繆元照，劉志南

（1.天津美術(shù)學(xué)院信息化工作辦公室，天津300141；2.天津市嘉仕科技股份有限公司，天津300384）

0 引言

校園網(wǎng)雙出口的研究和實(shí)踐由來已久，最早是用于解決CERNET 高昂的國際流量費(fèi)用，筆者也曾經(jīng)在CISCO6509 交換機(jī)和2621 路由器上使用路由、策略路由以及地址轉(zhuǎn)換技術(shù)實(shí)現(xiàn)了校園網(wǎng)的雙出口優(yōu)化解決方案[1]。隨著網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)技術(shù)的發(fā)展，校園網(wǎng)多出口的主要目的是提高網(wǎng)絡(luò)可用性與冗余，提升校園網(wǎng)用戶的使用體驗(yàn)[2-3]，天津美術(shù)學(xué)院作為擁有設(shè)計(jì)類和影視類專業(yè)的專業(yè)藝術(shù)院校，師生使用校園網(wǎng)對(duì)于設(shè)計(jì)素材和一些影視的下載和在線瀏覽觀看是專業(yè)學(xué)習(xí)和提升的重要組成部分，因此提升校園網(wǎng)的可用性、可靠性、冗余性、通達(dá)性是現(xiàn)在校園網(wǎng)建設(shè)和管理的重要工作。

天津美術(shù)學(xué)院校園網(wǎng)出口擁有CERNET、聯(lián)通、電信、移動(dòng)四個(gè)運(yùn)營商的網(wǎng)絡(luò)連接，如圖1 所示。本文使用策略路由技術(shù)，最大程度發(fā)揮邊界路由設(shè)備性能，滿足校園網(wǎng)用戶對(duì)于網(wǎng)絡(luò)需求，提高用戶的滿意度。

1 校園網(wǎng)出口的策略路由需求

路由器進(jìn)行包轉(zhuǎn)發(fā)決策過程中，一般是根據(jù)所接收的數(shù)據(jù)包的目的地址進(jìn)行的。路由器根據(jù)目的地址查找路由表，從而做出相應(yīng)的最優(yōu)路由轉(zhuǎn)發(fā)決策。要使數(shù)據(jù)包不是明確的最短路徑路由，而是由其他路徑轉(zhuǎn)發(fā)時(shí)，需要應(yīng)用策略路由技術(shù)，也就是按照具體需要來決定數(shù)據(jù)包的路由。

基于策略路由有如下幾種方式：①基于源IP 地址的策略路由；②基于目的IP 地址的策略路由；③基于數(shù)據(jù)包大小的策略路由；④基于應(yīng)用的策略路由。

對(duì)于校園網(wǎng)出口來說，一般應(yīng)用基于目的IP 地址的策略路由技術(shù)來實(shí)現(xiàn)。

圖1 天津美術(shù)學(xué)院校園網(wǎng)多出口拓?fù)?/p>

根據(jù)天津美術(shù)學(xué)院校園網(wǎng)的實(shí)際應(yīng)用，在核心交換機(jī)上只做VLAN 的定義、ARP 表及缺省路由，和相應(yīng)的安全策略配置，策略路由是由邊界路由設(shè)備來專門完成的[4]，需要滿足以下目標(biāo)：

（1）校園網(wǎng)用戶不需要關(guān)心網(wǎng)絡(luò)出口連接，不用做任何操作即可正常工作。

（2）校園網(wǎng)的服務(wù)器原則上在教育網(wǎng)發(fā)布服務(wù)，服務(wù)器區(qū)的各種服務(wù)，原則上使用教育網(wǎng)真實(shí)地址，路由選擇CERNET 線路。

（3）CERNET 免費(fèi)列表需要進(jìn)行梳理，凡是CERNET 直連地址，校園網(wǎng)用戶訪問需要路由選擇CERNET 線路，凡是學(xué)校圖書館購買的數(shù)據(jù)庫資源，校園網(wǎng)用戶訪問原則上路由選擇CERNET 線路，對(duì)于CERNET 免費(fèi)地址列表中其他運(yùn)營商的地址（CERNET 非直連地址），校園網(wǎng)用戶訪問時(shí)路由選擇相關(guān)運(yùn)營商線路。

（4）按照聯(lián)通、電信、移動(dòng)運(yùn)營商的地址列表，校園網(wǎng)用戶訪問根據(jù)目的地址的歸屬，路由選擇相關(guān)運(yùn)營商線路。

2 天津美術(shù)學(xué)院校園網(wǎng)多出口方案配置

如圖1 所示，天津美術(shù)學(xué)院校園網(wǎng)采用銳捷核心交換機(jī)及EG2000 網(wǎng)關(guān)作為校園網(wǎng)核心和邊界路由設(shè)備，由于策略路由對(duì)于路由設(shè)備性能消耗比較大，因此選擇一臺(tái)高性能邊界路由設(shè)備是策略路由成功實(shí)施運(yùn)行的重要因素，EG2000 擁有專業(yè)出口設(shè)備高效的NAT 轉(zhuǎn)發(fā)性能，還具有流控、智能選路、上網(wǎng)行為管理、安全防護(hù)等功能，而且可以提供Web 頁面配置，是比較適合中等以下規(guī)模網(wǎng)絡(luò)出口的設(shè)備。

EG2000 可以采用網(wǎng)關(guān)模式和網(wǎng)橋模式，天津美術(shù)學(xué)院校園網(wǎng)將EG2000 部署在邊界路由的位置，因此采用網(wǎng)關(guān)模式，主要需要進(jìn)行以下配置[5]。

2.1 地址庫的維護(hù)

按照確定的策略路由目的地址原則，對(duì)于特征地址庫進(jìn)行維護(hù)，需要注意的是學(xué)校訂購的主要數(shù)據(jù)庫資源的目的IP地址原則上應(yīng)該修正到CERNET 地址庫：

CERNET 地址庫如下：

CERNET route db info:

1.5 1.0.0 255.255.0.0

1.18 4.0.0 255.254.0.0

42.24 4.0.0 255.252.0.0

……

202.11 2.0.0 255.248.0.0

……

223.2.0.0 255.254.0.0

223.12 8.0.0 255.254.0.0

聯(lián)通地址庫如下：

cnc route db info:

1.2 4.0.0 255.248.0.0

1.5 6.0.0 255.248.0.0

1.11 9.192.0 255.255.248.0

……

202.11 1.128.0 255.255.192.0

……

222.16 0.0.0 255.252.0.0

223.16 6.0.0 255.254.0.0

電信地址庫如下：

CNII route db info:

1.0.1.0 255.255.255.0

1.0.2.0 255.255.254.0

1.0.8.0 255.255.248.0

……

203.1 2.24.0 255.255.255.0

……

223.24 0.0.0 255.248.0.0

223.25 5.252.0 255.255.254.0

移動(dòng)地址庫如下：

CMCC route db info:

36.12 8.0.0 255.192.0.0

36.19 2.0.0 255.224.0.0

39.12 8.0.0 255.192.0.0

……

202.9 6.123.172 255.255.255.252

……

223.11 6.0.0 255.252.0.0

223.12 0.0.0 255.248.0.0

2.2 相關(guān)接口配置，并啟用NAT功能

首先在EG 設(shè)備開啟多鏈路負(fù)載均衡mllb enable，然后啟用各運(yùn)營商IP 地址組，以192.168.0.0 網(wǎng)段地址代表，隱藏真實(shí)IP，CERNET、電信、移動(dòng)地址相同，不再說明：

ip-group 1

description 聯(lián)通

ip-range 192.168.10.49 192.168.10.51

route-db cnc

ip-group 2

description 電信

ip-range 192.168.148.51 192.168.148.53

route-db cnii

ip-group 3

description 移動(dòng)

route-db cmcc

ip-range 192.168.56.195 192.168.56.196

ip-group 4

description 教育

route-db cernet

ip-subnet 192.168.216.0 24

ip-subnet 192.168.217.0 24

ip-subnet 192.168.218.0 24

在CERNET、聯(lián)通、電信、移動(dòng)的光纖接口配置如下：

interface GigabitEthernet 0/1

medium-type fiber 設(shè)置為光纖接口

description 聯(lián)通

bandwidth 240000 設(shè)置帶寬閾值

nexthop 192.168.6.73 設(shè)置下一跳地址

reverse-path 設(shè)置反向路徑過濾

ip address 192.168.69.6.74 255.255.255.252 設(shè)置接口地址

ip nat outside 設(shè)置地址NAT 轉(zhuǎn)換

flow-policy Gi0/1

interface GigabitEthernet 0/3

medium-type fiber 設(shè)置為光纖接口

description 電信

bandwidth 240000

nexthop 192.168.148.49

reverse-path

ip address 192.168.148.50 255.255.255.240

ip nat outside

flow-policy Gi0/3

interface GigabitEthernet 0/5

medium-type fiber

description 移動(dòng)

bandwidth 200000

nexthop 192.168.56.193

reverse-path

ip address 192.168.56.194 255.255.255.224

ip nat outside

flow-policy Gi0/5

interface GigabitEthernet 0/7

medium-type fiber

description 教育-200M

bandwidth 200000

nexthop 192.168..216.254

reverse-path

ip address 192.168.216.253 255.255.255.252

ip name-server 192.168.216.11 track 1 設(shè)置主DNS服務(wù)器

ip name-server 192.168.216.10 track 2 設(shè)置備用DNS 服務(wù)器

ip nat outside

flow-policy Gi0/7

四個(gè)運(yùn)營商的帶寬接口都采用光纖接入接口，需要說明的是進(jìn)行帶寬閾值配置是方便進(jìn)行負(fù)載均衡，可以啟用相關(guān)配置，當(dāng)某個(gè)運(yùn)營商的接口流量超過一定閾值后，自動(dòng)首選其他帶寬，由于策略路由選擇是根據(jù)我們維護(hù)的優(yōu)化過的地址庫進(jìn)行的，因此這種負(fù)載均衡雖然可以使得網(wǎng)絡(luò)帶寬利用率提高，但是在帶寬沒有沖到極限造成比較大延時(shí)和丟包的情況下，并不會(huì)提高校園網(wǎng)用戶的網(wǎng)絡(luò)使用感受。因此我們并沒有進(jìn)一步啟用相關(guān)配置。

2.3 配置NAT地址池

在相關(guān)接口上配置NAT 使用的地址池ip nat pool nat_pool prefix-length 24

address 192.168.6.74 192.168.6.74 match interface GigabitEthernet 0/1

address 192.168.148.50 192.168.148.50 match interface GigabitEthernet 0/3 address 192.168.56.194 192.168.56.194 match interface GigabitEthernet 0/5

address 192.168.1.30 192.168.1.30 match interface GigabitEthernet 0/7

這就是以各接口已經(jīng)配置了CERNET、聯(lián)通、電信、移動(dòng)各運(yùn)營商的IP 地址作為NAT 地址轉(zhuǎn)換的地址池。

2.4 配置地址庫

route-auto-choose cnc GigabitEthernet 0/1 192.168.6.73 配置應(yīng)用地址庫，并指下一跳地址

route-auto-choose cnii GigabitEthernet 0/3 192.168.148.49

route-auto-choose cernet GigabitEthernet 0/7 192.168.216.254

route-auto-choose cmcc GigabitEthernet 0/5 192.168.56.193

2.5 靜態(tài)路由設(shè)置

在相關(guān)接口配置靜態(tài)默認(rèn)路由，啟用整體策略路由。

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/1 192.168.6.73

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/3 192.168.148.49

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/5 192.168.56.193

ip route 0.0.0.0 0.0.0.0 GigabitEthernet

0/7 192.168.216.254

2.6 服務(wù)器訪問相關(guān)配置

需要啟用訪問控制列表將內(nèi)網(wǎng)和服務(wù)器地址及端口進(jìn)行配置如下：

ip access-list standard 10

10 permit 10.16.192.0 0.0.31.255 內(nèi)網(wǎng)地址

20 permit 10.16.0.0 0.0.31.255 內(nèi)網(wǎng)地址

……

190 permit 192.168.216.0 0.0.0.255 服務(wù)器地址，以192.168.0.0 網(wǎng)段地址代表，隱藏真實(shí)IP

200 permit 192.168.218.0 0.0.0.255 服務(wù)器地址

……

360 permit 172.18.18.0 0.0.0.255

需要說明的是，配置服務(wù)器靜態(tài)路由地址就是為了保證校園網(wǎng)的服務(wù)器原則上在教育網(wǎng)發(fā)布服務(wù)，服務(wù)器區(qū)的各種服務(wù)，原則上使用教育網(wǎng)真實(shí)地址，路由選擇CERNET 線路。

3 結(jié)語

在校園網(wǎng)多出口構(gòu)建實(shí)踐中，有的學(xué)校會(huì)讓用戶自主選擇路由[2]，這種模式靈活方便，運(yùn)行穩(wěn)定，但是并不適合天津美術(shù)學(xué)院這類校園網(wǎng)用戶普遍計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用水平較低的環(huán)境，對(duì)于天津美術(shù)學(xué)院校園網(wǎng)用戶來說，一個(gè)不需要更多干預(yù)的，開機(jī)聯(lián)網(wǎng)就可以使用的網(wǎng)絡(luò)更為適合，因此天津美術(shù)學(xué)院校園網(wǎng)建設(shè)一直是秉著用戶最小干預(yù)的原則進(jìn)行建設(shè)。

天津美術(shù)學(xué)院校園網(wǎng)建設(shè)從2005 年采用CISCO Catalyst 6506 核心交換機(jī)及虛擬防火墻技術(shù)完成校園網(wǎng)雙出口建構(gòu)[6]，但是CISCO Catalyst 6506 的Catalyst 6500 Firewall Service Module 防火墻板卡的處理能力有限，在校園網(wǎng)用戶大量帶寬和并發(fā)連接劇增的情況下，交換機(jī)和防火墻負(fù)載消耗很大，性能會(huì)受到嚴(yán)重影響，本文所述采用銳捷EG 網(wǎng)關(guān)的策略路由技術(shù)架構(gòu)的多出口模式，自2014 年開始實(shí)施以來，運(yùn)行穩(wěn)定，提高了校園網(wǎng)用戶上網(wǎng)的體驗(yàn)。

需要說明的是，為了提高校園網(wǎng)用戶的上網(wǎng)體驗(yàn)，網(wǎng)絡(luò)管理維護(hù)人員是需要根據(jù)用戶主要訪問的網(wǎng)站和應(yīng)用的通達(dá)性和響應(yīng)延時(shí)，定期對(duì)于CERNET、聯(lián)通、電信和移動(dòng)四家運(yùn)營商的地址庫進(jìn)行維護(hù)，以保證主要的應(yīng)用可用性和可通達(dá)性是相對(duì)最佳的，提高上網(wǎng)體驗(yàn)。

在外購的數(shù)據(jù)庫訪問問題上，一方面是盡可能將主要數(shù)據(jù)庫提供商的IP 地址列表歸入CERNET 地址庫，盡可能保證校園網(wǎng)用戶訪問外購數(shù)據(jù)庫是通過教育網(wǎng)鏈路，但是由于各數(shù)據(jù)庫的IP 地址很多是其他運(yùn)營商的通達(dá)性更佳，因此是需要圖書館將學(xué)校各運(yùn)營商地址均提供數(shù)據(jù)庫提供商，以保證校園網(wǎng)用戶無論是策略路由選擇哪條鏈路，均可以無縫通達(dá)使用數(shù)據(jù)庫。

限于本文篇幅，未對(duì)于銳捷EG 網(wǎng)關(guān)相關(guān)流量控制及安全策略進(jìn)行討論，在銳捷EG 網(wǎng)關(guān)上進(jìn)行訪問控制列表等安全策略是必要的，但是相比專業(yè)的網(wǎng)絡(luò)安全設(shè)備來說，銳捷EG 網(wǎng)關(guān)是一臺(tái)邊界路由設(shè)備，如圖1所示，服務(wù)器區(qū)域的安全防范是由防火墻來進(jìn)行保障的?，F(xiàn)代校園網(wǎng)建設(shè)來說，設(shè)備專業(yè)化程度越來越高，因此不推薦銳捷EG 網(wǎng)關(guān)作為流量控制及行為管理設(shè)備來使用，銳捷EG 網(wǎng)關(guān)的優(yōu)點(diǎn)是路由功能，策略路由性能較好。

本方案的最大缺點(diǎn)是在校園網(wǎng)和CERNET 城域網(wǎng)以及各運(yùn)營商的網(wǎng)絡(luò)連接之間，沒有專業(yè)的防火墻設(shè)備，雖然校園網(wǎng)用戶使用DHCP 獲取地址，并且在接口完成了NAT 地址轉(zhuǎn)換，外網(wǎng)IP 對(duì)于校園網(wǎng)用戶直接訪問是不可達(dá)的，但是畢竟銳捷EG 網(wǎng)關(guān)不是專業(yè)安全設(shè)備，因此校園網(wǎng)用戶安全性尚有改進(jìn)空間。