基于策略路由和NAT的多出口校园网仿真实验设计

基于策略路由和NAT的多出口校园网仿真实验设计
孙光懿
【摘要】原有一条ISP出口链路已不能满足校园网日常应用需求,文章提出了增加校园网ISP出口链路,并在校园网出口路由器上应用策略路由和NAT技术的解决方案,不仅给出了详细的配置过程,而且还模拟了在出口链路发生故障情况下,数据包的路由过程.测试证明该方案实现了多出口校园网流量负载均衡和链路备份,满足了校园网日常应用需求.
【期刊名称】《西北民族大学学报（自然科学版）》
【年(卷),期】2017(038)002
【总页数】7页(P14-20)
【关键词】策略路由;NAT;负载均衡
【作者】孙光懿
【作者单位】天津音乐学院图书信息中心,天津市 300171
【正文语种】中文
【中图分类】TP393.18
随着校园网规模的逐年扩大以及各类应用系统的部署实施，校园网已成为各大院校保障广大师生教学科研、生活学习的重要基础设施，用户数量也呈现出几何式的增长.早期校园网用户访问互联网资源只有中国教育科研网一条出口链路，不仅访问公网资源速度慢，而且可靠性也相对较低，一旦该条链路发生故障就会造成校园网用户无法正常访问互联网.为了有效解决这一问题，提高校园网用户访问公网资源
速度与出口链路的可靠性，我们采用租用中国教育科研网、中国电信、中国联通等三条ISP出口链路并在校园网出口路由器上应用策略路由和NAT技术的方案.增加ISP出口链路不仅可以提高校园网出口带宽，而且也有助于提高校园网的可靠性，即使某条出口链路发生故障也不会对校园网用户访问互联网资源造成影响.应用策
略路由主要为了实现校园网出口链路的备份和流量负载均衡，而应用NAT技术，首先是为了将分配给校园网用户的私有IP地址转为ISP服务商提供的公有IP地址，从而保证校园网用户能够正常访问互联网资源，其次是为了保护校园网内网的安全，避免来自互联网的攻击.
策略路由技术提供了与路由表不同的转发方式，即可以综合多种要素来决定数据包的下一跳地址，而不只是简单机械的由目的地址来决定.网络管理员可以按照数据
包的源地址、目的地址、端口号、协议、报文长度等信息来制定策略进行数据包的转发，比传统路由机制不仅优先级高，而且更具灵活性和控制性,当前在多出口网
络环境中应用较为广泛.另外，策略路由技术还提供了一种不同服务类型标准数据
包的机制，与队列技术一起可以使某种类型的数据包得到优先服务.应用策略路由
必须在三层网络设备中创建并指定使用路由图，路由图可以由多个策略构成，而每个策略可以由一个或多个规则和其对应的操作构成，这些规则即可以基于标准访问控制列表又可以基于扩展访问控制列表.当一个应用了策略路由的路由器接口收到
数据包以后，首先查看这些数据包是否与路由图定义的某个策略相匹配，如果匹配则按照策略中定义的相关操作转发数据包，如果不匹配则按照路由表中的转发路径对数据包进行转发处理.另外，配置策略路由的过程并不复杂，通常有如下几个步骤：(1)定义标准访问控制列表或扩展访问控制列表. (2)定义路由图.(3)设置与路由图相匹配的一个或多个标准.(4)为路由图设置路由器处理动作. (5)在路由器接口上
调用路由图(这里有一点需要注意，如果同一个接口多次调用路由图会相互覆盖.) 1994年诞生了一种新的广域网接入技术即NAT技术，通常NAT技术集成在防
火墙、路由器、三层交换机等三层网络设备中使用.它的诞生不仅解决了IPv4地址不足的问题，而且还可以有效的隐藏内网主机，使其避免遭受来自互联网的攻击，目前已在全世界各类型网络中得到广泛应用.其主要功能就是可以把私有IP地址转化为合法的公有IP地址.从理论上讲，私有网络中只需存在一个合法公有IP地址
即可实现网络中的所有主机正常访问互联网资源.与此同时NAT技术自身也存在一些不足，首先，三层网络设备启用NAT以后势必会降低整体性能，数据包交换延迟加大.其次，数据包经过多次NAT地址转换后，其源地址与目的地址已多次发生改变，如遇网络故障排除将更加困难.NAT技术主要分为三种类型：静态NAT、动态NAT和NAPT, 其中NAPT最为常见，它可以将内部私有IP地址映射到外部一个合法公有IP地址上，同时在该公有IP地址上加上TCP端口号，这样以来小型
私有网络访问互联网资源只需向ISP服务商申请一个公有IP地址即可.
校园网共有VLAN 192、VLAN 30、VLAN 40三个网段，其中服务器区网段VLAN 192使用公有IP地址访问互联网，办公区网段VLAN 30和学生宿舍区网
段VLAN 40均使用私有IP地址访问互联网.路由器R1为中国教育科研网边界路
由器，路由器R3为中国电信边界路由器，路由器R4为中国联通边界路由器.SW1为校园网内二层接入交换机.为了提高校园网用户访问公网资源的速度与出口链路
的可靠性，我们在校园网出口路由器R2上应用策略路由和NAT技术.VLAN 192
网段用户访问教育网资源和其他互联网资源，数据包的下一跳地址均为中国教育科研网接口地址，如果中国教育科研网的这条出口链路出现故障，那么数据包的下一跳地址将变为中国联通接口地址.VLAN 30和VLAN 40网段用户访问教育网资源，数据包的下一跳地址为中国教育科研网接口地址，如果中国教育科研网这条出口链路出现故障，那么VLAN 30网段用户访问教育网资源数据包的下一跳地址将变为中国电信接口地址，VLAN 40网段用户访问教育网资源数据包的下一跳地址将变
为中国联通接口地址.VLAN 30网段用户访问其他互联网资源，数据包的下一跳地
址为中国电信接口地址，如果中国电信的这条出口链路出现故障，那么数据包的下一跳地址将变为中国联通接口地址.VLAN 40网段用户访问其他互联网资源，数据包的下一跳地址为中国联通接口地址，如果中国联通这条出口链路出现故障，那么数据包的下一跳地址将变为中国电信接口地址.校园网拓扑如图1所示.
在ISP运营商边界路由器R1、R3、R4上分别建立LOOPBACK接口，其中LOOPBACK 1接口地址211.68.204.3用于模拟中国教育科研网目的服务器地址，LOOPBACK 2接口地址220.181.90.20用于模拟中国电信目的服务器地址.在校园网出口路由器R2上建立子接口用来实现不同VLAN间通信.二层交换机SW1的
F0/1接口与VLAN 192网段所属服务器C1相连，F0/2接口与VLAN 30网段所
属计算机C2相连，F0/3接口与VLAN 40网段所属计算机C3相连.实验设备IP
地址分配如图2所示.
访问控制列表按照编号范围主要分为标准访问控制列表和扩展访问控制列表.在这
里我们为校园网出口路由器R2配置扩展访问控制列表，是在其上应用策略路由和NAT技术重要步骤之一，不仅可以起到过滤非法用户、控制数据包流向的作用，
还可以有效的保护网络设备.
R2(config)#access-list 1 permit 211.68.192.0 0.0.0.255 //允许VLAN 192网段用户访问任何地址
R2(config)#access-list 101 permit ip any 211.68.204.0 0.0.0.255 //允许所有
源ip访问211.68.204.0这个网段
R2(config)#access-list 120 permit ip any any //允许所有源ip到达所有目的ip R2(config)# access-list 130 permit ip 192.168.30.0 0.0.0.255 any //允许VLAN 30网段用户访问任何地址
R2(config)# access-list 140 permit ip 192.168.40.0 0.0.0.255 any //允许VLAN 40网段用户访问任何地址
3.3.1 配置NAT内外网接口
由于校园网VLAN 30网段用户和VLAN 40网段用户使用私有IP地址对互联网资源进行访问，而现实情况下互联网中路由器的路由表中不存在私有地址条目，为了保证其能够正常访问互联网资源，在这里我们为其配置动态NAT地址转换.而校园网VLAN 192网段用户使用公有IP地址对互联网资源进行访问，只需为其配置路由即可能够正常访问互联网资源，因此无须配置NAT地址转换.
R2(config-if)#int f0/0.2
R2(config-subif)#ip nat inside //定义为NAT内网接口
R2(config-if)#int f0/0.3
R2(config-subif)#ip nat inside //定义为NAT内网接口
R2(config)#int e1/0
R2(config-if)#ip nat outside //定义为NAT外网接口
R2(config)#int e1/1
R2(config-if)#ip nat outside //定义为NAT外网接口
R2(config)#int e1/2
R2(config-if)#ip nat outside //定义为NAT外网接口
3.3.2 定义NAT地址池
R2(config)#ip nat pool edu 211.68.197.3 211.68.197.15 netmask
255.255.255.0 //定义中国教育科研网出口NAT地址池
R2(config)#ip nat pool dx 221.239.44.3 221.239.44.10 netmask
255.255.255.0 //定义中国电信出口NAT地址池
R2(config)#ip nat pool lt 60.30.25.3 60.30.25.10 netmask 255.255.255.0 //定义中国联通出口NAT地址池
3.3.3 配置NAT源地址来源
R2(config)#route-map edu permit 10 //建立名edu的路由图
R2(config-route-map)#match ip address 101
R2(config-route-map)#match interface Ethernet1/0
R2(config)#route-map dx permit 10 //建立名dx的路由图
R2(config-route-map)#match ip address 120
R2(config-route-map)#match interface Ethernet1/1
R2(config)# route-map lt permit 10 //建立名lt的路由图
R2(config-route-map)#match ip address 120
R2(config-route-map)#match interface Ethernet1/2
3.3.4 配置NAT工作方式
R2(config)#ip nat inside source route-map edu pool edu overload
// 数据包与名为edu的路由图如匹配，将进行动态复用地址转换，地址池名为edu
R2(config)#ip nat inside source route-map dx pool dx overload //数据包与名为dx的路由图如匹配，将进行动态复用地址转换，地址池名dx
R2(config)#ip nat inside source route-map lt pool lt overload //数据包与名为lt的路由图如匹配，将进行动态复用地址转换，地址池名lt
3.4.1 定义路由图
通过在校园网出口路由器R2子接口F0/0.1、 F0/0.2 、F0/0.3上应用策略路由，依据数据包源地址和目的地址进行分流，从而实现流量负载均衡和链路备份. (1)定义名为eduout的路由图
R2(config)#route-map eduout permit 10
R2(config-route-map)#match ip address 1 //通过访问控制列表1判断数据包的源地址是否为vlan 192网段用户，如果是则按照set ip next-hop命令指定数
据包的下一跳地址，如果为否数据包则按照普通路由表进行转发.
R2(config-route-map)#set ip next-hop 211.68.197.1 60.30.25.1 //设置数据包默认下一跳地址为211.68.197.1.如果默认下一跳地址不可达，数据包的下一跳地址将改变为60.30.25.1，从而实现链路的备份.
R2(config-route-map)#set ip next-hop verify-availability //测试下一跳的可达性，默认为关闭状态.在应用该条命令前，必须保证自己以及各相邻路由器接口CDP为开启状态.
(2)定义名为dxout的路由图
R2(config)#route-map dxout permit 10
R2(config-route-map)#match ip address 101//通过访问控制列表101判断数据包的目的地址是否为211.68.204.0网段，如果是则按照set ip next-hop命令指定数据包的下一跳地址.如果为否，则判断是否与序号为20的下一节情况相匹配. R2(config-route-map)#set ip next-hop 211.68.197.1 221.239.44.1 //设置数据包默认下一跳地址为211.68.197.1.如果默认下一跳地址不可达，数据包的下一跳地址将改变为221.239.44.1，从而实现链路的备份.
R2(config-route-map)#set ip next-hop verify-availability
R2(config)#route-map dxout permit 20
R2(config-route-map)#match ip address 130
R2(config-route-map)#set ip next-hop 221.239.44.1 60.30.25.1
R2(config-route-map)#set ip next-hop verify-availability
(3)定义名为ltout的路由图
R2(config)#route-map ltout permit 10
R2(config-route-map)#match ip address 101
R2(config-route-map)#set ip next-hop 211.68.197.1 60.30.25.1
R2(config-route-map)#set ip next-hop verify-availability
R2(config)#route-map ltout permit 20
R2(config-route-map)#match ip address 140
R2(config-route-map)#set ip next-hop 60.30.25.1 221.239.44.1
R2(config-route-map)#set ip next-hop verify-availability
3.4.2 应用策略路由
R2(config-if)#int f0/0.1
R2(config-subif)# ip policy route-map eduout //在子接口f0/0.1上应用名为eduout的策略路由
R2(config-if)#int f0/0.2
R2(config-subif)# ip policy route-map dxout //在子接口f0/0.2上应用名为dxuout的策略路由
R2(config-if)#int f0/0.3
R2(config-subif)# ip policy route-map ltout //在子接口f0/0.3上应用名为ltout的策略路由
3.4.3 配置静态路由
由于VLAN 192网段用户使用公有IP地址访问互联网资源，因此必须为其配置中国教育科研网边缘路由器R1至校园网出口路由器R2 和中国联通边缘路由器R4至校园网出口路由器R2的回程路由，否则VLAN 192网段用户将无法通过教育网链路以及联通备用链路访问互联网资源.
R1(config)#ip route 211.68.192.0 255.255.255.0 211.68.197.2
R4(config)#ip route 211.68.192.0 255.255.255.0 60.30.25.2
我们以VLAN 192网段所属服务器C1、VLAN 30网段所属计算机C2和VLAN 40网段所属计算机C3为例，测试访问中国教育科研网服务器地址211.68.204.3
和中国电信服务器地址220.181.90.20的路由过程.
(1)用trace命令测试 C1访问外网目的服务器路由过程VPCS[1]> trace 211.68.204.3
trace to 211.68.204.3, 8 hops max, press Ctrl+C to stop
1 211.68.192.1 62.401 ms 15.600 ms 15.600 ms
2 211.68.197.1 62.401 ms
VPCS[1]> trace 220.181.90.20
trace to 220.181.90.20, 8 hops max, press Ctrl+C to stop
1 211.68.192.1 46.801 ms 15.600 ms 15.600 ms
2 211.68.197.1 93.600 ms
(2)用trace命令测试 C2访问外网目的服务器路由过程VPCS[2]> trace 211.68.204.3
trace to 211.68.204.3, 8 hops max, press Ctrl+C to stop
1 192.168.30.1 50.401 ms 12.600 ms 15.600 ms
2 211.68.197.1 65.404 ms
VPCS[2]> trace 220.181.90.20
trace to 220.181.90.20, 8 hops max, press Ctrl+C to stop
1 192.168.30.1 43.801 ms 11.800 ms 11.600 ms
2 221.239.44.1 83.600 ms
(3)用trace命令测试 C3访问外网目的服务器路由过程VPCS[3]> trace 211.68.204.3
trace to 211.68.204.3, 8 hops max, press Ctrl+C to stop
1 192.168.40.1 52.401 ms 11.600 ms 15.600 ms
2 211.68.197.1 55.404 ms
VPCS[3]> trace 220.181.90.20
trace to 220.181.90.20, 8 hops max, press Ctrl+C to stop
1 192.168.40.1 41.801 ms 10.800 ms 12.600 ms
2 60.30.25.1 83.600 ms
通过以上实验测试，可以证实VLAN 192网段用户访问教育网资源和其他互联网资源数据包的下一跳地址均中国教育科研网接口地址，VLAN 30和VLAN 40网段用户访问教育网资源数据包的下一跳地址为中国教育科研网接口地址，访问其他互联网资源，VLAN 30网段用户数据包的下一跳地址为中国电信接口地址，VLAN 40网段用户数据包的下一跳地址为中国联通接口地址，从而实现了校园网出口链路流量负载均衡.
为节省文章篇幅，我们以教育网链路发生故障为例，分析服务器C1、计算机C2和计算机C3访问中国教育科研网服务器地址211.68.204.3和中国电信服务器地址220.181.90.20的路由过程.手动关闭校园网出口路由器R2上e1/0接口,模拟教育网链路发生故障. 实验测试后，可以证实当教育网链路出现故障，VLAN 192网段用户访问教育网资源和其他互联网资源数据包的下一跳地址变为中国联通接口地址，VLAN 30网段用户访问教育网资源数据包的下一跳地址变为中国电信接口地址,VLAN 40网段用户访问教育网资源数据包的下一跳地址变为中国联通接口地址. 通过在校园网出口路由器应用策略路由和NAT技术，实现了多出口校园网流量负载均衡和链路备份，不仅提高了校园网用户访问公网资源的速度，而且也增强了校园网出口链路的可靠性.
【相关文献】
[1] 庞亚宾,董淑霞.基于静态路由的ISP负载均衡解决方案[J].计算机与应用化学．2010(8):1096-1098．
[2] 张钢.思科虚拟实验平台的构建[J].实验室研究与探2010(8):216-218．
[3] 曹腾飞,孟永伟,黄建强.西部高校计算机网络实验[J].实验室研究与探索， 2015,34(4):129-131．
[4] 王芳,韩国栋.路由器访问控制列表及其实现技术研究[J].计算机工程与设计，2007,
28( 23):5638-5639.
[5] 王李冬，安康，曹世华.基于虚拟实验平台的计算机网络实践课程教学探讨 [J]. 高等理科教育，2014,20(6):93-97.
[6] 陈英,马洪涛.NAT 技术的研究与应用[J].实验室研究与探索， 2007(8):56- 62．
[7] 雷震甲，严体华，吴晓葵.网络工程师教程[M].北京：清华大学出版社，2014.
[8] 彭儒武，徐海花. 高校实验室开放与管理模式的实践与探索[J].实验技术与管理，2013(1)：129-132.
[9] 桑世庆,卢晓慧．交换机/路由器配置与管理[M].北京:人民邮电出版社， 2010．
[10] Furukawa Y， Inubushi K． Feasible suppression technique of methane emission from paddy soil by iron amendment[J].Nutrient Cycling in Agroecosystems，2002(64):193-201．。