校園網多出口訪問控制技術研究

高新成 (東北石油大學現代教育技術中心,黑龍江 大慶 163318)

目前,隨著高校信息化的發展和數字化校園的建設,校園網絡應用日趨復雜化,普遍采用網絡多出口方式。通常為中國教育和科研計算機網CERNET出口 (以下簡稱教育網)和本地互聯網服務提供商ISP提供的出口 (一般為電信網TELECOM和新聯通網UNICOM)。ISP提供的出口通常是包月形式,無論學校使用的流量有多大,每月固定收取一定出口費用。由于訪問教育網的資源速度比較慢,而且教育網中有些資源對ISP提供的網絡是屏蔽的,如果學校只使用ISP提供的出口,則會造成無法正常利用教育網資源。教育網出口可以免費訪問一部分網絡地址,對于其余地址的訪問,是按照流量收費的,如果完全通過CERNET來對外訪問,則會因為流量巨大造成網絡資費過高。

下面筆者基于速度、資源利用情況和費用的綜合因素考慮,根據高校校園網建設的實際情況,提出了一種在校園網多出口環境中實現不同源/目的網段的數據包由指定的出口進出的方案。

1 策略路由結合NAT和動態DNS技術的訪問控制

1.1 策略路由 (Policy Based Routing)技術

策略路由提供了一種更復雜的包轉發機制,通過定義適當的策略,不僅可以實現基于數據包目的IP地址的路由選擇策略,而且可以實現基于數據包源IP地址、數據包大小、應用層協議、負載平衡等策略選擇路由。在該技術方案的研究和應用中,主要考慮如何根據源IP地址和目的IP地址來選擇路由。策略路由選擇禁止內部局域網用戶從教育網這條鏈路訪問非免費網站,有效控制了國際流入量的費用,對所有需要使用教育網出口的內部用戶制定源地址路由。所有對校園網資源的訪問增加了相應的策略路由,同時制定了安全策略,增強了內部網絡安全性,比較理想地解決了高校用戶的需求。

1.2 NAT(Network Address Translation)技術

NAT是一種成熟的技術方案,用于解決因合法IP地址過少而引起的種種問題。其解決的方法是:在內部使用保留的IP地址,當內部與外部網絡通信時,將內部保留地址翻譯成合法的IP地址,使通信能正常進行。NAT分為3種類型:靜態NAT(static NAT)、NAT池 (Pooled NAT)和端口 NAT(PAT)。靜態NAT將內部網絡中的每個主機都永久映射成外部網絡中的某個合法的地址;而NAT池則是在外部網絡中定義了一系列的合法地址,采用動態分配的方法映射到內部網絡;端口NAT則是把內部地址映射到外部網絡的一個IP地址的不同端口上。

在該技術方案的研究和應用中,主要采用NAT池 (Pooled NAT)方法,定義一個NAT池,全局地址在NAT池中列出,當內部與外部通信時,動態的從NAT池中選擇全局地址進行轉換。這樣每個連接動態建立,當通信終止時全局地址被重新放回NAT池中,這樣就可大大減少全局地址的數量。

2 訪問控制策略的動態配置

2.1 防火墻的有關配置

根據校園網訪問流量和本地ISP線路的帶寬的大小,出口使用2個千兆防火墻,防火墻FireWall-RG1600A連接在網通出口,防火墻FireWall-RG1600連接電信出口和教育網出口[5]。并在2臺防火墻上實現NAT地址轉換。

1)網通出口防火墻 (FireWall-RG1600A)。①設置動態IP地址池:

序號 名稱 地址 備 注1 Nat 60.218.184.0/255.255.255.128 聯通出口

②設置和應用NAT規則:

序號 規則名 源地址 目的地址 服務 類型 備 注1 P3 Local-Cernet any any NAT規則 地址轉換2 P2 Local any any 允許3 P1 any any any 禁止

2)電信和教育網出口防火墻 (FireWall-RG1600)。①設置動態IP地址池:

序號 名稱 地址 備 注1 Nat1 210.46.137.0/255.255.255.128 教育出口2 Nat2 222.170.73.0/255.255.255.128 電信出口

②設置和應用NAT規則:

序號 規則名 源地址 目的地址 服務 類型 備 注1 P4 Local Telecom any NAT規則 地址轉換2 P3 Local-Unicom any any NAT規則 地址轉換3 P2 Local any any 允許4 P1 any any any 禁止

③配置靜態路由策略路由:

類型 源地址 目的地址 下一跳 備 注路由 any 0.0.0.0/0.0.0.0 210.46.137.254 靜態路由,默認走教育網出口路由 any 58.44.0.0/255.252.0.0 222.170.73.254 路由選擇,優先走電信網出口路由 any 58.56.0.0/255.254.0.0 222.170.73.254 路由選擇,優先走電信網出口路由 any ……………………… 222.170.73.254 省略路由 any 218.57.9.0/255.255.255.0 222.170.73.254 路由選擇,優先走電信網出口

2.2 策略路由在路由器上的相關配置

考慮到較大的路由表在路由器上能夠實現高速轉發優點,選擇在路由器上實現策略路由技術,根據數據包目的地址選擇路由,網通防火墻地址為192.168.1.1,電信和教育網防火墻地址為192.168.1.5,數據包根據路由表優先選擇電信和教育網出口防火墻,默認選擇網通出口防火墻,具體配置如下:

2.3 動態DNS的有關配置

該技術方案是在Solaris 9操作系統環境下應用BIND 9中的View功能可以實現根據不同的來源IP地址在查詢該DNS時,域名解析能有不同查詢狀態或回應信息。具體配置如下:

3 結 語

校園網通過在防火墻上應用NAT規則、在路由器上應用策略路由轉發和動態DNS技術,很好的解決了以前在校園網多出口實施中存在的問題,實現了校園網與公眾網的高速連接,降低了國際流量,節約了網絡運行費用,同時利用雙防火墻使校園網系統安全也得到了應有的保障。

[1]黃敏,張衛東.基于策略路由的網絡設計與實踐 [J].計算機應用,2002,22(5):72～73.

[2]Jeff Doyle.TCP/IP路由技術 [M].北京:人民郵電出版社,2003.

[3]趙穎.基于策略路由的多接口NAT實現 [J].西北民族大學學報 (自然科學版),2004,25(2):61～64.

[4]譚明佳.DNS技術的應用分析 [J].計算機工程與設計,2004,25(4):596～598.

[5]劉偉,崔永鋒.基于防火墻和策略路由的校園網雙出口實現[J].周口師范學院學報,2006,23(2):101～103.