郭建忠，侯仁平，徐全富，韓紅哲

(1. 天津科技大學(xué)信息化建設(shè)與管理辦公室，天津 300457；2. 天津科技大學(xué)計(jì)算機(jī)科學(xué)與信息工程學(xué)院，天津 300222；3.天津科技大學(xué)理學(xué)院，天津 300457)

我國的網(wǎng)絡(luò)接入單位在使用過程中存在聯(lián)通、電信、教育科研網(wǎng)等各大互聯(lián)網(wǎng)服務(wù)提供商(internet service provider，ISP)網(wǎng)絡(luò)互聯(lián)互通瓶頸問題．部分研究方案[1–2]解決了互聯(lián)互通，但其或?yàn)閰⒖寄Ｐ突蚓窒抻?Linux系統(tǒng)；文獻(xiàn)[3]利用網(wǎng)絡(luò)設(shè)備進(jìn)行部署，但是其策略路由沒有考慮鏈路備份．而且，上述文獻(xiàn)都沒把單位內(nèi)部服務(wù)器通過智能DNS進(jìn)行多出口發(fā)布．文獻(xiàn)[4]雖然實(shí)現(xiàn)了多出口網(wǎng)絡(luò)，并且做了服務(wù)器多出口發(fā)布，但是也沒有考慮鏈路備份和負(fù)載分擔(dān)．

針對以上問題，本文對多ISP接入進(jìn)行研究，將出口設(shè)備與智能DNS相結(jié)合，以期較好地解決各大ISP網(wǎng)絡(luò)互聯(lián)互通瓶頸，提高內(nèi)外網(wǎng)用戶訪問網(wǎng)絡(luò)資源的速度，避免沒有線路冗余路由備份發(fā)生的單點(diǎn)故障．

1 多ISP網(wǎng)絡(luò)接入的問題及解決方法

在多ISP網(wǎng)絡(luò)出口接入的研究中，需要解決4個(gè)問題：(1)接入單位如何實(shí)現(xiàn)接入多 ISP網(wǎng)絡(luò)；(2)接入單位接入多 ISP網(wǎng)絡(luò)后如何提高內(nèi)網(wǎng)用戶外網(wǎng)網(wǎng)絡(luò)資源訪問速度和使用效率；(3)接入單位接入多ISP網(wǎng)絡(luò)后如何避免單點(diǎn)故障；(4)如何利用各 ISP所分IP地址做內(nèi)網(wǎng)服務(wù)器智能DNS多出口發(fā)布．網(wǎng)絡(luò)拓?fù)涫疽鈭D見圖1．

圖1 網(wǎng)絡(luò)拓?fù)涫疽鈭DFig.1 Figure of network topology

解決問題 1可以采用在相應(yīng)網(wǎng)絡(luò)出口設(shè)備配置地址轉(zhuǎn)換(NAT)[5]的方法．地址轉(zhuǎn)換的機(jī)制就是將園區(qū)網(wǎng)內(nèi)網(wǎng)主機(jī)的IP 地址和端口轉(zhuǎn)換為ISP分配的公有IP 地址和端口，即＜內(nèi)網(wǎng)IP地址＋端口＞與＜公有地址＋端口＞之間的轉(zhuǎn)換．

解決問題 2首選是申請自治域(AS)號碼后使用邊界網(wǎng)關(guān)動態(tài)路由協(xié)議，但是目前大部分接入單位無法申請到自治域(AS)號碼，所以路由協(xié)議不得不選擇靜態(tài)路由協(xié)議．利用各ISP IP地址聚合結(jié)果，設(shè)置靜態(tài)路由指定到哪個(gè)ISP的數(shù)據(jù)就走對應(yīng)的鏈路，其余未知IP地址利用等值的缺省路由指向各運(yùn)營商出口．這樣就避免了 ISP互聯(lián)互通瓶頸，實(shí)現(xiàn)了園區(qū)網(wǎng)出口流量的負(fù)載分擔(dān)，提高了園區(qū)網(wǎng)用戶訪問外網(wǎng)和外網(wǎng)用戶訪問園區(qū)網(wǎng)內(nèi)網(wǎng)服務(wù)器的訪問速度．

解決問題3的方法是將每條靜態(tài)路由、缺省路由與對應(yīng)運(yùn)營商自動偵測組進(jìn)行綁定．自動偵測[6](auto detect)是一種利用 ICMP[7]Request/Reply 報(bào)文，定期檢測網(wǎng)絡(luò)連通狀況的功能；自動偵測的對象是偵測組中目的 IP 地址集合，偵測結(jié)果反映了當(dāng)前網(wǎng)絡(luò)的連通狀態(tài)，即目的主機(jī)是否可達(dá)，從而保證設(shè)備能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的問題，并產(chǎn)生相應(yīng)動作．用戶可以將某條靜態(tài)路由和某個(gè)偵測組進(jìn)行綁定，利用自動偵測的返回結(jié)果來控制靜態(tài)路由的有效性：當(dāng)偵測組可達(dá)時(shí)，靜態(tài)路由生效；當(dāng)偵測組不可達(dá)時(shí)，靜態(tài)路由無效．如果某一個(gè) ISP的鏈路出現(xiàn)故障，綁定了自動偵測組的靜態(tài)路由和缺省路由自動切換到另一個(gè) ISP的鏈路，實(shí)現(xiàn)了鏈路備份．這樣可以降低園區(qū)網(wǎng)接入互聯(lián)網(wǎng)單點(diǎn)故障的風(fēng)險(xiǎn)，從而提高了園區(qū)網(wǎng)運(yùn)行的健壯性．

解決問題 4時(shí)采用的方法是將園區(qū)網(wǎng)中 DNS[8]服務(wù)器配置成智能 DNS，針對不同 ISP的外網(wǎng)用戶返回園區(qū)網(wǎng)內(nèi)網(wǎng)各服務(wù)器不同 ISP的 IP地址，園區(qū)網(wǎng)出口設(shè)備作服務(wù)器內(nèi)網(wǎng) IP地址、端口與對應(yīng)的ISP IP地址、端口的NAT靜態(tài)轉(zhuǎn)換．外網(wǎng)用戶在訪問園區(qū)網(wǎng)服務(wù)器時(shí)數(shù)據(jù)包通過對應(yīng)ISP的線路，這樣就避免了外網(wǎng)用戶在訪問園區(qū)網(wǎng)內(nèi)網(wǎng)服務(wù)器時(shí) ISP之間互聯(lián)互通瓶頸，并且實(shí)現(xiàn)了多出口負(fù)載分擔(dān)．DNS服務(wù)軟件BIND 9[9]以上版本的視圖[10](View)功能可以實(shí)現(xiàn)對不同 ISP用戶返回相應(yīng) ISP所分服務(wù)器的IP地址，視圖功能允許域名服務(wù)器根據(jù)查詢者 DNS服務(wù)器源地址而有區(qū)別地應(yīng)答 DNS查詢，每個(gè)視圖定義了一個(gè)在用戶子集中可見的 DNS名稱空間，通過在多個(gè)視圖中定義同一個(gè)域，不同的域數(shù)據(jù)按照視圖語句的順序可以傳遞給不同的用戶．

2 多ISP網(wǎng)絡(luò)接入的相關(guān)配置

2.1 園區(qū)網(wǎng)出口設(shè)備NAT配置

2.1.1 內(nèi)網(wǎng)用戶IP地址NAT配置

利用各 ISP所分 IP地址作為地址池，為園區(qū)網(wǎng)內(nèi)網(wǎng)用戶IP地址做NAT轉(zhuǎn)換，配置過程如下：

(1)配置NAT地址池[6]：

nat address-group 2 2.2.2.5 2.2.2.30

(2)配置園區(qū)網(wǎng)內(nèi)網(wǎng)允許NAT轉(zhuǎn)換IP地址范圍的訪問控制列表：

acl number 3,000 rule 0 permit ip source 1.1.0.0 0.0.15.255 rule 1 deny ip

(3)在園區(qū)網(wǎng)出口設(shè)備連接相應(yīng)ISP接口下配置NAT轉(zhuǎn)換：

nat outbound 3,000 address-group 2

2.1.2 服務(wù)器IP地址NAT配置

利用各 ISP所分 IP地址作為轉(zhuǎn)換地址，為園區(qū)網(wǎng)內(nèi)網(wǎng)服務(wù)器IP地址作NAT轉(zhuǎn)換，配置過程如下：

nat server protocol tcp global 2.2.2.4 inside 1.1.2.2 www

其他 ISP NAT配置與上述配置過程一樣，只需將ISP所分IP地址、服務(wù)器IP地址做對應(yīng)替換即可．

2.2 園區(qū)網(wǎng)出口設(shè)備的路由配置

2.2.1 靜態(tài)路由配置

(1)配置對 ISP鏈路進(jìn)行自動偵測的自動偵測組[6]1：

detect-group 1

detect-list 1 ip address 1.1.1.1

以上地址 1.1.1.1為 ISP的網(wǎng)關(guān)地址，根據(jù)實(shí)際組網(wǎng)情況可以修改成 ISP網(wǎng)絡(luò)中某個(gè) ICMP報(bào)文可達(dá)的IP地址，以偵測網(wǎng)絡(luò)路徑更遠(yuǎn)的ISP網(wǎng)絡(luò)設(shè)備，從而避免ISP內(nèi)部網(wǎng)絡(luò)故障．同樣可以配置其他ISP自動偵測組 detect-group 2 和 detect-group 3．

(2)配置靜態(tài)路由[6]與自動偵測組關(guān)聯(lián)，使訪問ISP1的流量優(yōu)先通過ISP1的出口鏈路，其他ISP出口鏈路作為備份．在具體配置過程中可以用各ISP實(shí)際網(wǎng)關(guān)地址替換地址 1.1.1.1、2.2.2.1和 3.3.3.1，配置示例：

ip route-static 58.192.0.0 255.240.0.0 1.1.1.1 preference 60 detect-group 1

ip route-static 58.192.0.0 255.240.0.0 2.2.2.1 preference 90 detect-group 2

ip route-static 58.192.0.0 255.240.0.0 3.3.3.1 preference 120 detect-group 3

2.2.2 缺省路由配置

配置三條等值缺省路由，在互為備份的基礎(chǔ)上實(shí)現(xiàn)負(fù)載分擔(dān)：

ip route-static 0.0.0.0 0.0.0.0 1.1.1.1 preference 200 detect-group 1

ip route-static 0.0.0.0 0.0.0.0 2.2.2.1 preference 200 detect-group 2

ip route-static 0.0.0.0 0.0.0.0 3.3.3.1 preference 200 detect-group 3

2.2.3 策略路由配置

如果園區(qū)網(wǎng)內(nèi)網(wǎng)服務(wù)器或者用戶IP地址需要通過指定ISP出口進(jìn)行數(shù)據(jù)傳輸，可以利用園區(qū)網(wǎng)網(wǎng)絡(luò)出口設(shè)備設(shè)置相應(yīng)策略路由[6]實(shí)現(xiàn)．

(1)配置園區(qū)網(wǎng)內(nèi)網(wǎng)允許通過某 ISP出口進(jìn)行數(shù)據(jù)傳輸?shù)膬?nèi)網(wǎng)IP地址范圍訪問控制列表[6]：

acl number 3002

rule 0 permit ip source 1.1.2.1 0

……

rule 12 permit ip source 1.1.12.12 0.0.0.7(2)配置策略路由 FaBu，實(shí)現(xiàn)園區(qū)網(wǎng)內(nèi)網(wǎng)允許通過某ISP出口進(jìn)行數(shù)據(jù)傳輸：

route-policy FaBu permit node 0

if-match acl 3002

apply ip-address next-hop 1.1.1.1

(3)在網(wǎng)絡(luò)出口設(shè)備中與核心交換機(jī)對應(yīng)的接口上起用策略路由FaBu：

ip policy route-policy FaBu

2.3 智能DNS服務(wù)器配置

2.3.1 智能DNS服務(wù)器視圖配置

通過在DNS服務(wù)軟件BIND 9配置多個(gè)視圖，實(shí)現(xiàn)智能 DNS功能，可以實(shí)現(xiàn)對不同 ISP用戶返回相應(yīng) ISP所分服務(wù)器的 IP地址．BIND配置文件named.conf[11]中關(guān)于視圖功能的配置如下：

view "internal" {

match-clients { 1.1.0.0/20；11.11.0.0/19；}；//此處為內(nèi)網(wǎng)IP地址范圍

zone "test.com" {

type master；

file "zone.test.internal"；}；

zone "2.1.1.in-addr.arpa" {

type master；

file "zone.test.internal.rev"；}；

}；

其他 ISP對應(yīng)的視圖也按照上述格式配置，在match-clients中將ISP對應(yīng)的所有IP地址聚合結(jié)果寫入即可．在最后一個(gè)視圖中，設(shè)置 match-clients 中的 IP地址范圍為 any，匹配所有未知 IP地址，配置域名對應(yīng)的正向、反向解析．

2.3.2 智能DNS服務(wù)器域名正向解析配置

域名正向解析配置文件 zone.test.internal中的www服務(wù)器配置：

www IN A 1.1.2.2

2.3.3 智能DNS服務(wù)器域名反向解析配置

反向解析配置文件 zone.test.internal.rev中的www服務(wù)器配置：

2 IN PTR www.test.com.

域名對應(yīng)的其他 ISP正向和反向解析配置與文件zone.test.internal和zone.test.internal.rev類似．

2.4 多出口部署后數(shù)據(jù)測試結(jié)果

外網(wǎng)用戶測試服務(wù)器結(jié)果分為兩種情況：服務(wù)器只從一個(gè)ISP發(fā)布；服務(wù)器做多ISP發(fā)布．聯(lián)通用戶ping命令測試結(jié)果見表1．

表1 測試結(jié)果Tab.1 Test results

由表 1數(shù)據(jù)分析可知，服務(wù)器做多出口發(fā)布后，數(shù)據(jù)包丟包率減小，平均延時(shí)減小，路由跳數(shù)減少，服務(wù)器提供網(wǎng)絡(luò)服務(wù)質(zhì)量明顯改善．園區(qū)網(wǎng)內(nèi)網(wǎng)用戶訪問服務(wù)器過程和外網(wǎng)用戶訪問服務(wù)器的過程一樣，網(wǎng)絡(luò)服務(wù)質(zhì)量和健壯性同樣明顯改善，方案實(shí)施后得到了內(nèi)網(wǎng)外網(wǎng)用戶良好評價(jià)．

3 結(jié) 語

在多 ISP網(wǎng)絡(luò)接入的研究中，利用地址轉(zhuǎn)換(NAT)、自動偵測、靜態(tài)路由、缺省路由、智能 DNS等技術(shù)實(shí)現(xiàn)了單位用戶接入多ISP網(wǎng)絡(luò)，提高了內(nèi)網(wǎng)用戶外網(wǎng)資源的訪問速度和使用效率，避免了單一ISP出口容易出現(xiàn)單點(diǎn)故障，利用各ISP所分IP地址做內(nèi)網(wǎng)服務(wù)器發(fā)布，有效地提高了外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器的速度和效率．

在實(shí)踐過程中，各出口 NAT設(shè)置應(yīng)在物理或者邏輯上的同一個(gè)設(shè)備上部署，以免外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器時(shí)數(shù)據(jù)包路由走向不一致，無法建立 TCP連接而不能訪問服務(wù)器．應(yīng)將電子郵件服務(wù)器所使用的各ISP IP地址在上級IP地址管理機(jī)構(gòu)做域名反向解析，避免由于反垃圾郵件策略限制而造成用戶電子郵件收發(fā)不正常．適當(dāng)將 NAT地址池加大，可以提高 NAT轉(zhuǎn)換性能，為園區(qū)網(wǎng)用戶提供高效的網(wǎng)絡(luò)接入服務(wù)．為了優(yōu)化網(wǎng)絡(luò)接入，應(yīng)將 DNS服務(wù)器利用各 ISP分配的 IP地址在上級域名注冊機(jī)構(gòu)進(jìn)行注冊，這樣互聯(lián)網(wǎng) DNS服務(wù)器在解析內(nèi)網(wǎng)服務(wù)器域名時(shí)可以通過各 ISP的網(wǎng)絡(luò)和 DNS服務(wù)器進(jìn)行通信，可以解決某 ISP網(wǎng)絡(luò)接入出現(xiàn)故障而無法解析接入單位域名的問題．

［1］ 王彬，何文娟. 多出口多尋址模式的網(wǎng)絡(luò)設(shè)計(jì)[J]. 計(jì)算機(jī)工程，2007，33(21)：259–261.

［2］ 梁可結(jié)，魏文紅，王高才. 一種有效的網(wǎng)絡(luò)多出口流量調(diào)度方案[J]. 計(jì)算機(jī)工程，2010，36(5)：117–121.

［3］ 王春麗，楊金艷. 運(yùn)用策略路由解決網(wǎng)絡(luò)多出口問題[J]. 鐵道通信信號，2010，46(5)：70–72.

［4］ 蔡昭權(quán). 策略路由和動態(tài) DNS 在校園網(wǎng)中的應(yīng)用[J].計(jì)算機(jī)工程與設(shè)計(jì)，2005，26(5)：1396–1398.

［5］ wikipedia. Network address translation[EB/OL]. 2012-03-02. http：//en. wikipedia. org/wiki/Network_ address_translation.

［6］ 杭州華三通信技術(shù)有限公司．Comware V3操作手冊[EB/OL]. 2007-12-18. http：//www.h3c.com.cn/Service/Document_Center/Routers/Catalog/AR_46/AR_46/Confiure/Operation_Manual/AR_46_OM%28V3.11%29/.

［7］ wikipedia. Internet Control Message Protocol[EB/OL].2012-03-18. http：//en.wikipedia.org/wiki/Internet_Control_Message_Protocol.

［8］ wikipedia. Domain Name System[EB/OL]. 2012-03-20. http：//en.wikipedia.org/wiki/Domain_Name_System.

［9］ Internet Systems Consortium. BIND[EB/OL]. 2012-02-29. http：//www.isc.org/software/bind.

［10］ ChinaUnix. Bind9 View 底下的 master/slave 設(shè)定方案[EB/OL]. 2008-09-27. http：//www.chinaunix.net/jh/16/308556. html.

［11］ Internet Systems Consortium. BIND 9. 8. 1 Administrator Reference Manual[EB/OL]. 2011-10-19. https：//deepthought.isc.org/article/AA-00499/116/BIND-9.8.1-Administrator-Reference-Manual. html.