校园网双出口的设计与配置实现

    校园网是高校的信息化建设的基础设施，是教学科研管理信息化和现代化的重要平台。大部分高校校园网从初建至今已有几年的历史。初建时，一般都是租用一条DDN线路连接到中国教育和科研计算机网（CERNET）。由于中国教育科研网与一般的电信级运营网络不同，没有非常充裕的线路、设备冗余，有可能发生单点故障，对于校园网的稳定运行有一定的影响。同时，通过CERNET访问其他的共众网如CHINANET、GBNET等速率缓慢。随着校园网用户量增加和基于校园网络的各种网络应用的展开，要求校园网络出口具有较高的网络带宽，原有单一的CERNET出口已不能满足，有必要进一步扩大带宽，通过当地网络服务提供商（ISP）开辟第二出口连入INTERNET是较好的解决途径，许多学校采用了教育网和电信（或联通、铁通等）第二出口的双出口方案，既可以保留教育网资源，同时可以增加带宽，提高了访问INTERNET资源的速度。

　　各个学校采用了不同的技术实现双出口，但是基本上思路是相同的：对于访问教育网资源和mail流量走教育网出口，对于用户上网来说，走第二出口。这样，一方面提高了校园网出口的冗余，增加了校园网的稳定性，另一方面，也解决了校外访问校园网速度过慢的问题，同时，有效减少教育网的国际流量，降低网络运行费用。

网管论坛bbs_bitsCN_com

　　第二出口从连接方式上来说，可以采用DDN专线、ISDN、ADSL等多种技术，具体可以根据需求选择，在本文中不予以讨论。

　　一、双出口的解决方案 中国网管联盟bitsCN.com

　　我校在原有一条CERNET接入链路的基础上，通过电信开辟了第二出口。而增加了校园网络出口线路，从理论上说提高了网络带宽，但是如果不调整原有网络系统的结构，其效果不能体现。对该方案，我们有以下几方面的要求： 网管bitscn_com

    （1） 客户端IP地址设置不受影响，即不用重新设置地址就可以正常上网；
    （2） 客户端访问教育科研网的网站时，出口线路CERNET，访问其他站点时，走中国电信线路出口。
    （3） 解决外部公众网的用户访问我校校园网主页的速度过慢的问题。
    （4） 校园网络中的邮件走CERNET线路。
    （5） 尽可能的节约校园网调整、改造的投资。 网管bitscn_com

　　校园网原出口结构和双出口解决方案结构如图1所示：

 

网管网www_bitscn_com

图1 网管联盟bitsCN@com

   
    从图1中可以看到，CISCO catalyst 6509交换机是我校校园网的核心交换机，ssr1是教育网的接入设备，ssr2是电信第二出口的接入设备通过在CISCO catalyst 6509交换机上配置静态路由和策略路由，保证授权的服务器和mail的所有流量都经ssr1到教育网，其它的所有流量经ssr2到电信出口。同时，在ssr2上使用了NAT技术，使有限的电信IP地址可以满足大量校园网并发访问的需求，同时也相应提高了安全系数。

中国网管论坛bbs.bitsCN.com

　　二、涉及的网络技术 网管网www.bitscn.com

　　第二出口方案中涉及技术有如下几种：

　　1、 代理服务器技术 网管bitscn_com

　　代理服务器一端接入Internet,另一端接入中心路由器，通过代理服务软件实现客户端上网。这种方式配置简单，设备费用低廉，并且不需要大规模改变原有的设备连接和配置。但是相对来说，由于是通过代理软件实现共享上网，访问速度容易受到影响。 中国网管联盟bitsCN.com

　　2、路由选择

　　静态路由是在路由器中设置的固定的路由表。除非网络管理员干预，否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映，一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中，静态路由优先级最高。当动态路由与静态路由发生冲突时，以静态路由为准。这种方式对于设备的要求较高，配置相对繁琐，但是上网的路由选择与用户无关，用户的上网方式无需进行任何改动，可操作性较好。同时，网络管理人员可以根据两个出口的带宽和流量情况，调整路由指向。

　　3、策略路由技术

网管网www.bitscn.com

　　在路由器进行包转发决策过程中，通常是根据所接受的包的目的地址进行的。路由器根据包的目的地址查找路由表，从而作出相应的最优路由转发决策。当欲使某些包由其他路径而不是明确的最短路径路由时，就可以启用策略路由，即按照我们具体需要来决定数据包的路由。基于策略路由有如下几种方式，即：基于源IP地址的策略路由；基于数据包大小的策略路由；基于应用的策略路由；通过缺省路由平衡负载。根据实际情况我们需要特定如邮件等服务器接受和发送包的路径是通过CERNET，所以选择的是基于源IP地址的策略路由。这种方式是最佳选择，但是设备要求比较高。 网管下载dl.bitscn.com

　　在使用路由选择时，一般采用NAT——地址转换技术解决内外网地址的转换问题。NAT就是在内部专用网络中使用内部地址，而当内部节点要与外界网络发生联系时，就在边缘路由器或者防火墙处，将内部地址替换成全局地址合法地址，从而在外部公共网上正常使用。目前NAT功能通常被集成到路由器、防火墙等设备中。NAT设备维护一个NAT表，用它来实现全局到本地和本地到全局地址的映射。NAT设置可以分为静态地址转换、动态地址转换和端口地址转换。

网管联盟bitsCN@com

　　（1） 静态地址转换

　　静态NAT是这三种中最容易实现的一种，它在NAT表中为每一个需要转换的内部地址创建了固定的转换条目，映射了唯一的全局地址。内部地址与全局地址一一对应。每当内部节点与外界通信时，内部地址就会转化为对应的全局地址。这种方式主要用于服务器，以确保外部对服务器的正确访问。

　　（2） 动态地址转换

　　增加了网络管理的复杂性，但也提供了很大的灵活性。它将可用的全局地址地址集定义成NAT池（NATPool）。对于要与外界进行通信的内部节点，如果还没有建立转换映射，边缘路由器或者防火墙将会动态地从NAT池中选择全局地址对内部地址进行转化。每个转换条目在连接建立时动态建立，而在连接终止时会被回收。这样，网络的灵活性大大增强了，所需要的全局地址进一步地减少。需要注意的是，在地址池中的可用地址被耗尽后，后续的连接请求将会失败，会造成网络连通性的问题。所以应该使用超时操作选项来回收NAT池的全局地址。另外，由于每次的地址转换是动态的，所以同一个节点在不同的连接中的全局地址是不同的，这会使SNMP的操作复杂化。 中国网管联盟bitsCN.com

　　（3）端口地址转换 网管论坛bbs_bitsCN_com

　　端口地址转换首先是一种动态地址转换，但是它可以允许多个内部本地地址共用一个内部合法地址。对只申请到少量IP地址但却经常同时有多个用户上外部网络的情况，这种转换极为有用。

   三、具体配置 网管u家u.bitscn@com

　　下面我们讨论一下CISCO catalyst 6509交换机的具体配置。具体配置中由于涉及到网络安全机密，校园网的各个接口地址，包括校园网的地址、服务器的地址和电信的地址均由其他地址代替。其中：10.0.0.0/24和10.0.1.0/24表示校园网内部的地址，10.0.2.0/24表示校园网内部服务器的地址，192.168.0.0/24表示电信的地址。Ssr2路由器的ip地址为10.0.0.254，ssr1的ip地址为10.0.1.254。 网管联盟bitsCN_com

　　1． 设置默认路由指向ssr2路由器：

网管联盟bitsCN@com

    ip route 0.0.0.0 0.0.0.0 10.0.0.254 网管联盟bitsCN@com

    2． 对于所有教育网的国内站点（免费流量）设置静态路由，指向ssr1路由器。 网管网www_bitscn_com

    ip route 61.28.0.0 255.255.240.0 10.0.1.254
    ip route 61.48.0.0 255.248.0.0 10.0.1.254
    … …
    ip route 219.216.0.0 255.248.0.0 10.0.1.254
    ip route 219.232.0.0 255.248.0.0 10.0.1.254
    ip route 219.242.0.0 255.254.0.0 10.0.1.254
    ip route 219.244.0.0 255.252.0.0 10.0.1.254 网管下载dl.bitscn.com

　　3． 为了保证校园网中各院系的服务器流量都走教育网，需要配置策略路由。 网管下载dl.bitscn.com

　　（1） 配置服务器的访问控制列表（假设服务器的地址为10.0.2.6，10.0.2.8，10.0.2.10）：

    access  -list 110 permit ip host 10.0.2.6 any
    access  -list 110 permit ip host 10.0.2.8 any
    access  -list 110 permit ip host 10.0.2.10 any

    （2） 配置基于所有教育网的国内站点（免费流量）的访问控制列表： 中国网管联盟bitsCN.com

    access  -list 112 permit ip host 10.0.2.6 any
    access  -list 112 permit ip host 10.0.2.8 any
    access  -list 112 permit ip host 10.0.2.10 any
    access  -list 112 permit ip any 61.28.0.0 0.0.15.255
    access  -list 112 permit ip any 61.48.0.0 0.7.255.255
    … …
    access  -list 112 permit ip any 219.216.0.0 0.7.255.255
    access  -list 112 permit ip any 219.232.0.0 0.7.255.255
    access  -list 112 permit ip any 219.242.0.0 0.1.255.255
    access  -list 112 permit ip any 219.244.0.0 0.3.255.255
    access –list 112 deny   ip any any 网管联盟bitsCN_com

　　（3） 配置策略路由，特定的服务器所有流量都经由ssr1到教育网，其它的流量经ssr2到电信出口： 中国网管联盟bitsCN.com

    route – map server permit 10
    match ip address 110
    set ip next –hop 10.0.1.254
    route – map todianxin permit 10
    match ip address 112
    set ip next –hop 10.0.0.254

　　（4） 完全保证没有非授权流量从教育网流出，应当把中国教育科研网的免费地址访问控制列表（即上文中的 access –list 112访问控制列表）应用连接到ssr1路由器的端口。 网管u家u.bitscn@com

    这样，就保证了正常的路由指向。 网管bitscn_com

　　4、进行ssr2的NAT配置。配置ssr2路由器快速以太网接口fastethernet0/0连接6509交换机，快速以太网接口fastethernet0/1连接DDN专线，其中0/0端口为NAT内部接口，0/1端口为NAT的外部接口。配置如下：

网管下载dl.bitscn.com

    interface fastethernet0/0
    ip address 10.0.0.254 255.255.255.252
    ip nat inside
    interface fastethernet0/1
    ip address 192.168.0.254 255.255.255.252
    ip nat outside
    ip nat pool dianxin 192.168.0.65 192.168.0.90 netmask     255.255.255.224  //设置对外访问地址
    ip route 0.0.0.0 0.0.0.0 192.168.0.253 //配置默认路由
    ip route 10.0.0.0 255.255.248.0 10.0.0.253 //配置静态路由
    access –list 100 permit ip 10.0.0.0 0.0.7.255 any //指定NAT范围
    ip nat inside source list 100 pool dianxin overload 网管联盟bitsCN@com

　　四、结语

　　通过以上配置，完成了园网的双出口方案。但是在使用过程中，由于公众网用户仍然通过教育网访问学校主页，存在访问速度较慢的问题。为了解决这个问题，我们做了一个教育网IP地址到电信IP地址的映射，较好的解决了这个问题。 网管论坛bbs_bitsCN_com

　　校园网的双出口已为越来越多的学校所采纳，解决方案亦是仁者见仁、智者见智。在确定方案的时候，应根据所选用的设备和设计要求，合理的进行设计。

网管u家u.bitscn@com