《校园网双出口方案》由会员分享,可在线阅读,更多相关《校园网双出口方案(4页珍藏版)》请在金锄头文库上搜索。
1、实例:校园网双出口的设计与配置实现校园网是高校的信息化建设的基础设施,是教学科研管理信息化和现代化的重要平台。大部 分高校校园网从初建至今已有几年的历史。初建时,一般都是租用一条DDN线路连接到中 国教育和科研计算机网(CERNET)。由于中国教育科研网与一般的电信级运营网络不同,没 有非常充裕的线路、设备冗余,有可能发生单点故障,对于校园网的稳定运行有一定的影响。 同时,通过CERNET访问其他的共众网如CHINANET、GBNET等速率缓慢。随着校园网用户 量增加和基于校园网络的各种网络应用的展开,要求校园网络出口具有较高的网络带宽,原 有单一的CERNET出口已不能满足,有必要进一步扩大
2、带宽,通过当地网络服务提供商(ISP) 开辟第二出口连入INTERNET是较好的解决途径,许多学校采用了教育网和电信(或联通、 铁通等)第二出口的双出口方案,既可以保留教育网资源,同时可以增加带宽,提高了访问 INTERNET资源的速度。各个学校采用了不同的技术实现双出口,但是基本上思路是相同的:对于访问教育网资 源和mail流量走教育网出口,对于用户上网来说,走第二出口。这样,一方面提高了校园 网出口的冗余,增加了校园网的稳定性,另一方面,也解决了校外访问校园网速度过慢的问 题,同时,有效减少教育网的国际流量,降低网络运行费用。第二出口从连接方式上来说,可以采用DDN专线、ISDN、ADSL
3、等多种技术,具体可以 根据需求选择,在本文中不予以讨论。一、双出口的解决方案我校在原有一条CERNET接入链路的基础上,通过电信开辟了第二出口。而增加了校园 网络出口线路,从理论上说提高了网络带宽,但是如果不调整原有网络系统的结构,其效果 不能体现。对该方案,我们有以下几方面的要求:(1)客户端IP地址设置不受影响,即不用重新设置地址就可以正常上网;(2)客户端访问教育科研网的网站时,出口线路CERNET,访问其他站点时,走中国电 信线路出口。(3)解决外部公众网的用户访问我校校园网主页的速度过慢的问题。(4)校园网络中的邮件走CERNET线路。(5)尽可能的节约校园网调整、改造的投资。校园网
4、原出口结构和双出口解决方案结构如图1所示: attach276901/attach 图1从图1中可以看到,CISCO catalyst 6509交换机是我校校园网的核心交换机,ssr1是教 育网的接入设备,ssr2是电信第二出口的接入设备通过在CISCO catalyst 6509交换机上配置 静态路由和策略路由,保证授权的服务器和mail的所有流量都经ssr1到教育网,其它的所 有流量经ssr2到电信出口。同时,在ssr2上使用了 NAT技术,使有限的电信IP地址可以满 足大量校园网并发访问的需求,同时也相应提高了安全系数。二、涉及的网络技术第二出口方案中涉及技术有如下几种:1、代理服务器技
5、术代理服务器一端接入Internet,另一端接入中心路由器,通过代理服务软件实现客户端上 网。这种方式配置简单,设备费用低廉,并且不需要大规模改变原有的设备连接和配置。但 是相对来说,由于是通过代理软件实现共享上网,访问速度容易受到影响。2、路由选择静态路由是在路由器中设置的固定的路由表。除非网络管理员干预,否则静态路由不会 发生变化。由于静态路由不能对网络的改变作出反映,一般用于网络规模不大、拓扑结构固 定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中,静态路由优先级最高。 当动态路由与静态路由发生冲突时,以静态路由为准。这种方式对于设备的要求较高,配置 相对繁琐,但是上网的路由
6、选择与用户无关,用户的上网方式无需进行任何改动,可操作性 较好。同时,网络管理人员可以根据两个出口的带宽和流量情况,调整路由指向。3、策略路由技术在路由器进行包转发决策过程中,通常是根据所接受的包的目的地址进行的。路由器根 据包的目的地址查找路由表,从而作出相应的最优路由转发决策。当欲使某些包由其他路径 而不是明确的最短路径路由时,就可以启用策略路由,即按照我们具体需要来决定数据包的 路由。基于策略路由有如下几种方式,即:基于源IP地址的策略路由;基于数据包大小的 策略路由;基于应用的策略路由;通过缺省路由平衡负载。根据实际情况我们需要特定如邮 件等服务器接受和发送包的路径是通过CERNET,
7、所以选择的是基于源IP地址的策略路由。 这种方式是最佳选择,但是设备要求比较高。在使用路由选择时,一般采用NAT地址转换技术解决内外网地址的转换问题。NAT 就是在内部专用网络中使用内部地址,而当内部节点要与外界网络发生联系时,就在边缘路 由器或者防火墙处,将内部地址替换成全局地址合法地址,从而在外部公共网上正常使用。 目前NAT功能通常被集成到路由器、防火墙等设备中。NAT设备维护一个NAT表,用它来 实现全局到本地和本地到全局地址的映射。NAT设置可以分为静态地址转换、动态地址转换 和端口地址转换。(1)静态地址转换静态NAT是这三种中最容易实现的一种,它在NAT表中为每一个需要转换的内部
8、地址 创建了固定的转换条目,映射了唯一的全局地址。内部地址与全局地址一一对应。每当内部 节点与外界通信时,内部地址就会转化为对应的全局地址。这种方式主要用于服务器,以确 保外部对服务器的正确访问。(2)动态地址转换增加了网络管理的复杂性,但也提供了很大的灵活性。它将可用的全局地址地址集定义 成NAT池(NATPool)。对于要与外界进行通信的内部节点,如果还没有建立转换映射,边缘 路由器或者防火墙将会动态地从NAT池中选择全局地址对内部地址进行转化。每个转换条 目在连接建立时动态建立,而在连接终止时会被回收。这样,网络的灵活性大大增强了,所 需要的全局地址进一步地减少。需要注意的是,在地址池中
9、的可用地址被耗尽后,后续的连 接请求将会失败,会造成网络连通性的问题。所以应该使用超时操作选项来回收NAT池的 全局地址。另外,由于每次的地址转换是动态的,所以同一个节点在不同的连接中的全局地 址是不同的,这会使SNMP的操作复杂化。(3)端口地址转换端口地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内 部合法地址。对只申请到少量IP地址但却经常同时有多个用户上外部网络的情况,这种转 换极为有用。三、具体配置下面我们讨论一下CISCO catalyst 6509交换机的具体配置。具体配置中由于涉及到网络 安全机密,校园网的各个接口地址,包括校园网的地址、服务器的地址和电
10、信的地址均由其 他地址代替。其中:10.0.0.0/24和10.0.1.0/24表示校园网内部的地址,10.0.2.0/24表示校 园网内部服务器的地址,192.168.0.0/24表示电信的地址Ssr2路由器的ip地址为10.0.0.254, ssr1 的 ip 地址为 10.0.1.254。1. 设置默认路由指向ssr2路由器:ip route 0.0.0.0 0.0.0.0 10.0.0.2542. 对于所有教育网的国内站点(免费流量)设置静态路由,指向ssr1路由器。ip route 61.28.0.0 255.255.240.0 10.0.1.254ip route 61.48.0.
11、0 255.248.0.0 10.0.1.254ip route 219.216.0.0 255.248.0.0 10.0.1.254ip route 219.232.0.0 255.248.0.0 10.0.1.254ip route 219.242.0.0 255.254.0.0 10.0.1.254ip route 219.244.0.0 255.252.0.0 10.0.1.2543. 为了保证校园网中各院系的服务器流量都走教育网,需要配置策略路由。(1) 配置服务器的访问控制列表(假设服务器的地址为10.0.2.6, 10.0.2.8, 10.0.2.10):access -list
12、 110 permit ip host 10.0.2.6 anyaccess -list 110 permit ip host 10.0.2.8 anyaccess -list 110 permit ip host 10.0.2.10 any(2) 配置基于所有教育网的国内站点(免费流量)的访问控制列表:access -list 112 permit ip host 10.0.2.6 anyaccess -list 112 permit ip host 10.0.2.8 anyaccess -list 112 permit ip host 10.0.2.10 anyaccess -list 1
13、12 permit ip any 61.28.0.0 0.0.15.255access -list 112 permit ip any 61.48.0.0 0.7.255.255access -list 112 permit ip any 219.216.0.0 0.7.255.255access -list 112 permit ip any 219.232.0.0 0.7.255.255access -list 112 permit ip any 219.242.0.0 0.1.255.255access -list 112 permit ip any 219.244.0.0 0.3.25
14、5.255access - list 112 deny ip any any(3) 配置策略路由,特定的服务器所有流量都经由ssrl到教育网,其它的流量经ssr2 到电信出口:route - map server permit 10match ip address 110set ip next - hop 10.0.1.254route - map todianxin permit 10match ip address 112set ip next -hop 10.0.0.254(4) 完全保证没有非授权流量从教育网流出,应当把中国教育科研网的免费地址访问 控制列表(即上文中的access -
15、 list 112访问控制列表)应用连接到ssr1路由器的端口。这样,就保证了正常的路由指向。4、进行ssr2的NAT配置。配置ssr2路由器快速以太网接口 fastethernet0/0连接6509 交换机,快速以太网接口 fastethernet0/1连接DDN专线,其中0/0端口为NAT内部接口, 0/1端口为NAT的外部接口。配置如下:interface fastethernet0/0ip address 10.0.0.254 255.255.255.252ip nat insideinterface fastethernet0/1ip address 192.168.0.254 25
16、5.255.255.252ip nat outsideip nat pool dianxin 192.168.0.65 192.168.0.90 netmask 255.255.255.224 设置对外访问 地址ip route 0.0.0.0 0.0.0.0 192.168.0.253 /配置默认路由ip route 10.0.0.0 255.255.248.0 10.0.0.253 /配置静态路由access - list 100 permit ip 10.0.0.0 0.0.7.255 any /指定 NAT范围ip nat inside source list 100 pool dianxin overload四、结语通过以上配
