校園網(wǎng)雙出口的設(shè)計(jì)與實(shí)現(xiàn)

[摘 要] 校園網(wǎng)是教育現(xiàn)代化的主體，一般通過雙出口的方式實(shí)現(xiàn)流暢地訪問Internet網(wǎng)絡(luò)資源。通過實(shí)際應(yīng)用案例分析，詳細(xì)描述靜態(tài)路由、默認(rèn)路由、策略路由、NAT等具體命令配置，實(shí)現(xiàn)校園網(wǎng)雙出口。

[關(guān) 鍵 詞] 校園網(wǎng)；雙出口；靜態(tài)路由；策略路由；NAT；默認(rèn)路由

[中圖分類號(hào)] TN711 [文獻(xiàn)標(biāo)志碼] A [文章編號(hào)] 2096-0603（2017）21-0147-01

校園網(wǎng)是學(xué)校信息化建設(shè)的基礎(chǔ)設(shè)施，是實(shí)現(xiàn)教學(xué)科研管理信息化和現(xiàn)代化的重要平臺(tái)。目前大部分學(xué)校建立的校園網(wǎng)都是通過一條專門線路接入中國(guó)教育科研網(wǎng)（CERNET），以實(shí)現(xiàn)INTERNET應(yīng)用需求。但由于目前絕大多數(shù)的網(wǎng)絡(luò)資源都存在于公眾網(wǎng)，而利用教育科研網(wǎng)訪問公眾網(wǎng)的速度較慢，并且隨著校園網(wǎng)用戶的增加和網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展，其對(duì)網(wǎng)絡(luò)出口帶寬的需求進(jìn)一步加大，原有單一的CERNET出口已無法滿足需求，有必要通過當(dāng)?shù)鼐W(wǎng)絡(luò)服務(wù)提供商（ISP）提供第二出口接入INTERNET。

一、雙出口的基本思路

各個(gè)學(xué)?？梢圆捎貌煌募夹g(shù)實(shí)現(xiàn)雙出口，但是基本上思路是相同的，采用訪問教育網(wǎng)資源和校園網(wǎng)內(nèi)的服務(wù)器資源走教育網(wǎng)出口，用戶日常上網(wǎng)走第二出口。

二、雙出口的解決方案實(shí)例分析

某校在接入CERNET的基礎(chǔ)上，通過中國(guó)移動(dòng)增加了第二出口。其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖所示：

（一）對(duì)該方案，我們有以下幾方面的要求

（1）用戶正常上網(wǎng)走中國(guó)移動(dòng)線路出口，訪問教育科研網(wǎng)的網(wǎng)站時(shí)，出口線路CERNET。（2）校園網(wǎng)絡(luò)中的服務(wù)器走CERNET線路，外網(wǎng)用戶可以正常訪問校內(nèi)服務(wù)器資源。（3）用戶IP地址設(shè)置不受影響，即不用重新設(shè)置地址就可以正常上網(wǎng)。

（二）實(shí)現(xiàn)要求方法

（1）通過靜態(tài)路由設(shè)定訪問教育網(wǎng)資源走CERNET，默認(rèn)路由設(shè)置實(shí)現(xiàn)中國(guó)移動(dòng)線路出口。（2）通過策略路由實(shí)現(xiàn)服務(wù)器出口走CERNET線路，NAT實(shí)現(xiàn)服務(wù)器公網(wǎng)訪問。（3）通過NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）實(shí)現(xiàn)用戶上網(wǎng)。

三、實(shí)現(xiàn)雙出口的具體配置

路由器接口G1接教育科研網(wǎng)，IP地址設(shè)置為：101.77.x.2；路由器的接口G2接本地移動(dòng)網(wǎng)，IP地址設(shè)為：223.68.x.112。電信提供的接口地址為223.68.x.111；教育科研網(wǎng)提供的接口地址為101.77.x.1。服務(wù)器IP地址段為：172.17.1.0/24；對(duì)應(yīng)的公網(wǎng)IP地址段：101.x.x.0/24。因路由器的接口配置不是本文討論內(nèi)容，所以不作描述。

（一）設(shè)置默認(rèn)路由

ip route 0.0.0.0 0.0.0.0 223.68.x.111

該默認(rèn)路由指向移動(dòng)出口，用戶通過該路由正常上網(wǎng)。

（二）設(shè)置靜態(tài)路由

對(duì)于所有教育網(wǎng)的國(guó)內(nèi)站點(diǎn)設(shè)置靜態(tài)路由，指向教育網(wǎng)出口。路由表很長(zhǎng)，以幾條為代表：

ip route 42.244.0.0 255.252.0.0 101.77.x.1

ip route 49.52.0.0 255.252.0.0 101.77.x.1

ip route 49.120.0.0 255.252.0.0 101.77.x.1

……

（三）配置策略路由

為了保證服務(wù)器流量走教育網(wǎng)，需要配置策略路由。

1.策略路由需要ACL（訪問控制列表）配合實(shí)現(xiàn)，建立一個(gè)ACL命名cernet_net，添加允許通過的IP地址段，當(dāng)然也可根據(jù)實(shí)際需要增刪IP或IP地址段：

ip access-list extended cernet_net

10 permit ip 172.17.1.0 0.0.0.255 any

20 permit ip 101.x.x.0 0.0.0.255 any

2.配置策略路由，服務(wù)器流量走教育網(wǎng)，其他的流量走移動(dòng)出口：

route-map cernet_net permit 10

match ip address cernet_net

set ip default next-hop 101.77.x.1

（四）配置NAT

1.這里以一個(gè)WEB服務(wù)器為代表配置：

ip nat inside source static tcp 172.17.1.x 80 101.x.x.x 80 permit-inside

……

2.使用移動(dòng)和教育網(wǎng)提供的公網(wǎng)IP地址，通過NAT，實(shí)現(xiàn)用戶上網(wǎng)。

地址池配置：

ip nat pool SHANGWANG prefix-length 24

address 101.x.x.x 101.x.x.x match interface GigabitEthernet1

address 223.68.x.x 223.68.x.x match interface GigabitEthernet2

NAT配置：ip nat inside source list 1 pool SHANGWANG overload

增加默認(rèn)路由配置：ip route 0.0.0.0 0.0.0.0 101.77.x.1 100

四、結(jié)語

通過以上配置，即可實(shí)現(xiàn)校園網(wǎng)的雙出口目的。校園網(wǎng)的雙出口已為越來越多的學(xué)校所采納，解決方案亦是仁者見仁、智者見智。

參考文獻(xiàn)：

李建林，史律，王偉林.局域網(wǎng)交換機(jī)和路由器的配置與管理[M].電子工業(yè)出版社，2013-09-01.