李文池，楊世平

（1.貴州大學(xué)，貴州 貴陽 550000；2.貴州電子信息職業(yè)技術(shù)學(xué)院，貴州 凱里 556000）

采用雙出口的校園網(wǎng)的技術(shù)分析及實(shí)現(xiàn)

李文池1,2，楊世平1

（1.貴州大學(xué)，貴州 貴陽 550000；2.貴州電子信息職業(yè)技術(shù)學(xué)院，貴州 凱里 556000）

針對雙出口校園網(wǎng)絡(luò)提出一種采用靜太路由、NAT、源地址策略路由技術(shù)的綜合解決措施方案，主要解決了網(wǎng)絡(luò)流量分配和通過雙出口訪問校園網(wǎng)服務(wù)器的問題.

雙出口；靜態(tài)路由；策略路由；NAT

1 引言

在很多高校的校園網(wǎng)建設(shè)中，基于訪問速度、資源利用情況和費(fèi)用的考慮，在接入教科網(wǎng)的同時(shí)，還會選擇其他ISP接入方式.通常情況下，當(dāng)校園網(wǎng)中采用雙出口時(shí)，要求對原有的用戶的影響應(yīng)盡可能少，即任何客戶端IP地址設(shè)置都不用修改，使用戶能正常訪問網(wǎng)絡(luò)；當(dāng)用戶訪問教科網(wǎng)的網(wǎng)站時(shí)，走經(jīng)由連接到教科網(wǎng)的出口，訪問其他網(wǎng)站包括國外站點(diǎn)時(shí)，走經(jīng)由連接到其他ISP的出口；外部公眾網(wǎng)的用戶訪問校園網(wǎng)的Web、FTP、Mail、DNS等服務(wù)器時(shí)，即可以通過教科網(wǎng)提供的IP地址訪問，也可以通過其他ISP提供的IP地址訪問.

2 存在的問題分析

圖2-1所示為校園網(wǎng)采用雙出口時(shí)的網(wǎng)絡(luò)連接拓?fù)鋱D.這樣的連接通常會帶來兩個(gè)方面的問題，一方面是內(nèi)部用戶訪問外網(wǎng)時(shí)如何分流，另一方面就是對外發(fā)布的服務(wù)（如WEB服務(wù)）如何提供給外部訪問的問題.

圖2-1 網(wǎng)絡(luò)連接拓?fù)鋱D

當(dāng)內(nèi)部用戶訪問外部網(wǎng)絡(luò)時(shí)，考慮到通過教科網(wǎng)訪問其外的網(wǎng)絡(luò)流量要收費(fèi)，且訪問速度沒有其他ISP快，所以一般要求所有目的地址為教科網(wǎng)的訪問流量走教科網(wǎng)，其他流量走聯(lián)通網(wǎng).

WEB服務(wù)器同時(shí)使用教科網(wǎng)和聯(lián)通網(wǎng)對外發(fā)布，當(dāng)客戶機(jī)位于教科網(wǎng)，訪問WEB服務(wù)時(shí)訪問的是聯(lián)通網(wǎng)提供的IP地址，發(fā)出的數(shù)據(jù)包會從GE2進(jìn)入，而返回的數(shù)據(jù)包會從ETH0出來，當(dāng)任何一條鏈路故障時(shí)，都將無法正常訪問服務(wù)器.當(dāng)客戶機(jī)位于教科網(wǎng)以外，訪問WEB服務(wù)時(shí)訪問的是教科網(wǎng)提供的IP，也會有同樣的問題出現(xiàn).即便網(wǎng)絡(luò)鏈路正常，對服務(wù)器的訪問也存在不確定性因素.要解決以上問題，需要保證當(dāng)外部客戶機(jī)訪問服務(wù)器的數(shù)據(jù)包從那一個(gè)接口進(jìn)入內(nèi)部網(wǎng)絡(luò)就應(yīng)從該接口返回.

3 網(wǎng)絡(luò)接入基本技術(shù)

3.1 靜態(tài)路由與默認(rèn)路由

靜態(tài)路由就是手工配置的路由，使得數(shù)據(jù)包能夠按照設(shè)定的路徑傳送到指定的目標(biāo)網(wǎng)絡(luò).如果路由器遇到?jīng)]有確切路由的數(shù)據(jù)包時(shí)，通常是按照設(shè)定的默認(rèn)路由進(jìn)行傳送，默認(rèn)路由是一種特殊的靜態(tài)路由.

3.2 策略路由

基于策略的路由不僅能夠根據(jù)目的地址，而且能夠根據(jù)協(xié)議類型、報(bào)文大小、應(yīng)用、IP源地址或者其它的策略來選擇轉(zhuǎn)發(fā)路徑.策略可以根據(jù)實(shí)際應(yīng)用的需要進(jìn)行定義來控制多個(gè)路由器之間的負(fù)載均衡、單一鏈路上報(bào)文轉(zhuǎn)發(fā)的QoS或者滿足某種特定需求.

3.3 NAT

NAT即網(wǎng)絡(luò)地址轉(zhuǎn)換，是用于解決內(nèi)部網(wǎng)絡(luò)連接到公共網(wǎng)絡(luò)時(shí)的一種地址變換技術(shù).通常在內(nèi)部網(wǎng)絡(luò)中使用私有IP地址，當(dāng)內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)與公共網(wǎng)絡(luò)中的計(jì)算機(jī)通信時(shí)，NAT設(shè)備將內(nèi)部網(wǎng)絡(luò)私有地址轉(zhuǎn)換成公共網(wǎng)絡(luò)上合法的IP地址，使通信能正常進(jìn)行.NAT有三種常用類型：

靜態(tài)NAT：按照一一對應(yīng)的方式將每個(gè)內(nèi)部IP地址轉(zhuǎn)換為一個(gè)外部IP地址，這種方式經(jīng)常用于內(nèi)部網(wǎng)的服務(wù)器需要能夠被外部網(wǎng)絡(luò)訪問到時(shí).

動態(tài)NAT：將一個(gè)內(nèi)部IP地址轉(zhuǎn)換為一組外部IP地址（地址池）中的一個(gè)IP地址，這種轉(zhuǎn)換不是固定的，而是動態(tài)的.

超載（Overloading）NAT（也稱為 NAPT）：是動態(tài) NAT的一種實(shí)現(xiàn)形式，在轉(zhuǎn)換時(shí)利用了端口號，將[內(nèi)部IP地址，端口號]轉(zhuǎn)換為[外部IP地址，端口號]，使得只用少量的外部IP地址就可以支持內(nèi)部網(wǎng)絡(luò)大量的客戶端.

4 技術(shù)解決方案

對于內(nèi)部用戶訪問外網(wǎng)時(shí)如何分流的問題，通常在出口設(shè)備上設(shè)置默認(rèn)路由和靜態(tài)路由，并配合NAT和ACL來實(shí)現(xiàn).設(shè)置靜態(tài)路由，使得所有訪問目的地址為教科網(wǎng)的流量，經(jīng)由接口ETH0走，目的地址為非教科網(wǎng)的流量經(jīng)由接口GE2走.在接口GE0->ETH0，GE0->GE2方向設(shè)置源址NAPT.

對于WEB服務(wù)器的問題，需要保證當(dāng)外部客戶機(jī)訪問服務(wù)器的數(shù)據(jù)包從那一個(gè)接口進(jìn)入內(nèi)部網(wǎng)絡(luò)就應(yīng)從該接口返回.可以采用源IP地址的策略路由技術(shù)來解決這個(gè)問題，基于源IP地址的策略允許根據(jù)IP包的始發(fā)地做出路由選擇，在WEB服務(wù)器上設(shè)兩IP地址，一個(gè)IP地址做靜態(tài)NAT映射到教科網(wǎng)提供的公網(wǎng)IP地址，另一個(gè)IP地址做靜態(tài)NAT映射到聯(lián)通網(wǎng)提供的IP地址，這樣，就可以由使得返回的數(shù)據(jù)包由服務(wù)器的IP地址來確定是走哪一個(gè)接口出去.

內(nèi)部用戶訪問外網(wǎng)的主要配置如下：

5 總結(jié)

在校園網(wǎng)出口節(jié)點(diǎn)位置采用了四端口防火墻，綜合運(yùn)用了靜態(tài)路由、NAPT、靜態(tài)NAT和策略路由技術(shù)，解決了網(wǎng)絡(luò)訪問流量的問題，充分整合了教科網(wǎng)和本地ISP的優(yōu)勢資源，有效控制了網(wǎng)絡(luò)使用費(fèi)用，減少了網(wǎng)絡(luò)設(shè)備和服務(wù)器數(shù)量，降低了網(wǎng)絡(luò)建設(shè)成本，比較理想的解決了校園網(wǎng)雙出口的問題.

〔1〕（美）Richard Froom.CCNP 學(xué)習(xí)指南：組建 Cisco 多層交換網(wǎng)絡(luò)(BCMSN).人民郵電出版社，2007.

〔2〕（美）Diane Teare.CCNP學(xué)習(xí)指南：組建可擴(kuò)展的Cisco互連網(wǎng)絡(luò)(BSCI).人民郵電出版社，2007.

〔3〕廖淑華.策略路由技術(shù)在多出口網(wǎng)絡(luò)中的應(yīng)用.吉林師范大學(xué)學(xué)報(bào)(自然科學(xué)版),2010(02).

〔4〕趙秋菊.多出口校園網(wǎng)絡(luò)的路由與防火策略.電腦知識與技術(shù),2009(06).

TP393.18

A

1673-260X（2012）02-0031-02

貴陽市科學(xué)技術(shù)計(jì)劃項(xiàng)目，[2009］，科2合同字第1-052號