采用双出口的校园网的技术分析及实现

Vol.28No.2

Feb.2012

第28卷第2期（下）

2012年2月赤峰学院学报（自然科学版）Journal of Chifeng University （Natural Science Edition ）1

引言

在很多高校的校园网建设中，基于访问速度、资源利用情况和费用的考虑，在接入教科网的同时，还会选择其他ISP 接入方式.通常情况下，当校园网中采用双出口时，要求对原有的用户的影响应尽可能少，即任何客户端IP 地址设置都不用修改，使用户能正常访问网络；当用户访问教科网的网站时，走经由连接到教科网的出口，访问其他网站包括国外站点时，走经由连接到其他ISP 的出口；外部公众网的用户访问校园网的Web 、FTP 、M ail 、DNS 等服务器时，即可以通过教科网提供的IP 地址访问，也可以通过其他ISP 提供的IP 地址访问.2

存在的问题分析

图2-1所示为校园网采用双出口时的网络连接拓扑图.这样的连接通常会带来两个方面的问题，一方面是内部用户访问外网时如何分流，另一方面就是对外发布的服务（如WEB 服务）如何提供给外部访问的问题.

当内部用户访问外部网络时，考虑到通过教科网访问其外的网络流量要收费，且访问速度没有其他ISP 快，所以一般要求所有目的地址为教科网的访问流量走教科网，其他流量走联通网.

WEB 服务器同时使用教科网和联通网对外发布，当客户机位于教科网，访问WEB 服务时访问的是联通网提供的IP 地址，发出的数据包会从GE2进入，而返回的数据包会从ETH0出来，当任何一条链路故障时，都将无法正常访问

服务器.当客户机位于教科网以外，访问WEB 服务时访问的是教科网提供的IP ，也会有同样的问题出现.即便网络链路正常，对服务器的访问也存在不确定性因素.要解决以上问题，需要保证当外部客户机访问服务器的数据包从那一个接口进入内部网络就应从该接口返回.3网络接入基本技术

3.1

静态路由与默认路由

静态路由就是手工配置的路由，使得数据包能够按照

设定的路径传送到指定的目标网络.如果路由器遇到没有确切路由的数据包时，通常是按照设定的默认路由进行传送，默认路由是一种特殊的静态路由.3.2

策略路由

基于策略的路由不仅能够根据目的地址，而且能够根据协议类型、

报文大小、应用、IP 源地址或者其它的策略来选择转发路径.策略可以根据实际应用的需要进行定义来控制多个路由器之间的负载均衡、单一链路上报文转发的QoS 或者满足某种特定需求.3.3

NAT

NAT 即网络地址转换，是用于解决内部网络连接到公共网络时的一种地址变换技术.通常在内部网络中使用私有IP 地址，当内部网络中的计算机与公共网络中的计算机通信时，NAT 设备将内部网络私有地址转换成公共网络上合法的IP 地址，使通信能正常进行.NAT 有三种常用类型：静态NAT ：

按照一一对应的方式将每个内部IP 地址转换为一个外部IP 地址，这种方式经常用于内部网的服务器需要能够被外部网络访问到时.

动态NAT ：将一个内部IP 地址转换为一组外部IP 地址（地址池）中的一个IP 地址，这种转换不是固定的，而是动态的.

超载（Overloading ）NAT （也称为NAPT ）：是动态NAT 的一种实现形式，在转换时利用了端口号，将[内部IP 地址，端

采用双出口的校园网的技术分析及实现

李文池1,2，杨世平1

（1.贵州大学，贵州

贵阳550000；2.贵州电子信息职业技术学院，贵州

凯里556000）

摘要：针对双出口校园网络提出一种采用静太路由、

NAT 、源地址策略路由技术的综合解决措施方案，主要解决了网络流量分配和通过双出口访问校园网服务器的问题.

关键词：双出口；静态路由；策略路由；NAT 中图分类号：TP393.18文献标识码：A 文章编号：1673-260X （2012）02-0031-02

基金项目：贵阳市科学技术计划项目，[2009］，科2合同字第1-052号

图2-1网络连接拓扑图

31--

口号]转换为[外部IP地址，端口号]，使得只用少量的外部IP 地址就可以支持内部网络大量的客户端.

4技术解决方案

对于内部用户访问外网时如何分流的问题，通常在出口设备上设置默认路由和静态路由，并配合NAT和ACL来实现.设置静态路由，使得所有访问目的地址为教科网的流量，经由接口ETH0走，目的地址为非教科网的流量经由接口GE2走.在接口GE0->ETH0，GE0->GE2方向设置源址NAPT.

对于WEB服务器的问题，需要保证当外部客户机访问服务器的数据包从那一个接口进入内部网络就应从该接口返回.可以采用源IP地址的策略路由技术来解决这个问题，基于源IP地址的策略允许根据IP包的始发地做出路由选择，在WEB服务器上设两IP地址，一个IP地址做静态NAT映射到教科网提供的公网IP地址，另一个IP地址做静态NAT映射到联通网提供的IP地址，这样，就可以由使得返回的数据包由服务器的IP地址来确定是走哪一个接口出去.

内部用户访问外网的主要配置如下：

interface GE0

ip address192.168.10.1255.255.255.0

ip nat inside

interface ETH0

ip address210.x.x.1255.255.255.0

ip nat outside

interface GE2

ip address111.y.y.65255.255.255.248

ip nat outside

access-list100permit ip192.168.10.00.0.0.255 A.B.

C.D0.0.0.255//列出所有教科网IP

......

access-list110deny ip192.168.10.00.0.0.255 A.

B.C.D0.0.0.255//列出所有教科网IP

......

access-list110permit ip192.168.10.00.0.0.255any

ip nat inside source list100interface ETH0overload

ip nat inside source list110interface GE2overload

ip route0.0.0.00.0.0.0111.y.y.66

ip route A.B.C.D255.255.255.0210.x.x.2//列出所有教科网IP

......

源IP地址的策略路由配置如下：

interface GE1

ip address192.168.100.1255.255.255.0

ip nat inside

ip policy route-map soucepolicy

ip nat inside source static192.168.100.101210.x.x.101 ip nat inside source static192.168.100.102111.y.y.67

access-list10permit192.168.100.101//WEB服务器IP1

access-list11permit192.168.100.102//WEB服务器IP2

route-map soucepolicy permit10

match ip address10

set ip next-hop210.x.x.2//走教科网

route-map soucepolicy permit20

match ip address11

set ip next-hop111.y.y.66//走联通网

5总结

在校园网出口节点位置采用了四端口防火墙，综合运用了静态路由、NAPT、静态NAT和策略路由技术，解决了网络访问流量的问题，充分整合了教科网和本地ISP的优势资源，有效控制了网络使用费用，减少了网络设备和服务器数量，降低了网络建设成本，比较理想的解决了校园网双出口的问题.

——

——

——

——

——

——

——

——

——

—

参考文献：

〔1〕（美）Richard NP学习指南：组建Cisco多层交换网络(BCMSN).人民邮电出版社，2007.

〔2〕（美）Diane NP学习指南：组建可扩展的Cisco 互连网络(BSCI).人民邮电出版社，2007.

〔3〕廖淑华.策略路由技术在多出口网络中的应用.吉林师范大学学报(自然科学版),2010(02).

〔4〕赵秋菊.多出口校园网络的路由与防火策略.电脑知识与技术,2009(06).

32 --