繆元照 劉志南

摘? 要： 校園網(wǎng)多出口建設(shè)一直是校園網(wǎng)基礎(chǔ)設(shè)施建設(shè)的研究熱點(diǎn)，策略路由技術(shù)具有靈活的數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制，選擇特定的路由路徑。天津美術(shù)學(xué)院校園網(wǎng)在邊界防火墻應(yīng)用策略路由技術(shù)和地址轉(zhuǎn)換技術(shù)，完成了CERNET及聯(lián)通、電信、移動(dòng)四家運(yùn)營(yíng)商多出口校園網(wǎng)絡(luò)的構(gòu)建，完成了多出口的流量調(diào)度，實(shí)現(xiàn)了路由鏈路的冗余和容錯(cuò)，提高了校園網(wǎng)用戶網(wǎng)絡(luò)使用感受，該方案是適合中小型校園網(wǎng)的經(jīng)濟(jì)實(shí)用的校園網(wǎng)多出口建設(shè)方案。

關(guān)鍵詞： 策略路由; 流量調(diào)度; 多出口; 地址轉(zhuǎn)換; 防火墻

中圖分類號(hào)：TP393.1? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ?文章編號(hào)：1006-8228（2020）04-97-04

Constructing multi-export campus network with policy-based

routing of boundary firewall

Miao Yuanzhao1， Liu Zhinan2

（1. Information Office of Tianjin Academy of Fine Arts， Tianjin 300141， China; 2. Tianjin Jiashi Technology Co.，Ltd）

Abstract： The construction of multi-export in campus network has always been a research hotspot in the construction of campus network. The policy-based routing technology has a flexible data forwarding mechanism and selects a specific routing path. The campus network of Tianjin Academy of Fine Arts has completed the connection with four carriers of CERNET， Unicom， Telecom and Mobile by using the technologies of policy-based routing and NAT on boundary firewall， which realizes the multi-export traffic scheduling， and the redundancy and fault-tolerance of routing links， the experience of campus network users has been improved. This is an economic and practical campus network multi-export construction scheme suitable for small and medium campus network.

Key words： policy-based routing; traffic scheduling; multi-export; NAT; firewall

0 引言

校園網(wǎng)多出口建設(shè)源于解決CERNET高昂的國(guó)際流量費(fèi)，天津商業(yè)大學(xué)2004年就在Cisco交換機(jī)和路由器上完成了校園網(wǎng)的雙出口構(gòu)建[1]。當(dāng)時(shí)設(shè)備要求不高，對(duì)于網(wǎng)絡(luò)可用性沒(méi)有改觀。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，校園網(wǎng)多出口建設(shè)的主要目的轉(zhuǎn)化為提高網(wǎng)絡(luò)可用性與冗余，提升校園網(wǎng)用戶的使用感受[2]，可以使用智能DNS技術(shù)，根據(jù)解析的目的IP地址所屬不同的ISP，選擇不同的出口路由，達(dá)到校園網(wǎng)多出口優(yōu)化的目的[3-4]，或者使用策略路由技術(shù)，選擇不同的出口路由，達(dá)到校園網(wǎng)多出口優(yōu)化的目的[5]。

天津美術(shù)學(xué)院校園網(wǎng)出口擁有CERNET、聯(lián)通、電信、移動(dòng)四個(gè)運(yùn)營(yíng)商的網(wǎng)絡(luò)連接，其中CERNET與天津教育科研城域網(wǎng)實(shí)現(xiàn)1000M連接，聯(lián)通帶寬為1G，電信帶寬為600M，移動(dòng)帶寬為400M，如圖1所示。天津美術(shù)學(xué)院師生使用校園網(wǎng)對(duì)于高清素材和影視資源的瀏覽觀看屬于專業(yè)學(xué)習(xí)需求，提升校園網(wǎng)的可用性、可靠性、冗余性、通達(dá)性是校園網(wǎng)建設(shè)和管理的重要工作。天津美術(shù)學(xué)院使用校園網(wǎng)邊界防火墻的策略路由技術(shù)，最大程度發(fā)揮設(shè)備性能，滿足校園網(wǎng)用戶對(duì)于網(wǎng)絡(luò)需求，提高用戶的滿意度。

1 校園網(wǎng)多出口環(huán)境的建設(shè)目標(biāo)

天津美術(shù)學(xué)院校園網(wǎng)使用兩臺(tái)銳捷RG-N18010交換機(jī)做虛擬化，兩個(gè)校區(qū)的所有業(yè)務(wù)網(wǎng)關(guān)都設(shè)置兩臺(tái)虛擬化RG-N18010上。RG-N18010無(wú)線控制器板卡和MSC流量控制板卡同樣做虛擬化[6]。策略路由是由校園網(wǎng)邊界防火墻設(shè)備來(lái)專門完成的，需要滿足以下目標(biāo)。

⑴ 防火墻具備將校園網(wǎng)安全隔離的功能，校園網(wǎng)用戶在安全保護(hù)下，不需要關(guān)心網(wǎng)絡(luò)出口連接，認(rèn)證后無(wú)需任何操作即可正常工作。

⑵ 服務(wù)器原則上在CERNET服務(wù)，特殊的需要在其他ISP網(wǎng)絡(luò)進(jìn)行鏡像的單獨(dú)進(jìn)行配置。

⑶ 只有CERNET直連地址和學(xué)校圖書(shū)館購(gòu)買的數(shù)據(jù)庫(kù)資源，校園網(wǎng)用戶訪問(wèn)需要路由選擇CERNET線路。

⑷ 校園網(wǎng)用戶訪問(wèn)根據(jù)目的地址的歸屬，路由選擇相應(yīng)運(yùn)營(yíng)商線路，策略路由的設(shè)備開(kāi)銷不能影響設(shè)備的正常運(yùn)行，設(shè)備負(fù)荷在合理的低水平運(yùn)轉(zhuǎn)。

2 天津美術(shù)學(xué)院校園網(wǎng)多出口方案配置

天津美術(shù)學(xué)院采用山石SG6000-T-5防火墻做邊界安全及路由設(shè)備，策略路由對(duì)于設(shè)備性能消耗大，選擇一臺(tái)高性能邊界設(shè)備是策略路由成功實(shí)施運(yùn)行的重要因素，山石SG6000-T-5防火墻具有智能鏈路負(fù)載均衡功能，可以提升鏈路利用效率，增強(qiáng)用戶網(wǎng)絡(luò)訪問(wèn)體驗(yàn)。

山石SG6000-T-5防火墻用兩路萬(wàn)兆接口做端口聚合連接兩臺(tái)銳捷RG-N18010交換機(jī)，CERNET及聯(lián)通、電信、移動(dòng)四家運(yùn)營(yíng)商均采用千兆光纖連接，關(guān)于多出口和策略路由主要需要進(jìn)行以下配置[7]：

2.1 特征地址庫(kù)的維護(hù)

按照確定的策略路由目的地址原則，對(duì)于特征地址庫(kù)進(jìn)行維護(hù)：

CERNET地址庫(kù)如下（地址表非常長(zhǎng)，因此用省略號(hào)替代，其他ISP地址略）：

isp-network China-cernet

subnet 1.51.0.0/16

subnet 1.184.0.0/159

......

subnet 223.128.0.0/15

電信、聯(lián)通、移動(dòng)地址庫(kù)如下：

isp-network ChinaTelcom

isp-network ChinaUnicom

isp-network ChinaMobile

2.2 啟用相關(guān)接口

啟用各運(yùn)營(yíng)商IP地址組，以192.168.0.0網(wǎng)段地址代表，隱藏真實(shí)IP，啟用聯(lián)通接口為ethernet0/2（192.168.6.74），電信接口為ethernet0/3（192.168.148.50），移動(dòng)接口為ethernet0/4（192.168.56.194），CERNET接口為ethernet0/5（192.168.216.253），各運(yùn)營(yíng)商可以啟用進(jìn)行帶寬閾值配置，當(dāng)某個(gè)運(yùn)營(yíng)商的接口流量超過(guò)一定閾值后，自動(dòng)切換其他帶寬，達(dá)到負(fù)載均衡的效果，提高網(wǎng)絡(luò)帶寬利用率。

2.3 配置NAT地址池，并在相應(yīng)接口啟用NAT

配置NAT使用的內(nèi)外網(wǎng)地址池：

address "電信-NAT"

range 192.168.148.51 192.168.148.53

address "聯(lián)通-NAT-pool"

range 192.168.10.49 192.168.10.51

address "移動(dòng)NAT"

range 192.168.56.195 192.168.56.196

各接口已經(jīng)配置運(yùn)營(yíng)商的IP地址作為NAT地址轉(zhuǎn)換的地址池，在各端口啟用NAT，以ethernet0/2聯(lián)通出口為例：

link-perf-monitor interface "ethernet0/2"

application on

snat-pool "聯(lián)通出口"

address-book "Any"

2.4 配置與校園網(wǎng)虛擬化核心交換機(jī)互聯(lián)

兩臺(tái)銳捷RG-N18010交換機(jī)做虛擬化后與防火墻連接，防火墻端口聚合配置如下：

link-perf-monitor interface "aggregate1"

application on

snat-pool "內(nèi)網(wǎng)聚合口"

address-book "Any"

interface aggregate1

zone? "trust"

ip address 10.5.1.5 255.255.255.252

bind pbr-policy "內(nèi)網(wǎng)聚合口"

2.5 靜態(tài)路由設(shè)置

在相關(guān)接口配置靜態(tài)默認(rèn)路由，啟用整體策略路由。

按照特征地址庫(kù)匹配目的地址進(jìn)行策略路由：

ip route "ChinaTelcom " 192.168.148.49 10 weight 6

description "電信600M"

ip route "ChinaUnicom" 192.168.6.73 10 weight 10

description "聯(lián)通1G"

ip route "China-cernet" 192.168.216.254 10

description "教育100M"

ip route "ChinaMobile" 192.168.56.193 10 weight 4

description "移動(dòng)400M"

各運(yùn)營(yíng)商地址的靜態(tài)默認(rèn)路由配置：

ip route 0.0.0.0/0 192.168.6.73 weight 10 description

"聯(lián)通上網(wǎng)1G"

ip route 0.0.0.0/0 192.168.56.193 weight 4 description

"移動(dòng)上網(wǎng)400M"

ip route 0.0.0.0/0 192.168.148.49 weight 6 description

"電信上網(wǎng)600M"

ip route 0.0.0.0/0 192.168.216.254 description

"教育上網(wǎng)100M"

內(nèi)網(wǎng)地址路由配置略。

2.6 服務(wù)器訪問(wèn)相關(guān)配置

啟用訪問(wèn)控制列表將內(nèi)網(wǎng)和服務(wù)器地址及端口進(jìn)行配置（從略），并進(jìn)行服務(wù)器教育網(wǎng)發(fā)布的路由配置：

ip route source 192.168.216.0/24 "ethernet0/5"

192.168.216.254

配置服務(wù)器靜態(tài)路由地址就是為了保證校園網(wǎng)的服務(wù)器原則上在教育網(wǎng)發(fā)布服務(wù)，服務(wù)器區(qū)的各種服務(wù)，原則上使用教育網(wǎng)真實(shí)地址，路由選擇CERNET線路。