寸江濤　陶曉潔

【摘 要】提出了多出口校園網(wǎng)環(huán)境下路由器的多種配置，即地址轉換、默認路由、靜態(tài)路由、策略路由。旨在合理利用現(xiàn)有CERNET網(wǎng)絡及當?shù)囟鄠€ISP提供的網(wǎng)絡出口，提高校園網(wǎng)的出口帶寬和利用率，優(yōu)化了網(wǎng)絡配置。

【關鍵詞】校園網(wǎng)絡；ISP；設計與實現(xiàn)

0.引言

目前國內(nèi)大多數(shù)非省會城市高校普遍采用多出口方式實現(xiàn)其高速對外訪問，即一個通過中國教育科研網(wǎng)（CERNET）的低帶寬出口（地址列表可以參考地址：http：//www.cemic.net）和另一個或多個通過本地電信運營商的高帶寬出口，由于電信ISP和鐵通ISP（internet service provider網(wǎng)絡服務商）具有較高的接入帶寬且接入費用較低，可以極大的提高校園網(wǎng)網(wǎng)絡出口帶寬，于是我院選擇電信和鐵通作為第二、第三網(wǎng)絡出口，以達到既使用教育科研網(wǎng)的IP地址和域名解析，又能夠實現(xiàn)校內(nèi)用戶通過ISP運營商訪問外部資源和校外用戶高速訪問學校的www等服務器的目的。

1.校園網(wǎng)絡出口現(xiàn)狀分析

在校園網(wǎng)中使用兩個或多個網(wǎng)絡出口后，一般會有如下需求：

（1）在有限的本地ISP服務商提供的幾個合法公網(wǎng)IP地址情況下，不對任何客戶端做任何修改，就能使所有用戶正常訪問外網(wǎng)，使得校園網(wǎng)能夠正常工作。

（2）要求校園網(wǎng)客戶端用戶訪問CERNET的免費地址時，客戶端網(wǎng)絡出口能夠自動選擇為CERNET；而訪問其他網(wǎng)站（非CERNET站點）時，走當?shù)豂SP提供的網(wǎng)絡出口。

（3）要求校外的用戶通過網(wǎng)絡服務商能夠快速訪問校園網(wǎng)的Web、教務管理系統(tǒng)、Mail、DNS等服務器，即要求相關服務器使用ISP提供的合法IP地址。

2.目前我院網(wǎng)絡設備主要有

一臺華為NE20-4路由器、一臺清華得實NetST防火墻、一臺華三S9508核心交換機及若干臺H3CE352（48口）和H3CE328（24口）以太網(wǎng)交換機。

校園網(wǎng)絡結構圖如下：

保山學院校園網(wǎng)拓撲圖

綜合以上需求，要求校園網(wǎng)的核心網(wǎng)絡設備必須能夠根據(jù)客戶端源、目的IP地址或其它要求進行最合理的路由策略，來選用合適的網(wǎng)絡出口。

分析多ISP出口的學校網(wǎng)絡需求，發(fā)現(xiàn)在路由器上利用NAT技術和策略路由是最簡單而有效的方法。

3.路由器配置

3.1 NAT技術分類[1]

靜態(tài)NAT（Static NAT），靜態(tài)地址轉換是最簡單的一種轉換方式，它在NAT表中為本地地址和全局地址之間建立一個固定的一對一的映射。內(nèi)部網(wǎng)絡中的每個主機都被永久映射成外部網(wǎng)絡中的某個合法地址。這種方式主要用于服務器，以確保外部對該服務器的正確訪問。

動態(tài)NAT（Pooled NAT），動態(tài)地址轉換則是在外部網(wǎng)絡中定義了一系列的合法地址，其中的地址每次都會被動態(tài)地分配給內(nèi)部主機，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡。

端口級NAT（Port Address Translation），這種技術也稱為網(wǎng)絡地址端口轉換NAPT，它是把內(nèi)部地址映射到外部網(wǎng)絡中的一個單獨的IP地址上，同時在該地址上加一個由NAT設備選定的TCP端口號。即將內(nèi)部地址映射到外部網(wǎng)絡IP地址的不同端口上。

3.2 NAT的設置方法[2]

3.2.1靜態(tài)地址轉換基本配置步驟

（1）在內(nèi)部本地地址與內(nèi)部合法地址之間建立靜態(tài)地址轉換。

命令格式為：ip nat inside source static內(nèi)部本地地址 內(nèi)部合法地址

（2）指定連接網(wǎng)絡的內(nèi)部端口。

命令格式為：ip nat inside

（3）指定連接外部網(wǎng)絡的外部端口。

命令格式為：ip nat outside

3.2.2動態(tài)地址轉換基本配置步驟

（1）定義內(nèi)部合法地址池。

命令格式為：ip nat pool地址池名稱起始IP地址 終止IP地址子網(wǎng)掩碼

（2）定義一個標準的access—list規(guī)則以允許哪些內(nèi)部地址可以進行動態(tài)地址轉換。

命令格式為：auccess—list標號permit源地址通配符（其中標號為整數(shù)l-99）

（3）將由access—list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進行地址轉換。

命令格式為：ip nat inside source訪問列表標號pool內(nèi)部合法地址池名字

（4）指定與內(nèi)部網(wǎng)絡相連的內(nèi)部端口。

命令格式為：ip nat inside

（5）指定與外部網(wǎng)絡相連的外部端口。

命令格式為：ip nat outside

3.2.3端口地址轉換基本配置步驟

（1）定義內(nèi)部地址池。

命令格式為：ip nat pool地址池名稱起始IP地址 終止IP地址子網(wǎng)掩碼

（2）定義一個標準的access—list規(guī)則以允許哪些內(nèi)部本地地址可以進行地址轉換。

命令格式為：access—list標號permit源地址通配符（其中標號為整數(shù)1-99）

（3）設置在內(nèi)部的本地地址與內(nèi)部合法IP地址間建立端口地址轉換。

命令格式為：ip nat inside source list訪問列表標號pool內(nèi)部合法地址池名字overload

（4）指定與內(nèi)部網(wǎng)絡相連的內(nèi)部端口。

命令格式為：ip nat inside

（5）指定與外部網(wǎng)絡相連的外部端口。

命令格式為：ip nat outside

3.3策略路由技術[3]

眾所周知，在路由器進行包轉發(fā)決策過程中，通常是根據(jù)所接受的包的目的地址進行的。路由器根據(jù)包的目的地址查找路由表，從而作出相應的路由轉發(fā)決策。然而，有時我們需要按照自己的規(guī)則來進行數(shù)據(jù)包的路由，并有可能不按照包的目的地址來決定數(shù)據(jù)包的路由，這就是路由的策略問題。基于策略的路由通常有以下幾種方式：

（1）基于源IP地址的策略路由。

（2）基于數(shù)據(jù)包大小的策略路由。

（3）基于應用的策略路由。

（4）通過缺省路由平衡負載。

在校園網(wǎng)應用中，根據(jù)CERNET和其它ISP各自提供資源的不同，同時結合學校本身的實際需求，可以利用策略路由技術中基于源地址的策略路由技術?？梢栽谛@網(wǎng)的核心路由器上采用策略路由。

4.華為NE20路由器地址轉換、默認路由、靜態(tài)路由、策略路由

（以下命令均以華為NE20路由器為例）

地址轉換1：

nataddress-group3112.113.159.43112.113.159.43mask 255.255.255.255

nataddress-group4112.113.159.67112.113.159.70mask 255.255.255.0

//電信NAT地址轉換池，負責教職工上網(wǎng)

acl number 2000

rule5permit source 10.1.11.0 0.0.0.255//教職工上網(wǎng)網(wǎng)段

rule6permit source 10.1.12.0 0.0.0.255//教職工上網(wǎng)網(wǎng)段

rule7permit source 10.1.13.0 0.0.0.255//教職工上網(wǎng)網(wǎng)段

rule8permit source 10.1.14.0 0.0.0.255//教職工上網(wǎng)網(wǎng)段

rule9permit source 10.1.15.0 0.0.0.255//教職工上網(wǎng)網(wǎng)段

rule10permit source 10.1.16.0 0.0.0.255//服務器內(nèi)網(wǎng)IP地址

rule1024deny

interface Ethernet2/0/1//電信出口

ip address 112.113.159.43 255.255.255.0

nat outbound 2000 address-group 4

nat server protocol tcp global112.113.159.43inside10.1.18.2 80 2000 address-group3//WEB服務器端口映射

通過上述命令在NE20路由器上將ACL2000訪問控制列表里的內(nèi)網(wǎng)教職工用戶網(wǎng)段通過NAT轉換后成為電信公網(wǎng)IP112.11.159.67-112.113.159.70這4個IP地址，通過電信出口上網(wǎng)。

地址轉換2：

nat address-group2 222.56.127.134 222.56.127.138 mask 255.255.255.240

//鐵通NAT地址轉換池，負責學生上網(wǎng)

acl number 2011

rule 10 permit source 10.1.19. 0 0.0.0.255

rule 11 permit source 10.1.20. 0 0.0.0.255

rule 1024 deny

interface Ethernet0/0/0 //鐵通出口

ip address 222.56.127.131 255.255.255.240 nat outbound 2000 address-group 2

traffic classifier class2//定義一個類，用來匹配ACL2011規(guī)則的流

if-match acl 2011

traffic behavior behavior2//定義流行為，匹配特定的流

remark ip-nexthop 222.56.127.129 Ethernet0/0/0 112.113.159.1 Ethernet2/0/1

traffic policy policy2//定義策略路由

classifier class2 behavior behavior2

interface Ethernet2/0/0//內(nèi)網(wǎng)口

ip address 172.16.11.1 255.255.255.0

traffic-policy policy2 inbound //在內(nèi)網(wǎng)口創(chuàng)建一個基于源地址的策略路由

通過上述命令在NE20路由器上將acl2011訪問控制列表里的內(nèi)網(wǎng)學生用戶網(wǎng)段通過NAT轉換后成為公網(wǎng)IP 222.56.127.134-222.56.127.138并且通過策略路由選擇鐵通出口。

地址轉換3：

nat address-group 5 222.197.242.1 222.197.242.62 mask 255.255.255.0

interface Ethernet0/0/1 //CERNET出口

ip address 202.203.131.186 255.255.255.252

nat outbound 2000 address-group 5

通過上述命令在NE20路由器上將ACL2000訪問控制列表里的內(nèi)網(wǎng)教職工用戶通過NAT轉換后成為CERNET IP222.197.242.1- 222.197.242.62的IP地址，通過CERNET出口上網(wǎng)。

ip route-static 0.0.0.0 0.0.0.0 112.113.159.1 preference 60 //缺省路由是電信出口

ip route-static 0.0.0.0 0.0.0.0 222.56.127.129 preference 65

ip route-static 1.51.0.0 255.255.0.0 202.203.131.185

ip route-static 1.184.0.0 255.254.0.0 202.203.131.185

//教育網(wǎng)地址段的路由是CERNET出口

//路由器上的優(yōu)先規(guī)則是：策略路由大于靜態(tài)路由大于默認路由

5.結束語

結合NAT技術、默認路由、靜態(tài)路由、策略路由技術，發(fā)現(xiàn)能夠使校園網(wǎng)發(fā)揮最大的資源優(yōu)勢，具體表現(xiàn)在以下幾方面：

（1）網(wǎng)絡訪問速度明顯提高。由于電信運營商給我院提供了較高的出口帶寬，通過策略路由后，內(nèi)網(wǎng)教職工用戶訪問互聯(lián)網(wǎng)都通過本地電信出口，而訪問CERNET定義的免費站點則通過CERNET出口，對校園網(wǎng)而言，有效的實現(xiàn)了網(wǎng)絡負載均衡。通過策略路由，實現(xiàn)了教職工出口和學生出口分離。杜絕了學生無限制使用網(wǎng)絡搶占教職工流量的問題。

（2）學校WEB服務器通過在路由器上做端口映射后，對于外網(wǎng)用戶隱藏了真實IP地址，同時在防火墻上制定相應的安全策略，有效地增強了服務器的安全性。而對于內(nèi)網(wǎng)用戶，可以直接通過內(nèi)網(wǎng)訪問服務器，節(jié)省了出口帶寬。

【參考文獻】

[1]易正強.NAT技術及其在校園網(wǎng)中的應用[J].五邑大學學報（自然科學版），2006（4）：53-56.

[2]孫祥春.路由器網(wǎng)絡地址轉換NAT的配置[J].電腦知識與技術，2005（6）：32-34.

[3]汪剛.多出口園網(wǎng)路由技術的實現(xiàn)[J].南京工業(yè)職業(yè)技術學院學報，2004，4（4）：19.