范海峰，劉本倉

(河南理工大學(xué)a.萬方科技學(xué)院;b.現(xiàn)代教育技術(shù)中心，河南 焦作 454000)

1 校園網(wǎng)簡介

早期的校園網(wǎng)采用CERNET(中國教育和科研計(jì)算機(jī)網(wǎng))接入，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展及計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)的普及，高校內(nèi)部上網(wǎng)用戶數(shù)急劇增加，CERNET與國內(nèi)其他ISP互聯(lián)訪問慢且不穩(wěn)定，使得校園網(wǎng)出口擁擠不堪，因此越來越多的校園網(wǎng)建網(wǎng)方案使用多個(gè)網(wǎng)絡(luò)出口方式，通過多個(gè)ISP接入Internet，以達(dá)到增加網(wǎng)絡(luò)帶寬、提高訪問效率的目的[1]。目前，中國有三家主流網(wǎng)絡(luò)運(yùn)營商，分別是中國電信、中國聯(lián)通與中國移動(dòng)。由于中國移動(dòng)的互聯(lián)網(wǎng)業(yè)務(wù)起步較晚，網(wǎng)絡(luò)出口帶寬低，可分配的IP地址數(shù)目較少，現(xiàn)在在互聯(lián)網(wǎng)市場上的占有率相對(duì)較低，且基于中國移動(dòng)互聯(lián)網(wǎng)的網(wǎng)站及應(yīng)用比較少。因此，大部分高校都從中國聯(lián)通與中國電信中選擇。由于中國互聯(lián)網(wǎng)行業(yè)“南北分家”，在北方，聯(lián)通的網(wǎng)絡(luò)具有價(jià)格跟速度的優(yōu)勢，而在南方，電信的網(wǎng)絡(luò)具有價(jià)格跟速度的優(yōu)勢。所以一般來說，北方地區(qū)高校選擇中國聯(lián)通，南方地區(qū)高校選擇中國電信。當(dāng)然，對(duì)于速度跟質(zhì)量都要求比較高的高校來說，最好的方案是同時(shí)接入中國電信與中國聯(lián)通。如此一來，加上原有的教育網(wǎng)出口，整個(gè)校園網(wǎng)現(xiàn)有三個(gè)網(wǎng)絡(luò)出口。眾所周知，教育網(wǎng)與聯(lián)通和電信的互訪是很慢的，同樣，聯(lián)通與電信之間的互相訪問也存在著瓶頸。傳統(tǒng)的解決辦法是采用各出口負(fù)載均衡，這種做法雖然解決了校園網(wǎng)出口擁擠的問題，但是在內(nèi)部訪問外網(wǎng)的速度卻有快有慢，且用戶端設(shè)置要進(jìn)行調(diào)整。如何充分利用這三個(gè)網(wǎng)絡(luò)出口，實(shí)現(xiàn)資源的合理配置，既能簡化用戶端的配置，又能提高校園網(wǎng)對(duì)外訪問的整體速穩(wěn)定性，是本文需要解決的問題。

2 NAT技術(shù)

2.1 NAT 簡介

NAT(Network Address Translation)[2]，俗稱網(wǎng)絡(luò)地址轉(zhuǎn)換。從理論上而言，NAT技術(shù)可以實(shí)現(xiàn)于任何網(wǎng)絡(luò)上，實(shí)際應(yīng)用中，由于IPv4的地址不足，使得NAT技術(shù)多應(yīng)用于TCP/IP架構(gòu)的網(wǎng)絡(luò)上。NAT技術(shù)完美地解決了IPv4地址空間問題，同時(shí)還可以有效地隔離網(wǎng)絡(luò)外部的攻擊，對(duì)外隱藏網(wǎng)絡(luò)內(nèi)部的主機(jī)并起到保護(hù)作用。

在圖1中，PC1和PC2是兩臺(tái)連入網(wǎng)絡(luò)的計(jì)算機(jī)，其中PC1處在內(nèi)網(wǎng)環(huán)境中，IP地址為私有地址:192.168.100.2，PC2 處在公網(wǎng)環(huán)境中，IP 地址為 218.196.240.2，若PC1 要與 PC2 通信，PC1 發(fā)源地址為192.168.100.2，目的地址為218.196.240.2的 IP報(bào)文，IP報(bào)文將被路由到NAT設(shè)備。NAT設(shè)備收到這個(gè)IP報(bào)文后，將源地址改為公有地址202.196.64.1，并記錄私有地址 192.168.100.2與公有地址202.196.64.1間的地址映射存入映射表中，然后發(fā)出修改后的IP報(bào)文;當(dāng)PC2主機(jī)收到報(bào)文后，回復(fù)報(bào)文到達(dá)NAT設(shè)備后，NAT設(shè)備再根據(jù)地址映射表中地址的對(duì)應(yīng)關(guān)系，把目的地址轉(zhuǎn)換為PC1的地址，這樣就完成了內(nèi)網(wǎng)地址主機(jī)與公網(wǎng)地址主機(jī)的通信，其中的NAT設(shè)備可以是路由器、防火墻、代理服務(wù)器等所有帶NAT功能的網(wǎng)絡(luò)設(shè)備。

圖1 NAT示意圖

2.2 NAT 實(shí)現(xiàn)方式

NAT的實(shí)現(xiàn)方式有3種，靜態(tài)地址轉(zhuǎn)換(Static Address Translation)、動(dòng)態(tài)地址轉(zhuǎn)換(Dynamic Address Translation)和端口多路復(fù)用(Port address Translation)[3]。

靜態(tài)地址轉(zhuǎn)換技術(shù)是將網(wǎng)絡(luò)內(nèi)部私有IP地址轉(zhuǎn)換為公網(wǎng)IP地址，IP地址是一一對(duì)應(yīng)，靜態(tài)指定，一個(gè)公有IP地址只能對(duì)應(yīng)某一個(gè)私有IP地址。這種靜態(tài)轉(zhuǎn)換沒有節(jié)省公有地址數(shù)量，但實(shí)現(xiàn)簡單。使用靜態(tài)轉(zhuǎn)換，能夠?qū)崿F(xiàn)公共網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些指定設(shè)備(或服務(wù))的直接訪問。

動(dòng)態(tài)地址轉(zhuǎn)換技術(shù)是在將網(wǎng)絡(luò)內(nèi)部的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，對(duì)應(yīng)的外部IP地址是隨機(jī)的，不用事先指定，所有被授權(quán)訪問Internet的內(nèi)部私有IP地址隨機(jī)轉(zhuǎn)換為地址池內(nèi)的任意IP地址。也就是說，只要指定用來進(jìn)行轉(zhuǎn)換的私有IP地址范圍，以及作為外部地址的公有IP地址，就可以自動(dòng)進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)地址轉(zhuǎn)換技術(shù)也是將內(nèi)部本地地址與內(nèi)部合法地址一對(duì)一地轉(zhuǎn)換。但是動(dòng)態(tài)地址轉(zhuǎn)換是從內(nèi)部全局地址池中動(dòng)態(tài)地選擇一個(gè)未使用的公用IP地址來與內(nèi)部私有IP地址進(jìn)行轉(zhuǎn)換的。

端口多路復(fù)用技術(shù)(Port Address Translation，PAT)是用來替換原有外出數(shù)據(jù)包的源端口并進(jìn)行地址轉(zhuǎn)換，復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換首先是一種動(dòng)態(tài)地址轉(zhuǎn)換，但是它可以允許多個(gè)內(nèi)部本地地址共用一個(gè)或多個(gè)內(nèi)部全局地址。對(duì)只申請到少量IP地址但卻經(jīng)常同時(shí)很多個(gè)用戶上外部網(wǎng)絡(luò)的情況，可采用這種轉(zhuǎn)換，從而可以最大限度地節(jié)約IP地址資源。

3 路由技術(shù)

該方案中主要應(yīng)用了兩種路由技術(shù):策略路由與靜態(tài)路由。策略路由技術(shù)[4]提供了這樣一種機(jī)制:根據(jù)網(wǎng)絡(luò)管理者制定的標(biāo)準(zhǔn)來進(jìn)行報(bào)文轉(zhuǎn)發(fā)，這種標(biāo)準(zhǔn)根據(jù)實(shí)際的應(yīng)用需求來指定，它的依據(jù)可以是協(xié)議類型、應(yīng)用、報(bào)文大小，或者IP源地址中的一個(gè)或者多個(gè)的組合。它提供了比傳統(tǒng)路由協(xié)議對(duì)報(bào)文的轉(zhuǎn)發(fā)和存儲(chǔ)更強(qiáng)的控制能力、更靈活的使用方式[5]。靜態(tài)路由是在路由器中設(shè)置的固定的路由條目，除非路由表被人為改動(dòng)，否則路由表不會(huì)發(fā)生變化。因此靜態(tài)路由不能適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的改變而作出相應(yīng)調(diào)整，一般用于網(wǎng)絡(luò)規(guī)模較小、拓?fù)浣Y(jié)構(gòu)固定、網(wǎng)絡(luò)穩(wěn)定的網(wǎng)絡(luò)中。靜態(tài)路由的優(yōu)點(diǎn)是簡單、高效、穩(wěn)定。在所有的路由協(xié)議中，靜態(tài)路由默認(rèn)優(yōu)先級(jí)最高，在多數(shù)路由器中可以根據(jù)需要人為調(diào)整優(yōu)先級(jí)。當(dāng)動(dòng)態(tài)路由與靜態(tài)路由發(fā)生沖突時(shí)，一般以靜態(tài)路由為準(zhǔn)[6]。

4 校園網(wǎng)智能出口方案設(shè)計(jì)與實(shí)現(xiàn)

該案采用NAT與路由技術(shù)，實(shí)現(xiàn)教育網(wǎng)、聯(lián)通、電信三出口的合理配置，提高校園網(wǎng)的訪問速度。具體來說，原有的教育網(wǎng)設(shè)備仍然使用，內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)不需要調(diào)整，用戶端也不需要進(jìn)行任何改動(dòng)，即對(duì)用戶來說是透明的(校園網(wǎng)用戶全部使用CERNET地址)，雖然CERNET地址也是互聯(lián)網(wǎng)上合法的地址，但是如果直接用CERNET地址訪問外網(wǎng)依然是通過教育網(wǎng)的路由，達(dá)不到提高訪問速度的要求，所以必須進(jìn)行NAT地址轉(zhuǎn)換。由于電信與聯(lián)通分配的IP地址有限，不可能做NAT靜態(tài)映射，采用NAT動(dòng)態(tài)轉(zhuǎn)換技術(shù)實(shí)現(xiàn)CERNET地址訪問聯(lián)通通過聯(lián)通出口，訪問電信通過電信出口，所以需要增加一套NAT設(shè)備作為公網(wǎng)出口，本文中以銳捷網(wǎng)絡(luò)公司的NPE(Network outPut Engine，網(wǎng)絡(luò)出口引擎)設(shè)備為例，簡單的結(jié)構(gòu)如圖2所示。

核心交換機(jī)G1/2口與CERNET相連，端口地址為:202.196.64.13，對(duì)端設(shè)備地址(去往教育網(wǎng)的下一跳)為:202.196.64.14，G1/1口與NAT設(shè)備的G2/1相連，核心交換機(jī)G1/1端口地址為:202.196.64.17，NAT設(shè)備G2/1端口地址為:202.196.64.18，NAT設(shè)備G2/2口與電信相連，端口地址為:222.88.88.82，對(duì)端地址為222.88.88.81(去往電信的下一跳)，NAT設(shè)備G2/3口與聯(lián)通相連，端口地址為:218.28.88.82，對(duì)端地址為218.28.88.81(去往聯(lián)通的下一跳)。電信分配給學(xué)校的地址段為:222.88.88.80/28，聯(lián)通分配給學(xué)校的地址段為:218.28.88.80/28，其中G1/1，G2/1……中G表示Gigabit Ethernet(千兆以太網(wǎng)接口)，前面的數(shù)字表示接口板號(hào)，后面的數(shù)字表示接口板端口號(hào)。

圖2 多出口校園網(wǎng)簡單模型

4.1 核心交換機(jī)上的設(shè)計(jì)

一般來說，有CERNET接入的高校分配的教育網(wǎng)合法地址比較多，基本上可以滿足校內(nèi)學(xué)習(xí)、辦公、娛樂的需要，每個(gè)用戶都可以分配一個(gè)CERNET公網(wǎng)地址。在沒有接入聯(lián)通和電信的出口以前，是可以直接通過CERNET來訪問互聯(lián)網(wǎng)的。現(xiàn)在需要做的就是在核心交換機(jī)上做一個(gè)判斷，如果目的地址是教育網(wǎng)直接送到教育網(wǎng)的下一跳，如果目的地址不是教育網(wǎng)，就送到公網(wǎng)的出口(NAT設(shè)備)。由于校園網(wǎng)建成之后基本上沒有什么大的變動(dòng)，具體設(shè)計(jì)可以使用策略路由與靜態(tài)路由來實(shí)現(xiàn)，找到所有的CERNET網(wǎng)段，設(shè)置路由的下一跳為教育網(wǎng)出口地址，命令格式如下:ip route*.*.*.* X.X.X.X 202.196.64.14，這里*.*.*.*表示CERNET的所有子網(wǎng)，X.X.X.X表示子網(wǎng)掩碼。設(shè)置默認(rèn)路由為NAT設(shè)備G2/1的地址，即除了目的地址是教育網(wǎng)的請求都送到NAT設(shè)備。命令如下:iproute 0.0.0.00.0.0.0202.196.64.18，為了保證網(wǎng)絡(luò)的穩(wěn)定性，即當(dāng)NAT設(shè)備損壞時(shí)網(wǎng)絡(luò)仍然暢通，保證網(wǎng)絡(luò)的有效性，可以設(shè)置備用的默認(rèn)路由，命令如下:iproute 0.0.0.00.0.0.0202.196.64.1410，即當(dāng)NAT設(shè)備地址202.196.64.18不可用時(shí)，自動(dòng)將所有的請求發(fā)往教育網(wǎng)的下一跳地址202.196.64.14。

4.2 NAT設(shè)備上的設(shè)計(jì)

4.2.1 NAT設(shè)計(jì)

由于聯(lián)通和電信分配的公網(wǎng)地址比較少，遠(yuǎn)遠(yuǎn)小于校園網(wǎng)內(nèi)部的用戶數(shù)，內(nèi)部的CERNET用戶訪問聯(lián)通與電信肯定需要進(jìn)行NAT轉(zhuǎn)換，這里選用動(dòng)態(tài)的復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換。首先，確定要進(jìn)行NAT轉(zhuǎn)換的地址，這里為了方便講述，允許所有的地址，命令如下:ip access－list standard 99(建立一個(gè)標(biāo)準(zhǔn)的訪問控制列表，編號(hào)為99)，10 permit any(允許所有的源地址);其次，要明確Inside和Outside端口，這里與核心交換機(jī)相連的端口是Inside端口，與聯(lián)通和電信相連的兩個(gè)端口是Outside端口，在端口模式下可通過命令ip nat inside和ip nat outside來實(shí)現(xiàn);再次，定義一個(gè)NAT地址池，命令如下:ip nat pool NAT_POOL prefix－length 24(定義名為NAT_POOL的地址池)，address 218.28.88.82218.28.88.94 match interface gigabitEthernet 2/3(聯(lián)通地址池)，address 222.88.88.82222.88.198.94 match interface gigabitEthernet 2/2(電信地址池);最后是NAT的應(yīng)用，具體命令為:ip nat inside source list 99 pool NAT_POOL overload。

4.2.2 NAT設(shè)備上路由設(shè)計(jì)

首先，要確定默認(rèn)路由，一般來說可以參考以下3個(gè)原則:1)選擇帶寬大的作為默認(rèn)路由;2)選擇IP地址數(shù)目多的為默認(rèn)路由;3)根據(jù)地域選擇，北方用戶選擇聯(lián)通作為默認(rèn)路由，南方用戶選擇電信作為默認(rèn)路由。所以在這里選擇聯(lián)通作為默認(rèn)的外網(wǎng)路由出口。其次，需要在NAT設(shè)備上做路由二次判斷，如果核心交換機(jī)送過來的目的地址是電信地址，直接送至電信出口進(jìn)行NAT轉(zhuǎn)換，具體命令格式如下:ip route*.*.*.* X.X.X.X 222.88.88.81，這里*.*.*.*表示電信的所有子網(wǎng)，X.X.X.X表示子網(wǎng)掩碼。如果目的地址不是電信地址，就從默認(rèn)路由送至聯(lián)通出口進(jìn)行NAT轉(zhuǎn)換，具體命令為:ip route 0.0.0.00.0.0.0218.28.88.81。最后，為了保證網(wǎng)絡(luò)的穩(wěn)定性，即聯(lián)通電信任意一方中斷網(wǎng)絡(luò)依然通暢，可以設(shè)置電信為備份的默認(rèn)路由，具體命令為:ip route 0.0.0.00.0.0.0222.88.88.8110。

至此，基于NAT與路由技術(shù)的校園網(wǎng)智能出口已經(jīng)設(shè)計(jì)完成，實(shí)現(xiàn)了校園網(wǎng)內(nèi)部用戶訪問教育網(wǎng)通過教育網(wǎng)出口，訪問聯(lián)通通過聯(lián)通出口，訪問電信通過電信出口，訪問其他網(wǎng)絡(luò)(如移動(dòng))可以根據(jù)需要調(diào)整訪問策略，本文中訪問其他網(wǎng)絡(luò)通過默認(rèn)的聯(lián)通出口。在某高校的實(shí)踐中表明，此設(shè)計(jì)可以大大提高校園網(wǎng)的對(duì)外訪問速度，簡化校園網(wǎng)結(jié)構(gòu)，使網(wǎng)絡(luò)帶寬得到合理的應(yīng)用，提升了網(wǎng)絡(luò)效率。

4.2.3 實(shí)驗(yàn)結(jié)果分析

實(shí)驗(yàn)結(jié)果分析如表1所示。

表1 各出口PING時(shí)延比較 ms

5 結(jié)束語

在IPv6時(shí)代沒有到來以前，IPv4地址日漸枯竭，NAT技術(shù)很好地解決了這一問題，且無論是IPv4還是IPv6，都可以利用NAT技術(shù)簡化和優(yōu)化網(wǎng)絡(luò)設(shè)計(jì)，并能很好地保證內(nèi)網(wǎng)的安全。NAT技術(shù)仍將是因特網(wǎng)上的主流技術(shù)，具有不可替代的地位。目前，隨著寬帶網(wǎng)不斷地深入生活，智能小區(qū)、校園網(wǎng)的建設(shè)都離不開NAT技術(shù)。因此，在當(dāng)前環(huán)境下研究、探索NAT技術(shù)是非常必要的，其作用及意義都非常重大。本文利用NAT與路由技術(shù)，實(shí)現(xiàn)了校園網(wǎng)的智能出口設(shè)計(jì)，提高了校園網(wǎng)內(nèi)部用戶對(duì)外的訪問速度，為了說明的方便起見，在本文中沒有考慮出口的安全設(shè)計(jì)，但是在實(shí)際應(yīng)用中需要注意出口的安全問題。

[1]王彬，何文娟.多出口多尋址模式的網(wǎng)絡(luò)設(shè)計(jì)[J].計(jì)算機(jī)工程，2007，33(21):259－261.

[2]TSIRTSIS G，SRISURESH P.Network address translation－protocol translation(NAT－PT)[EB/OL].[2012－03－05].http://www.ietf.org/rfc/rfc2766.txt.

[3]李廣華，朱志祥，李振興.NAT技術(shù)基本原理及其在實(shí)際中的應(yīng)用[J].西安郵電學(xué)院學(xué)報(bào)，2009，14(1):91－95.

[4]尚遵義，崔立軍.多出口路由策略實(shí)現(xiàn)及相關(guān)問題研究[J].大連鐵道學(xué)院學(xué)報(bào)，2004，25(3):83－86.

[5]羅偉雄，時(shí)東曉，劉嵐.校園網(wǎng)多出口路由優(yōu)化方案[J].計(jì)算機(jī)應(yīng)用，2009，29(6):41－43.

[6]陳阿林，肖丹燕，肖嵬，等.校園網(wǎng)的路由策略選擇及實(shí)現(xiàn)[J].電訊技術(shù)，2002，6(4):134－137.