多出口校园网络路由策略的优化

admin

1 引言
为了满足日益增长的用户对网络需求，更好的发挥校园网为教学、科研服务的功能，石家庄铁道学院
于2004年初实施了校园网主干千兆升级项目。在校园网主干升级的同时，为了增加接人互联网的带宽，
保留接入CERNET的100兆光纤链路外，租借了一条中国网通的2O兆带宽的光纤链路，接人CHINANET，
从而校园网具备了多出口接人互联网的能力。接入网络拓扑图如图1所示。

2 问题的提出
在CERNET和CHINANET不同的计费策略(CER．NET对于非免费地址块的访问按流量计费，而CHI—NANET按月租计费)，CERNET和CHINANET间数据互访比较慢的现实下，本项目实施的目标之一是实现减少CERNET上的流量费用，并且提高校园网对CHI．NANET访问的速度。
多出口链路的接人互联网，从技术上而言，可以使用边界网关协议(BGP)实现路由的自动学习。但是，由于运行边缘网关协议(BGP)需要申请独立的自治域号，还要协调CERNET和CHINANET两家ISP的上链设备没置?一般地讲，作为一个校园网的接人而不是城域网主干的运行，使用边缘网关协议(BGP)是不现实的。
目前，面对这一问题普遍的解决方案是通过在接人路由器上实施策略路由和网络地址转换(NAT)。 。在校园网的升级项目实施中，石家庄铁道学院的网络较为复杂，联网的计算机数目较多。仅IP地址分配而言，不仅有CERNET分配的16个C类地址，而且，还使用了大量的私有地址，例如学生计算机机房的C类地址192．168． 和家属区的B类地址172．16． ． 。同时，还要求根据不同的用户需求灵活方便地随时调整用户访问策略。采用这个普通的方案后，发现接人路由器的负担很重，在网络使用的高峰期，CPU的利用率高达98％ ，严重的影响了网络出口性能。而且不能实现基于目标地址的网络地址转换(NAT)策略，从而无法对用户的访问权限进行合理的限制。
经过深入研究路由器和防火墙的功能，通过采用接入路由器和防火墙联合实施策略路由解决了这个问题。
3 方案的实现
在石家庄铁道学院的校园网升级项目中使用了天融信的NGFWd0OOUF的千兆防火墙和CISCO的7301路由器。其中防火墙承担了全部的网络地址转换(NAT)的工作；而路由器承担了策略路由，访问列表控制的工作。这样，每个设备都得以充分的利用，从而优化了网络，提高了网络运行性能。
3．1 防火墙的设置
防火墙除了专业的处理网络数据安全的功能外，具有较强的网络地址转换(NAT)能力，还可以实现基于访问目的地址的网络地址转换(NAT)策略。同时，专业的防火墙提供了友好的人机界面，操作简便。
下面是详细的实施过程 。
在防火墙的内网区域，根据用户的IP地址划分出相应的管理对象，例如，student，teacher，server等。在防火墙的外网区域，根据获取的CERNET自治域中的IP地址，定义出相应的管理对象，例如．cer．net。并且把CHINANET分配的地址放到NAT池中，定义出相应的管理对象，例如chinanet。另外，把CERNET分配的一定数目的地址放v到另一个NAT池中，定义出相应的管理对象．例如cernet。
在地址转换策略上，按照如下的规则设置：
(1)如果用户的IP地址是CERNET分配的公网地址，并且访问的目标地址是CERNET自治域中的IP地址，防火墙就进行透明传输，不对数据包进行任何处理。
(2)如果用户的IP地址是CERNET分配的公网地址，并且访问的目标地址不是CERNET自治域中的IP地址，防火墙就对这些数据包进行网络地址转换，将用户的IP地址映射为相应的CHINANET的地址。
(3)如果用户的IP地址是私有地址，并且，此用户具有访问全部互联网的权限，用户访问的目标地址是CERNET自治域中的IP地址时，防火墙就对这些数据包进行网络地址转换，将用户的IP地址映射为相应的CERNET的地址。
(4)如果用户的IP地址是私有地址，并且，此用户具有访问全部互联网的权限，当用户访问的目标地址不是CERNET自治域中的IP地址时，防火墙就对这些数据包进行网络地址转换，将用户的IP地址映射为相应的CHINANET的地址。
(5)如果用户的IP地址是私有地址，并且，此用户仅仅具有访问CERNET公布的免费地址块的资源时，防火墙就对这些数据包进行网络地址转换，将用户的IP地址映射为相应的CERNET的地址。
(6)对于对外提供信息服务的服务器均使用了CERNET的公网地址，这些服务器的数据包通过防火墙时，防火墙就进行透明传输，不对数据包进行任何处理。这样，当数据包流出防火墙时，所有的数据包具有了能够直接访问互联网的公网地址。根据这些数据包流向的目的地址，数据包的源地址被转换为相应的CERNET的地址或者CHINANET的地址。
3．2 路由器的设置
由于在防火墙上已经进行了基于目的地址的网络地址转换，所以，路由器上仅需要根据这些数据包被转换后的源地址，把这些数据包转发到相应的出口链路上，从而实现了数据包的分流，提高了网络访问速度。
如图l所示，接口eth0接防火墙，接口ethl接CHINANET链路，接口eth2接CERNET链路。相应的
命令如下：
(1)设置缺省路由。缺省路由设置为CERNET链路。
ip route 0．0．0．0 0．0．0．0接口eth2链路对端地址。
(2)设置指向内部的静态路由。
ip route CERNET分配的IP地址块 接口eth0对端地址。
ip route CHINANET分配的IP地址块 接口eth0对端地址。
(3)定义CH1NANET分配的IP地址块。access—list 60 permit CHINANET分配的IP地址块。
(4)设置策略路由 。
(5)在接口eth0上应用策略路由。这样就实现了数据包的分流。
ip route—cache policy； ip policy route—map ChinaNet
(6)设置相应的访问控制列表ACL策略。为了防止CERNET的定义的非免费地址块的数据流入和被访问，根据CERNET的定义的免费地址块，在接口eth0和接口eth2上应用相应的访问控制列表。校园网出口路由如上的配置后，在实际运行中，网络出口性能大为改善，提高了校园网对CERNET和CHINANET的访问速度，降低了设备的运行负担。在网络使用高峰期，路由器的CPU使用率不高于6％ 。
4 进一步的优化
校园网中的基本网络服务如www，需要向外提供信息服务，根据以上的配置，就不得不产生相应的CERNET收费流量。特别是大量的垃圾邮件，产生了较多的不必要的费用。所以，需要在路由器上把访问这些服务器的IP地址限制在CERNET的免费的地址块中。为了解决使用CERNET的非免费的地址块的IP地址访问校园网的公众信息资源，可以实施如下的方案。
(1)在DNS服务器上，为这些服务器分别解析两个主机记录。而服务器本身仅使用CERNET地址。
例如：WaN'W A CERNET地址，Wa~rW A CHINANET地址。
(2)在防火墙上，利用反向网络地址转换，把所有访问服务器CHINANET地址映射到服务器的CER—NET地址。
这样，当外部地址访问校园网的公共服务器时，由于DNS服务器会轮询把相应的地址解析给外部用户。当CERNET的非免费的地址块的IP地址访问校园网的公众信息资源时，由于CERNET链路上被阻隔，这些地址就会自动使用CHINANET链路来访问。校园网中的wWw和EMAIL服务器的经过如上的配置后，每月可以节省一两千元的网络流量费用。

声明:本文转载自网络。版权归原作者所有,如有侵权请联系删除。