寸江濤　陶曉潔

【摘 要】提出了多出口校園網(wǎng)環(huán)境下路由器的多種配置，即地址轉(zhuǎn)換、默認(rèn)路由、靜態(tài)路由、策略路由。旨在合理利用現(xiàn)有CERNET網(wǎng)絡(luò)及當(dāng)?shù)囟鄠€ISP提供的網(wǎng)絡(luò)出口，提高校園網(wǎng)的出口帶寬和利用率，優(yōu)化了網(wǎng)絡(luò)配置。

【關(guān)鍵詞】校園網(wǎng)絡(luò)；ISP；設(shè)計(jì)與實(shí)現(xiàn)

0.引言

目前國內(nèi)大多數(shù)非省會城市高校普遍采用多出口方式實(shí)現(xiàn)其高速對外訪問，即一個通過中國教育科研網(wǎng)（CERNET）的低帶寬出口（地址列表可以參考地址：http：//www.cemic.net）和另一個或多個通過本地電信運(yùn)營商的高帶寬出口，由于電信ISP和鐵通ISP（internet service provider網(wǎng)絡(luò)服務(wù)商）具有較高的接入帶寬且接入費(fèi)用較低，可以極大的提高校園網(wǎng)網(wǎng)絡(luò)出口帶寬，于是我院選擇電信和鐵通作為第二、第三網(wǎng)絡(luò)出口，以達(dá)到既使用教育科研網(wǎng)的IP地址和域名解析，又能夠?qū)崿F(xiàn)校內(nèi)用戶通過ISP運(yùn)營商訪問外部資源和校外用戶高速訪問學(xué)校的www等服務(wù)器的目的。

1.校園網(wǎng)絡(luò)出口現(xiàn)狀分析

在校園網(wǎng)中使用兩個或多個網(wǎng)絡(luò)出口后，一般會有如下需求：

（1）在有限的本地ISP服務(wù)商提供的幾個合法公網(wǎng)IP地址情況下，不對任何客戶端做任何修改，就能使所有用戶正常訪問外網(wǎng)，使得校園網(wǎng)能夠正常工作。

（2）要求校園網(wǎng)客戶端用戶訪問CERNET的免費(fèi)地址時，客戶端網(wǎng)絡(luò)出口能夠自動選擇為CERNET；而訪問其他網(wǎng)站（非CERNET站點(diǎn)）時，走當(dāng)?shù)豂SP提供的網(wǎng)絡(luò)出口。

（3）要求校外的用戶通過網(wǎng)絡(luò)服務(wù)商能夠快速訪問校園網(wǎng)的Web、教務(wù)管理系統(tǒng)、Mail、DNS等服務(wù)器，即要求相關(guān)服務(wù)器使用ISP提供的合法IP地址。

2.目前我院網(wǎng)絡(luò)設(shè)備主要有

一臺華為NE20-4路由器、一臺清華得實(shí)NetST防火墻、一臺華三S9508核心交換機(jī)及若干臺H3CE352（48口）和H3CE328（24口）以太網(wǎng)交換機(jī)。

校園網(wǎng)絡(luò)結(jié)構(gòu)圖如下：

保山學(xué)院校園網(wǎng)拓?fù)鋱D

綜合以上需求，要求校園網(wǎng)的核心網(wǎng)絡(luò)設(shè)備必須能夠根據(jù)客戶端源、目的IP地址或其它要求進(jìn)行最合理的路由策略，來選用合適的網(wǎng)絡(luò)出口。

分析多ISP出口的學(xué)校網(wǎng)絡(luò)需求，發(fā)現(xiàn)在路由器上利用NAT技術(shù)和策略路由是最簡單而有效的方法。

3.路由器配置

3.1 NAT技術(shù)分類[1]

靜態(tài)NAT（Static NAT），靜態(tài)地址轉(zhuǎn)換是最簡單的一種轉(zhuǎn)換方式，它在NAT表中為本地地址和全局地址之間建立一個固定的一對一的映射。內(nèi)部網(wǎng)絡(luò)中的每個主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個合法地址。這種方式主要用于服務(wù)器，以確保外部對該服務(wù)器的正確訪問。

動態(tài)NAT（Pooled NAT），動態(tài)地址轉(zhuǎn)換則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，其中的地址每次都會被動態(tài)地分配給內(nèi)部主機(jī)，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。

端口級NAT（Port Address Translation），這種技術(shù)也稱為網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT，它是把內(nèi)部地址映射到外部網(wǎng)絡(luò)中的一個單獨(dú)的IP地址上，同時在該地址上加一個由NAT設(shè)備選定的TCP端口號。即將內(nèi)部地址映射到外部網(wǎng)絡(luò)IP地址的不同端口上。

3.2 NAT的設(shè)置方法[2]

3.2.1靜態(tài)地址轉(zhuǎn)換基本配置步驟

（1）在內(nèi)部本地地址與內(nèi)部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。

命令格式為：ip nat inside source static內(nèi)部本地地址 內(nèi)部合法地址

（2）指定連接網(wǎng)絡(luò)的內(nèi)部端口。

命令格式為：ip nat inside

（3）指定連接外部網(wǎng)絡(luò)的外部端口。

命令格式為：ip nat outside

3.2.2動態(tài)地址轉(zhuǎn)換基本配置步驟

（1）定義內(nèi)部合法地址池。

命令格式為：ip nat pool地址池名稱起始IP地址 終止IP地址子網(wǎng)掩碼

（2）定義一個標(biāo)準(zhǔn)的access—list規(guī)則以允許哪些內(nèi)部地址可以進(jìn)行動態(tài)地址轉(zhuǎn)換。

命令格式為：auccess—list標(biāo)號permit源地址通配符（其中標(biāo)號為整數(shù)l-99）

（3）將由access—list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進(jìn)行地址轉(zhuǎn)換。

命令格式為：ip nat inside source訪問列表標(biāo)號pool內(nèi)部合法地址池名字

（4）指定與內(nèi)部網(wǎng)絡(luò)相連的內(nèi)部端口。

命令格式為：ip nat inside

（5）指定與外部網(wǎng)絡(luò)相連的外部端口。

命令格式為：ip nat outside

3.2.3端口地址轉(zhuǎn)換基本配置步驟

（1）定義內(nèi)部地址池。

命令格式為：ip nat pool地址池名稱起始IP地址 終止IP地址子網(wǎng)掩碼

（2）定義一個標(biāo)準(zhǔn)的access—list規(guī)則以允許哪些內(nèi)部本地地址可以進(jìn)行地址轉(zhuǎn)換。

命令格式為：access—list標(biāo)號permit源地址通配符（其中標(biāo)號為整數(shù)1-99）

（3）設(shè)置在內(nèi)部的本地地址與內(nèi)部合法IP地址間建立端口地址轉(zhuǎn)換。

命令格式為：ip nat inside source list訪問列表標(biāo)號pool內(nèi)部合法地址池名字overload

（4）指定與內(nèi)部網(wǎng)絡(luò)相連的內(nèi)部端口。

命令格式為：ip nat inside

（5）指定與外部網(wǎng)絡(luò)相連的外部端口。

命令格式為：ip nat outside

3.3策略路由技術(shù)[3]

眾所周知，在路由器進(jìn)行包轉(zhuǎn)發(fā)決策過程中，通常是根據(jù)所接受的包的目的地址進(jìn)行的。路由器根據(jù)包的目的地址查找路由表，從而作出相應(yīng)的路由轉(zhuǎn)發(fā)決策。然而，有時我們需要按照自己的規(guī)則來進(jìn)行數(shù)據(jù)包的路由，并有可能不按照包的目的地址來決定數(shù)據(jù)包的路由，這就是路由的策略問題?；诓呗缘穆酚赏ǔＳ幸韵聨追N方式：

（1）基于源IP地址的策略路由。

（2）基于數(shù)據(jù)包大小的策略路由。

（3）基于應(yīng)用的策略路由。

（4）通過缺省路由平衡負(fù)載。

在校園網(wǎng)應(yīng)用中，根據(jù)CERNET和其它ISP各自提供資源的不同，同時結(jié)合學(xué)校本身的實(shí)際需求，可以利用策略路由技術(shù)中基于源地址的策略路由技術(shù)?？梢栽谛@網(wǎng)的核心路由器上采用策略路由。

4.華為NE20路由器地址轉(zhuǎn)換、默認(rèn)路由、靜態(tài)路由、策略路由

（以下命令均以華為NE20路由器為例）

地址轉(zhuǎn)換1：

nataddress-group3112.113.159.43112.113.159.43mask 255.255.255.255

nataddress-group4112.113.159.67112.113.159.70mask 255.255.255.0

//電信NAT地址轉(zhuǎn)換池，負(fù)責(zé)教職工上網(wǎng)

acl number 2000

rule5permit source 10.1.11.0 0.0.0.255//教職工上網(wǎng)網(wǎng)段

rule6permit source 10.1.12.0 0.0.0.255//教職工上網(wǎng)網(wǎng)段

rule7permit source 10.1.13.0 0.0.0.255//教職工上網(wǎng)網(wǎng)段

rule8permit source 10.1.14.0 0.0.0.255//教職工上網(wǎng)網(wǎng)段

rule9permit source 10.1.15.0 0.0.0.255//教職工上網(wǎng)網(wǎng)段

rule10permit source 10.1.16.0 0.0.0.255//服務(wù)器內(nèi)網(wǎng)IP地址

rule1024deny

interface Ethernet2/0/1//電信出口

ip address 112.113.159.43 255.255.255.0

nat outbound 2000 address-group 4

nat server protocol tcp global112.113.159.43inside10.1.18.2 80 2000 address-group3//WEB服務(wù)器端口映射

通過上述命令在NE20路由器上將ACL2000訪問控制列表里的內(nèi)網(wǎng)教職工用戶網(wǎng)段通過NAT轉(zhuǎn)換后成為電信公網(wǎng)IP112.11.159.67-112.113.159.70這4個IP地址，通過電信出口上網(wǎng)。

地址轉(zhuǎn)換2：

nat address-group2 222.56.127.134 222.56.127.138 mask 255.255.255.240

//鐵通NAT地址轉(zhuǎn)換池，負(fù)責(zé)學(xué)生上網(wǎng)

acl number 2011

rule 10 permit source 10.1.19. 0 0.0.0.255

rule 11 permit source 10.1.20. 0 0.0.0.255

rule 1024 deny

interface Ethernet0/0/0 //鐵通出口

ip address 222.56.127.131 255.255.255.240 nat outbound 2000 address-group 2

traffic classifier class2//定義一個類，用來匹配ACL2011規(guī)則的流

if-match acl 2011

traffic behavior behavior2//定義流行為，匹配特定的流

remark ip-nexthop 222.56.127.129 Ethernet0/0/0 112.113.159.1 Ethernet2/0/1

traffic policy policy2//定義策略路由

classifier class2 behavior behavior2

interface Ethernet2/0/0//內(nèi)網(wǎng)口

ip address 172.16.11.1 255.255.255.0

traffic-policy policy2 inbound //在內(nèi)網(wǎng)口創(chuàng)建一個基于源地址的策略路由

通過上述命令在NE20路由器上將acl2011訪問控制列表里的內(nèi)網(wǎng)學(xué)生用戶網(wǎng)段通過NAT轉(zhuǎn)換后成為公網(wǎng)IP 222.56.127.134-222.56.127.138并且通過策略路由選擇鐵通出口。

地址轉(zhuǎn)換3：

nat address-group 5 222.197.242.1 222.197.242.62 mask 255.255.255.0

interface Ethernet0/0/1 //CERNET出口

ip address 202.203.131.186 255.255.255.252

nat outbound 2000 address-group 5

通過上述命令在NE20路由器上將ACL2000訪問控制列表里的內(nèi)網(wǎng)教職工用戶通過NAT轉(zhuǎn)換后成為CERNET IP222.197.242.1- 222.197.242.62的IP地址，通過CERNET出口上網(wǎng)。

ip route-static 0.0.0.0 0.0.0.0 112.113.159.1 preference 60 //缺省路由是電信出口

ip route-static 0.0.0.0 0.0.0.0 222.56.127.129 preference 65

ip route-static 1.51.0.0 255.255.0.0 202.203.131.185

ip route-static 1.184.0.0 255.254.0.0 202.203.131.185

//教育網(wǎng)地址段的路由是CERNET出口

//路由器上的優(yōu)先規(guī)則是：策略路由大于靜態(tài)路由大于默認(rèn)路由

5.結(jié)束語

結(jié)合NAT技術(shù)、默認(rèn)路由、靜態(tài)路由、策略路由技術(shù)，發(fā)現(xiàn)能夠使校園網(wǎng)發(fā)揮最大的資源優(yōu)勢，具體表現(xiàn)在以下幾方面：

（1）網(wǎng)絡(luò)訪問速度明顯提高。由于電信運(yùn)營商給我院提供了較高的出口帶寬，通過策略路由后，內(nèi)網(wǎng)教職工用戶訪問互聯(lián)網(wǎng)都通過本地電信出口，而訪問CERNET定義的免費(fèi)站點(diǎn)則通過CERNET出口，對校園網(wǎng)而言，有效的實(shí)現(xiàn)了網(wǎng)絡(luò)負(fù)載均衡。通過策略路由，實(shí)現(xiàn)了教職工出口和學(xué)生出口分離。杜絕了學(xué)生無限制使用網(wǎng)絡(luò)搶占教職工流量的問題。

（2）學(xué)校WEB服務(wù)器通過在路由器上做端口映射后，對于外網(wǎng)用戶隱藏了真實(shí)IP地址，同時在防火墻上制定相應(yīng)的安全策略，有效地增強(qiáng)了服務(wù)器的安全性。而對于內(nèi)網(wǎng)用戶，可以直接通過內(nèi)網(wǎng)訪問服務(wù)器，節(jié)省了出口帶寬。

【參考文獻(xiàn)】

[1]易正強(qiáng).NAT技術(shù)及其在校園網(wǎng)中的應(yīng)用[J].五邑大學(xué)學(xué)報(bào)（自然科學(xué)版），2006（4）：53-56.

[2]孫祥春.路由器網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的配置[J].電腦知識與技術(shù)，2005（6）：32-34.

[3]汪剛.多出口園網(wǎng)路由技術(shù)的實(shí)現(xiàn)[J].南京工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2004，4（4）：19.