軟路由在校園網(wǎng)中的應(yīng)用

牛繼來(lái)

摘 要：隨著因特網(wǎng)規(guī)模的不斷擴(kuò)大，軟路由技術(shù)受到了人們的廣泛關(guān)注，并正在逐漸占領(lǐng)更多的硬件路由技術(shù)市場(chǎng)。軟路由技術(shù)可應(yīng)用于多種操作系統(tǒng)平臺(tái)，具有配置靈活、成本低、內(nèi)置網(wǎng)絡(luò)支持和高度模塊化等優(yōu)點(diǎn)，因而獲得廣泛應(yīng)用。

關(guān)鍵詞：軟路由 交換機(jī) 局域網(wǎng)

學(xué)校網(wǎng)絡(luò)的應(yīng)用在學(xué)校日常教學(xué)工作中十分重要，它既要保證內(nèi)網(wǎng)的暢通，又要與外網(wǎng)實(shí)現(xiàn)安全連接，在實(shí)際的工作中，以我校為例，采用的是軟路由的方式對(duì)學(xué)校整體網(wǎng)絡(luò)進(jìn)行管理。

一、軟路由的優(yōu)勢(shì)

1、高速轉(zhuǎn)發(fā)

軟路由服務(wù)器應(yīng)該提供內(nèi)網(wǎng)與外網(wǎng)數(shù)據(jù)高速轉(zhuǎn)發(fā)的功能。路由器最基本且最重要的功能是數(shù)據(jù)包轉(zhuǎn)發(fā)。在同樣端口速率下轉(zhuǎn)發(fā)小包是對(duì)路由器包轉(zhuǎn)發(fā)能力最大的考驗(yàn)。全雙工線速轉(zhuǎn)發(fā)能力是指以最小包長(zhǎng)以太網(wǎng)字節(jié)和符合協(xié)議規(guī)定的最小包間隔在路由器端口上雙向傳輸同時(shí)不引起丟包。該指標(biāo)是路由器性能重要指標(biāo)。

2、運(yùn)行穩(wěn)定

軟路由系統(tǒng)必須具備防止出現(xiàn)路由環(huán)路問(wèn)題的穩(wěn)定性。路由環(huán)路是由網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)生變化之后立即出現(xiàn)的虛假路由信息廣播引起的，可造成網(wǎng)絡(luò)的崩潰。

3、有效的內(nèi)網(wǎng)控制

校園網(wǎng)軟路由系統(tǒng)為內(nèi)網(wǎng)絡(luò)正常運(yùn)行提供保護(hù)，因此應(yīng)該提供一定的訪問(wèn)控制策略，讓不同的區(qū)域有不同的訪問(wèn)權(quán)限。而基于的路由比基于路由的一個(gè)優(yōu)勢(shì)就在于，前者能夠提供更細(xì)粒度的訪問(wèn)控制管理，即針對(duì)具體應(yīng)用服務(wù)實(shí)施訪問(wèn)控制策略。

4、安全保障

軟路由系統(tǒng)的一個(gè)職責(zé)是保障安全，保障互聯(lián)網(wǎng)數(shù)據(jù)傳輸安全的基本機(jī)制包括數(shù)據(jù)認(rèn)證、信息保密、信息完整性。因此校園網(wǎng)路由系統(tǒng)起碼要有以上三方面的安全保障。

二、設(shè)置與優(yōu)化軟路由

我校校園網(wǎng)采用核心交換機(jī)，全光纖接入中國(guó)教育和科研計(jì)算機(jī)網(wǎng)，提供的接入速率完全能夠滿(mǎn)足目前校園網(wǎng)視頻、語(yǔ)音等多媒體業(yè)務(wù)傳輸?shù)男枨蟆Ｍ瑫r(shí)，接入的有圖書(shū)館子網(wǎng)、新建主樓子網(wǎng)、行政子網(wǎng)、實(shí)驗(yàn)樓子網(wǎng)、計(jì)算機(jī)機(jī)房子網(wǎng)。校園網(wǎng)上運(yùn)行的主要服務(wù)器有服務(wù)器、及流媒體服務(wù)器、郵件服務(wù)器、服務(wù)器、教學(xué)管理系統(tǒng)服務(wù)器、網(wǎng)絡(luò)版殺毒軟件服務(wù)器、圖書(shū)館數(shù)據(jù)庫(kù)服務(wù)器等。另外，考慮到網(wǎng)絡(luò)的安全性問(wèn)題，在接入Internet前，安裝了防火墻，防止來(lái)自工的非法入侵在學(xué)校機(jī)房，我們使用軟路由和winbox軟件配合管理機(jī)房網(wǎng)絡(luò)，在安裝配置好軟路由后，需要用winbox對(duì)其連接控制，首先必須激活和配置網(wǎng)卡的ip 掩碼等。這里裝了兩塊網(wǎng)卡，一塊接電信，一塊路由后接內(nèi)網(wǎng)交換機(jī)。

首先看看兩塊網(wǎng)卡是否都被識(shí)別出來(lái)了，命令是：

/interface

print

可以縮寫(xiě)為

/int

pri

接下來(lái)進(jìn)行激活，命令是：

ENABLE 0

ENABLE 1

0是第一塊網(wǎng)卡。

激活后沒(méi)有提示。用print命令查看后發(fā)現(xiàn)網(wǎng)卡前面的X變成R，就代表激活成功了。

如果學(xué)校機(jī)房機(jī)器數(shù)量超過(guò)500以上的網(wǎng)絡(luò)共享上網(wǎng)的話，建議使用ROS（NAT）做3層交換機(jī)的方式：

下面就詳細(xì)講ROS 和3層交換機(jī)上如何配制：

假設(shè)500臺(tái)機(jī)器劃分為5段，每段機(jī)100臺(tái)，分別的網(wǎng)段是192.168.1.X----192.168.5.X。ROS的內(nèi)網(wǎng)地址就設(shè)置為192.168.0.1， 三層交換機(jī)的WAN口地址設(shè)置為192.168.0.2。

ROS 配置：

ROS內(nèi)網(wǎng)地址

1 192.168.0.1/24 192.168.0.0 192.168.0.255 LAN

ROS 做地址隱藏要將全部節(jié)點(diǎn)的IP都要包括進(jìn)去，它的命令是：

src-address=192.168.0.0/16 action=masquerade

給ROS指回頭路由到三層交換機(jī)：

ip route add dst-address=192.168.1.0/24 gateway=192.168.0.2

ip route add dst-address=192.168.2.0/24 gateway=192.168.0.2

ip route add dst-address=192.168.3.0/24 gateway=192.168.0.2

ip route add dst-address=192.168.4.0/24 gateway=192.168.0.2

ip route add dst-address=192.168.5.0/24 gateway=192.168.0.2

三層交換機(jī)配置：

由于三層交換機(jī)各廠家配制命令不一樣，這里介紹大致配置步驟，先給三層交換機(jī)配置WAN口地址 192.168.0.2，靜態(tài)網(wǎng)關(guān) 0.0.0.0 0.0.0.0 192.168.0.1。

然后新建立5個(gè)VLAN，分別是 VLAN100、VLAN101、VLAN102、VLAN103、VLAN104，其個(gè)VLAN的IP地址分別為192.168.1.1，192.168.2.1，192.168.3.1，192.168.4.1，192.168.5.1

最后根據(jù)需要分配每個(gè)VLAN分配的端口，為了降低成本，可以用ROS直接添加多個(gè)網(wǎng)卡直接分段，效果也不錯(cuò)。

三、軟路由的管理與維護(hù)

在日常網(wǎng)絡(luò)維護(hù)中，我們也發(fā)現(xiàn)軟路由存在的問(wèn)題并進(jìn)行有效解決。

第一，通過(guò)設(shè)置軟路由服務(wù)器訪問(wèn)校園網(wǎng)資源的速度比直接訪問(wèn)校園網(wǎng)資源的速度略有降低。

第二，同時(shí)隨著內(nèi)網(wǎng)客戶(hù)端數(shù)量增加時(shí)，訪問(wèn)速度也會(huì)受到一定影響，有時(shí)會(huì)出現(xiàn)網(wǎng)頁(yè)打不開(kāi)之類(lèi)的現(xiàn)象。

以上問(wèn)題主要是因?yàn)閭鬏敂?shù)據(jù)時(shí)需要通過(guò)路由轉(zhuǎn)換進(jìn)行數(shù)據(jù)傳輸，占用了資源，因此下列解決方法是可以嘗試的

第一，提高軟路由服務(wù)器的配置，主要是提高處理器速度。

第二，當(dāng)用戶(hù)數(shù)量比較大時(shí)，可通過(guò)配置多服務(wù)器負(fù)載均衡來(lái)進(jìn)行流量分擔(dān)。

第三，校園網(wǎng)的安全要求并不太高，也可以將策略配置簡(jiǎn)化，以節(jié)省資源，換取處理速度的提高。ROS 里TCP-STATE Close 狀態(tài)過(guò)多，原因是ROS里TCP-STATE 連接狀態(tài)默認(rèn)時(shí)間是一天，這樣要等24小時(shí)候ROS才會(huì)關(guān)掉這個(gè)連接，這個(gè)可以在Tracking 里把連接時(shí)間設(shè)置小一點(diǎn)，但是也有點(diǎn)副作用。最好的辦法是用腳本定時(shí)清除，首先，在ROS的 SYSTEM 下的 Scripts 里建一個(gè)腳本，然后在ROS的 SYSTEM 下的 Scheduler 里建一個(gè)任務(wù)，時(shí)間設(shè)成一分鐘執(zhí)行一次腳本。

創(chuàng)建好軟路由，我們就可以通過(guò)winbox來(lái)控制管理整個(gè)網(wǎng)絡(luò)。校園中有幾個(gè)計(jì)算機(jī)機(jī)房與校園網(wǎng)相連，而且機(jī)房中的機(jī)器數(shù)量比較多，這樣地址占用就會(huì)比較多。雖然可以使用專(zhuān)門(mén)的設(shè)備來(lái)解決，但是成本會(huì)比較高，使用起來(lái)也不是很靈活。另外，這部分機(jī)器上網(wǎng)經(jīng)常會(huì)出現(xiàn)一些安全問(wèn)題，這樣會(huì)使校園網(wǎng)其它區(qū)域受到影響尤其是財(cái)務(wù)部門(mén)，這樣就需要對(duì)這部分網(wǎng)絡(luò)加以控制。雖然可以使用專(zhuān)門(mén)的路由設(shè)備或者防火墻來(lái)進(jìn)行控制，但也是出于成本的問(wèn)題況且二次開(kāi)發(fā)也不是很靈活。隨著學(xué)校辦學(xué)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)資源應(yīng)用的普及，廣大師生越來(lái)越強(qiáng)烈地希望能安全地享用網(wǎng)絡(luò)資源。從校園網(wǎng)現(xiàn)狀的分析中可以看出，計(jì)算機(jī)機(jī)房使校園網(wǎng)地址的數(shù)量和校園網(wǎng)的安全受到一定程度的影響。對(duì)計(jì)算機(jī)機(jī)房從網(wǎng)絡(luò)接入層進(jìn)行控制最主要是出于地址分配和網(wǎng)絡(luò)安全的考慮，所以在擴(kuò)展資源訪問(wèn)范圍的同時(shí)，絕不能給校園網(wǎng)安全帶來(lái)漏洞。

軟路由技術(shù)的宗旨是為校園網(wǎng)內(nèi)局部區(qū)域接入服務(wù)提供安全支持，所以提高接入服務(wù)質(zhì)量和有效的控制，也是今后需要完成的工作，這也能更大地體現(xiàn)軟路由系統(tǒng)的價(jià)值。

參考文獻(xiàn)：

[1] ROS在學(xué)校機(jī)房管理中的應(yīng)用[J].陳海平，許馳.科技信息.009（19）

[2]高校網(wǎng)絡(luò)機(jī)房共享上網(wǎng)的實(shí)現(xiàn)原理及方式[J]. 蒙磊，王曉波.科技信息（學(xué)術(shù)研究）.2008（34）endprint