng)絡(luò)通常接入中國教育和科研計算機網(wǎng)（CERNET），但是基于網(wǎng)絡(luò)速度、互聯(lián)互通、城域網(wǎng)共享等因素，部分高校校園網(wǎng)絡(luò)還接入了本地的電信運營商網(wǎng)絡(luò)。

圖 典型的校園網(wǎng)雙網(wǎng)環(huán)境拓撲

這種雙網(wǎng)環(huán)境帶來了路由問題，經(jīng)過路由器的數(shù)據(jù)包要發(fā)送到哪一個出口？這就需要用到策略路由。策略路由是一種基于路由表來決定如何對需要路由的數(shù)據(jù)包進行處理的機制，路由表決定了一個數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)路由器。

1.目的地址路由

一種策略路由是根據(jù)路由的目的地址來進行的，稱為目的地址路由，目的地址路由已經(jīng)被廣泛支持，所以通常雙網(wǎng)環(huán)境的路由方案是根據(jù)CERNET的范圍，按照目標地址設(shè)定路由表：

/ip route

add dst-address=222.202.96.0/24 gateway=1.1.1.1 scope=255 target-scope=10

comment=""disabled=no

add dst-address=0.0.0.0/0 gateway=2.2.2.2 scope=255 target-scope=10

comment=""disabled=no

該配置設(shè)定：如果目標是222.202.96.0/24，數(shù)據(jù)包轉(zhuǎn)發(fā)給CERNET路由器1.1.1.1，否則一律轉(zhuǎn)發(fā)給電信網(wǎng)路由器2.2.2.2。

2.源地址路由

另一種策略路由是根據(jù)數(shù)據(jù)包源地址來進行策略實施的，稱為源地址路由。而支持源地址路由的軟硬件較少，只有部分昂貴的專業(yè)路由器才提供該項支持。而Router OS作為一種廉價路由器，基于強大的Linux內(nèi)核，給用戶提供了一種實現(xiàn)源地址路由的方式，這大大方便了復(fù)雜環(huán)境下校園網(wǎng)的管理工作。

大多數(shù)高級路由器提供的源地址路由工作還只能按照源地址做簡單匹配判斷。然而Router OS提供了IPtables的mangle（標記）機制，可以在路由分配前根據(jù)數(shù)據(jù)包的各種性質(zhì)加以標記，然后在路由分配時，根據(jù)路由表中對各種標記設(shè)置的下一跳路由進行轉(zhuǎn)發(fā)，這種方法極為強大和靈活。

二、校園網(wǎng)常見疑難問題的解決方案

1.按源地址分配出口

校園網(wǎng)管理中的一個常見需求就是按照地址來源分配出口。例如本文網(wǎng)絡(luò)拓撲中172.16.1.0/24為教師工作室，172.16.2.0/24為學(xué)生宿舍，要求教師工作室缺省路由改為2.2.2.2使用電信出口。

/ip firewallmangle

add chain=prerouting src-address=172.16.1.0/24 action=mark-routing

new-routing-mark=teacherStudio passthrough=yes comment=""disabled=no

在路由分配前給來自172.16.1.0/24的數(shù)據(jù)包加上標記teacherStudio

/ip route

add dst-address=0.0.0.0/0 prefsrc=0.0.0.0 gateway=2.2.2.2

check-gateway=ping distance=0 scope=255 targetscope=10

routing-mark=teacherStudio comment=""disabled=no

在路由分配時根據(jù)路由標記查詢路由表，把標記為teacherStudio的數(shù)據(jù)包送往電信路由器2.2.2.2。

2.在圖書館資源訪問控制中的應(yīng)用

高校購買的學(xué)術(shù)數(shù)據(jù)庫資源一般是按照用戶IP授權(quán)的，這就要求管理員設(shè)定路由表，保證訪問數(shù)據(jù)庫資源的數(shù)據(jù)包通過CERNET路由器1.1.1.1。為了解決這個問題，筆者查詢了各數(shù)據(jù)庫資源的IP地址并編入了靜態(tài)路由表。但是隨著數(shù)據(jù)庫資源的增多、數(shù)據(jù)庫資源本身IP的變化等，導(dǎo)致靜態(tài)路由表的方法難以管理、經(jīng)常失效，已不能滿足要求。經(jīng)調(diào)查發(fā)現(xiàn)訪問數(shù)據(jù)庫資源前，用戶都要訪問圖書館首頁，筆者根據(jù)這種用戶行為模式設(shè)計了一種動態(tài)策略：

/ip firewall mangle

add chain=prerouting dst-address=3.3.3.0/24 action= add-src-to-address-list

address-list=lib address-list-timeout=1h comment="" disabled=no

把所有訪問圖書館網(wǎng)段3.3.3.0/24的IP地址加入address list(地址表)lib中

/ip firewallmangle

add chain=prerouting src-address-list=lib action= mark-routing

new-routing-mark=lib passthrough=yes comment="" disabled=no

把所有源地址來自地址表lib中的數(shù)據(jù)庫加上標記lib

/ip route

add dst-address=0.0.0.0/0 gateway=1.1.1.1 scope=255 target-scope=10

routing-mark=lib comment=""disabled=no設(shè)定策略路由把標記為lib的數(shù)據(jù)包送往CERNET路由器1.1.1.1。這樣一旦用戶訪問圖書館首頁，所有數(shù)據(jù)包在address-list-timeout指定的時間內(nèi)都會自動被發(fā)送到CERNET路由，解決了數(shù)據(jù)庫訪問這個難題。

3.在P2P管制中的應(yīng)用

根據(jù)調(diào)查，校園網(wǎng)中80%的帶寬被20%的P2P用戶所占用。Router OS提供多種途徑解決P2P控制問題，可以使用防火墻過濾，也可以使用總體流量控制。

/ip firewall filter

add chain=forward P2P=all-P2P time=8h-19h,fri,thu, wed,tue,mon action=drop

comment="P2P"disabled=no

該命令設(shè)定在周一到周五，8點到19點間不轉(zhuǎn)發(fā)P2P數(shù)據(jù)包。經(jīng)過試驗，筆者發(fā)現(xiàn)防火墻配合基于標記和動態(tài)策略路由的方法最有效：

/ip firewallmangle

Add chain=prerouting src-address=172.16.0.0/16 P2P=all-P2P

time=8h-19h,fri,thu,wed,tue,mon action=add-srcto-address-list

address-list=P2P address-list-timeout=2h comment=""disabled=no

add chain=prerouting src-address-list=P2P action= mark-routing

new-routing-mark=P2P passthrough=yes comment=""disabled=no

周一到周五的8點到19點，使用任何P2P工具的IP被發(fā)現(xiàn)后會被記錄到address-list(地址池)P2P中,有效期2小時，來自地址池P2P的數(shù)據(jù)包被加上一個P2P路由標記。

/ip route

add dst-address=0.0.0.0/0 gateway=1.1.1.2 scope=255

target-scope=10

routing-mark=P2P comment=""disabled=no

在有效期內(nèi)，所有來自P2P地址池的數(shù)據(jù)包將被轉(zhuǎn)發(fā)到一個不存在的下一跳路由。這樣對P2P使用者是一種警告。如果不使用這種完全阻斷的方式，也可以把下一跳路由設(shè)置為一個較慢的路由器。同時Router OS也提供帶寬限制的方式。

三、結(jié)語

對于多個網(wǎng)絡(luò)出口校園網(wǎng)的管理者來說，經(jīng)常碰到各種難題，本文基于Router OS的動態(tài)路由管理機制，給出幾個常見問題的解決方案，希望能為高校網(wǎng)絡(luò)管理部門和技術(shù)人員提供參考。☉

[1]http://www.m ikrotik.com/[DB/OL]

[2]黎連業(yè),張維,向東明.路由器及其應(yīng)用技術(shù)[M].北京:清華大學(xué)出版社,2004.

[3]張新剛.淺析防火墻技術(shù)及其在高校校園網(wǎng)中的應(yīng)用[J]. (中國)教育信息化,2006(5).

[4]張彬,苗軍民,王東方.高校校園網(wǎng)出口的管控策略設(shè)計[J]. (中國)教育信息化,2007(4).

[5]http://www.edu.cn/xin_xi_zi_xun_1625/20100226/ t20100226_451443.shtm l.[DB/OL].

（編輯：隗爽）

book=9,ebook=36

TP393.07

B

1673-8454（2010）13-0009-02