基于邊界防火墻策略路由的校園網出口建設

繆元照 劉志南

摘? 要： 校園網多出口建設一直是校園網基礎設施建設的研究熱點，策略路由技術具有靈活的數據轉發機制，選擇特定的路由路徑。天津美術學院校園網在邊界防火墻應用策略路由技術和地址轉換技術，完成了CERNET及聯通、電信、移動四家運營商多出口校園網絡的構建，完成了多出口的流量調度，實現了路由鏈路的冗余和容錯，提高了校園網用戶網絡使用感受，該方案是適合中小型校園網的經濟實用的校園網多出口建設方案。

關鍵詞： 策略路由; 流量調度; 多出口; 地址轉換; 防火墻

中圖分類號：TP393.1? ? ? ? ? 文獻標識碼：A? ? ?文章編號：1006-8228（2020）04-97-04

Constructing multi-export campus network with policy-based

routing of boundary firewall

Miao Yuanzhao1， Liu Zhinan2

（1. Information Office of Tianjin Academy of Fine Arts， Tianjin 300141， China; 2. Tianjin Jiashi Technology Co.，Ltd）

Abstract： The construction of multi-export in campus network has always been a research hotspot in the construction of campus network. The policy-based routing technology has a flexible data forwarding mechanism and selects a specific routing path. The campus network of Tianjin Academy of Fine Arts has completed the connection with four carriers of CERNET， Unicom， Telecom and Mobile by using the technologies of policy-based routing and NAT on boundary firewall， which realizes the multi-export traffic scheduling， and the redundancy and fault-tolerance of routing links， the experience of campus network users has been improved. This is an economic and practical campus network multi-export construction scheme suitable for small and medium campus network.

Key words： policy-based routing; traffic scheduling; multi-export; NAT; firewall

0 引言

校園網多出口建設源于解決CERNET高昂的國際流量費，天津商業大學2004年就在Cisco交換機和路由器上完成了校園網的雙出口構建[1]。當時設備要求不高，對于網絡可用性沒有改觀。隨著網絡技術的發展，校園網多出口建設的主要目的轉化為提高網絡可用性與冗余，提升校園網用戶的使用感受[2]，可以使用智能DNS技術，根據解析的目的IP地址所屬不同的ISP，選擇不同的出口路由，達到校園網多出口優化的目的[3-4]，或者使用策略路由技術，選擇不同的出口路由，達到校園網多出口優化的目的[5]。

天津美術學院校園網出口擁有CERNET、聯通、電信、移動四個運營商的網絡連接，其中CERNET與天津教育科研城域網實現1000M連接，聯通帶寬為1G，電信帶寬為600M，移動帶寬為400M，如圖1所示。天津美術學院師生使用校園網對于高清素材和影視資源的瀏覽觀看屬于專業學習需求，提升校園網的可用性、可靠性、冗余性、通達性是校園網建設和管理的重要工作。天津美術學院使用校園網邊界防火墻的策略路由技術，最大程度發揮設備性能，滿足校園網用戶對于網絡需求，提高用戶的滿意度。

1 校園網多出口環境的建設目標

天津美術學院校園網使用兩臺銳捷RG-N18010交換機做虛擬化，兩個校區的所有業務網關都設置兩臺虛擬化RG-N18010上。RG-N18010無線控制器板卡和MSC流量控制板卡同樣做虛擬化[6]。策略路由是由校園網邊界防火墻設備來專門完成的，需要滿足以下目標。

⑴ 防火墻具備將校園網安全隔離的功能，校園網用戶在安全保護下，不需要關心網絡出口連接，認證后無需任何操作即可正常工作。

⑵ 服務器原則上在CERNET服務，特殊的需要在其他ISP網絡進行鏡像的單獨進行配置。

⑶ 只有CERNET直連地址和學校圖書館購買的數據庫資源，校園網用戶訪問需要路由選擇CERNET線路。

⑷ 校園網用戶訪問根據目的地址的歸屬，路由選擇相應運營商線路，策略路由的設備開銷不能影響設備的正常運行，設備負荷在合理的低水平運轉。

2 天津美術學院校園網多出口方案配置

天津美術學院采用山石SG6000-T-5防火墻做邊界安全及路由設備，策略路由對于設備性能消耗大，選擇一臺高性能邊界設備是策略路由成功實施運行的重要因素，山石SG6000-T-5防火墻具有智能鏈路負載均衡功能，可以提升鏈路利用效率，增強用戶網絡訪問體驗。

山石SG6000-T-5防火墻用兩路萬兆接口做端口聚合連接兩臺銳捷RG-N18010交換機，CERNET及聯通、電信、移動四家運營商均采用千兆光纖連接，關于多出口和策略路由主要需要進行以下配置[7]：

2.1 特征地址庫的維護

按照確定的策略路由目的地址原則，對于特征地址庫進行維護：

CERNET地址庫如下（地址表非常長，因此用省略號替代，其他ISP地址略）：

isp-network China-cernet

subnet 1.51.0.0/16

subnet 1.184.0.0/159

......

subnet 223.128.0.0/15

電信、聯通、移動地址庫如下：

isp-network ChinaTelcom

isp-network ChinaUnicom

isp-network ChinaMobile

2.2 啟用相關接口

啟用各運營商IP地址組，以192.168.0.0網段地址代表，隱藏真實IP，啟用聯通接口為ethernet0/2（192.168.6.74），電信接口為ethernet0/3（192.168.148.50），移動接口為ethernet0/4（192.168.56.194），CERNET接口為ethernet0/5（192.168.216.253），各運營商可以啟用進行帶寬閾值配置，當某個運營商的接口流量超過一定閾值后，自動切換其他帶寬，達到負載均衡的效果，提高網絡帶寬利用率。

2.3 配置NAT地址池，并在相應接口啟用NAT

配置NAT使用的內外網地址池：

address "電信-NAT"

range 192.168.148.51 192.168.148.53

address "聯通-NAT-pool"

range 192.168.10.49 192.168.10.51

address "移動NAT"

range 192.168.56.195 192.168.56.196

各接口已經配置運營商的IP地址作為NAT地址轉換的地址池，在各端口啟用NAT，以ethernet0/2聯通出口為例：

link-perf-monitor interface "ethernet0/2"

application on

snat-pool "聯通出口"

address-book "Any"

2.4 配置與校園網虛擬化核心交換機互聯

兩臺銳捷RG-N18010交換機做虛擬化后與防火墻連接，防火墻端口聚合配置如下：

link-perf-monitor interface "aggregate1"

application on

snat-pool "內網聚合口"

address-book "Any"

interface aggregate1

zone? "trust"

ip address 10.5.1.5 255.255.255.252

bind pbr-policy "內網聚合口"

2.5 靜態路由設置

在相關接口配置靜態默認路由，啟用整體策略路由。

按照特征地址庫匹配目的地址進行策略路由：

ip route "ChinaTelcom " 192.168.148.49 10 weight 6

description "電信600M"

ip route "ChinaUnicom" 192.168.6.73 10 weight 10

description "聯通1G"

ip route "China-cernet" 192.168.216.254 10

description "教育100M"

ip route "ChinaMobile" 192.168.56.193 10 weight 4

description "移動400M"

各運營商地址的靜態默認路由配置：

ip route 0.0.0.0/0 192.168.6.73 weight 10 description

"聯通上網1G"

ip route 0.0.0.0/0 192.168.56.193 weight 4 description

"移動上網400M"

ip route 0.0.0.0/0 192.168.148.49 weight 6 description

"電信上網600M"

ip route 0.0.0.0/0 192.168.216.254 description

"教育上網100M"

內網地址路由配置略。

2.6 服務器訪問相關配置

啟用訪問控制列表將內網和服務器地址及端口進行配置（從略），并進行服務器教育網發布的路由配置：

ip route source 192.168.216.0/24 "ethernet0/5"

192.168.216.254

配置服務器靜態路由地址就是為了保證校園網的服務器原則上在教育網發布服務，服務器區的各種服務，原則上使用教育網真實地址，路由選擇CERNET線路。