校園網多出口環境下的路由策略研究與應用

王世鋒

摘 要： 分析了目前高校多出口網絡環境下存在的諸多問題，提出了適合青島職業技術學院現狀的解決方案，即利用DNS view功能實現按源請求地址返回服務器不同IP地址，并配合防火墻路由策略較好地解決了校外用戶快速訪問校內資源，以及校內用戶快速訪問互聯網的問題。

關鍵詞： 多出口環境； 路由策略； DNS VIEW； 校園網

中圖分類號：TP393.07 文獻標志碼：A 文章編號：1006-8228（2014）03-11-02

0 引言

目前，國內高校在信息化建設方面有了較大的進步，校園網為校園各項應用提供了有效支撐，萬兆骨干網絡已成為各高校校園網的基本建設要求。師生在校園內部訪問校內資源十分快捷；然而，校內用戶訪問校外資源或校外用戶訪問校內資源卻嚴重受制于目前國內運營商網絡的互聯互通的瓶頸。為此，各高校基本上都引入了多個網絡出口，至少也有兩個。以青島職業技術學院為例，已有中國教育網、中國電信、中國聯通、中國移動四條出口鏈路。而對于如何有效利用多條鏈路為師生員工與校外用戶提供網絡服務，各高校走出了不同的實踐之路。作者在總結、借鑒其他高校經驗基礎上，根據學院實際進行了研究和探索，提出了一個整體解決方案。

1 校園網絡概況及多出口環境下存在的問題

1.1 校園網概況

青島職業技術學院校園網采用典型的三層結構模型：核心、匯聚、接入，各層之間鏈接以千兆鏈路為主。因網絡結構清晰且變動較少，故在各層間采用靜態路由方式。出口設備采JUNIPER netscreen isg2000防火墻，連接教育網100Mbps鏈路、中國電信100Mbps鏈路、中國聯通100Mbps鏈路、中國移動1Gbps鏈路。并在防火墻上做NAT進行地址轉換，同時防火墻還承擔出口路由策略設置和內網的基本安全防護。

在IP地址劃分上，對外公共服務器，如網站、郵件系統等分配的是中國教育科研網地址，校園內部應用服務器因安全考慮則分配私有地址。辦公用戶地址是以中國教育網分配的公有地址為主；因為受到分配的公有地址數量限制，所以電子閱覽室、學生公寓及校園無線網絡均采用私有地址。

1.2 多出口校園網環境存在的問題

在多出口校園網絡環境下，面對學院對外開放教育資源服務及校內用戶不同的對外訪問需求，通過梳理，可總結歸納為以下兩大問題。

⑴ 校內用戶如何快捷、高效地訪問互聯網資源。校園網多條出口鏈路帶寬不同，提供的服務也有區別，如何選擇合適的路由提供優質網絡服務是解決問題的關鍵。

⑵ 因對外公共服務器使用教育網地址，校外用戶在訪問這些服務器資源時就會通過教育網鏈路訪問。但如果校外用戶使用的是中國聯通等非教育科研網絡，則通常會存在資源響應時間過長、甚至無法觀看教學視頻等問題。

2 校內用戶訪問互聯網

校園網作為互聯網絡的邊界接入點，要解決校內用戶訪問互聯網路由選擇問題，可以根據所訪問的服務器地址屬于哪個運營商在防火墻上配置相應的路由策略[1]。這樣，一方面可以分散各出口鏈路上的網絡流量，另一方面也可實現就近訪問，在一定程度上提高了網絡訪問速度。以下給出具體實施過程。

⑴ 從亞太互聯網信息中心（apnic）獲取各電信運營商的IP地址分配情況。

從apnic的ftp站點下載獲取IP分配信息的工具ripe-dbase-

client-v3.tar.gz，并在liunx下安裝，可通過該工具提供的命令獲取各運營商的IP地址分配信息。以中國電信為例：

./whois3 -h whois.apnic.net -l -imb MAINT-CHINANET > /var/

chinanet

從chinanet文件中可整理出apnic分配給中國電信的IP地址段。

⑵ 根據獲取的IP地址段信息，在防火墻上配置靜態路由[2]。從而依據目的IP地址屬于哪個運營商便從相應鏈路訪問互聯網。配置命令如下：

set route 202.106.0.0/16 interface ethernet3/2

gateway 123.234.130.145[3]

set route 202.107.0.0/17 interface ethernet3/2

gateway 123.234.130.145

set route 202.108.0.0/16 interface ethernet3/2

gateway 123.234.130.145

…

對于運營商新增的未及時更新的IP地址段及其他國家或地區的地址段，可采用默認路由方式指定訪問鏈路。如：

set route 0.0.0.0/0 interface ethernet3/2

gateway 123.234.130.145

然而對于某些地址段，采用默認路由方式訪問并不是最佳選擇，可根據特殊需求，調整路由策略，以便為用戶提供最優的訪問體驗。

⑶ 對于像電子郵件系統等那些采用源地址驗證的應用和學生公寓、電子閱覽室等大流量用戶群，只允許從特定鏈路訪問互聯網，可采用源地址路由策略。配置命令如下：

set route source 222.195.192.8/32 interface

ethernet1/2 gateway 172.18.1.5

set route source 10.100.11.0/24 interface

ethernet1/2 gateway 172.18.1.5

set route source 10.10.0.0/16 interface ethernet4/2

gateway 111.17.223.33

…

然而，運營商IP地址段不斷變化，這就需要及時從apnic更新信息，并在防火墻上定期調整配置，從而保證路由策略的有效性。

3 校外用戶訪問校內資源

校外用戶訪問校內資源如果只走教育網鏈路，顯然無法滿足需求。較好的解決辦法是，校外用戶屬于哪個電信運營商就從該運營商鏈路訪問校內資源。這樣，不僅可以緩解教育網鏈路壓力，同時也可實現就近訪問。以下為具體實施過程。

⑴ 向鏈路所屬電信運營商申請開放資源端口，特別是Web應用，必須向運營商備案開通80端口。如，精品課程網站2009jpkc.qtc.eu.cn需向中國教育網、中國電信、中國聯通等各個運營商備案登記，如表1所示。

表1 精品課程網站對應各運營商IP地址及端口號

[電信運營商＼&IP地址＼&端口號＼&中國教育網＼&222.195.192.18＼&80＼&中國電信＼&222.173.92.61＼&80＼&中國聯通＼&123.234.130.148＼&80＼&]

⑵ 在防火墻上配置IP地址映射（VIP）或端口映射（MIP）[4]，實現將用戶從校外訪問的運營商IP地址轉換成校內服務器上配置的教育網IP地址。如，中國電信用戶從電信鏈路訪問精品課程網站電信IP地址：222.173.92.61，則在防火墻上轉換為服務器上實際配置的教育網IP地址：222.195.192.18。配置命令如下：

set interface "ethernet2/2" mip 222.173.92.61 host

222.195.192.18 netmask 255.255.255.255 vr "trust-vr"

⑶ 為能夠給使用不同運營商網絡的校外用戶訪問服務器時返回對應運營商所屬的IP地址，需要在DNS上進行相應配置。以Linux系統下常用的DNS配置軟件bind[5]為例：

① 根據apnic獲得的各運營商IP地址段，創建相應的運營商IP地址段文件，如中國聯通ip.cncnet：

acl "CNCNET"{ 1.24.0.0/13； 1.56.0.0/13； 1.188.0.0/14； … }；

② 在name.conf文件中引入各運營商IP地址段文件，為不同運營商IP地址段創建相應的VIEW，并在VIEW中為同一個域名qtc.edu.cn創建不同的IP地址解析文件。

以中國聯通IP地址段為例：

#include “ip.cncnet”

view "CNCNET"

{

match-clients { CNCNET； }；

zone "qtc.edu.cn" in {

type master；

file "qtc.edu.cn.cncnet"；

}；

③ 在IP地址解析文件中，為各域名指定在運營商備案的IP地址，從而實現該運營商用戶訪問DNS時返回對應的IP地址。以下為qtc.edu.cn.cncnet文件部分內容：

$TTL 86400；

@ SOA dns1.qtc.edu.cn. root.dns1.qtc.edu.cn. （

2012070200 ； serial

28800 ； Refresh

14400 ； Retry

3600000 ； Expire

7200 ） ； Minimum

IN NS dns1.qtc.edu.cn.

2009jpkc IN A 123.234.130.149

…

通過實施上述措施，校外用戶訪問校內資源時，首先通過DNS獲取校內資源的IP地址，該地址屬于用戶上網的電信運營商。這樣，用戶僅僅在解析校內資源IP地址時走教育網鏈路，當實際訪問資源時則根據配置的路由策略完全走相應電信運營商的鏈路，極大地提高了資源訪問速度。

4 結束語

該解決方案已部署應用多年，較好地滿足了青島職業技術學院校園網內外用戶對各種資源的訪問需求。特別是在不多增加校園網設備，不多增加資金投入的情況下，該方案不失為一種有效的解決高校多出口網絡環境下資源訪問的方案。必須注意的是，該方案需要定期更新路由策略中的目的路由IP地址段和DNS中的IP地址段文件，并使之保持一致，才能確保該方案的有效性。

參考文獻：

[1] 黃敏，張衛東.基于策略路由的網絡設計與實踐[J].計算機應用，

2002.22（5）：72-73

[2] 肖捷.靜態路由選擇配置方案的設計[J].計算機工程，2000.26（8）：

141-143

[3] Juniper Networks，Inc.http：//www.juniper.net，2013.12.

[4] 禹龍，田生偉.網絡地址轉換（NAT）技術及其在校園網中的應用[J].計

算機工程，2004.30（6）：192-194

[5] Internet Systems Consortium， Inc. https：//kb.isc.org/article/

AA-0084 5/116/BIND-9.9-Administrator-Reference-Manual-

ARM.html，2013.12.