王世鋒

摘 要： 分析了目前高校多出口網(wǎng)絡(luò)環(huán)境下存在的諸多問(wèn)題，提出了適合青島職業(yè)技術(shù)學(xué)院現(xiàn)狀的解決方案，即利用DNS view功能實(shí)現(xiàn)按源請(qǐng)求地址返回服務(wù)器不同IP地址，并配合防火墻路由策略較好地解決了校外用戶快速訪問(wèn)校內(nèi)資源，以及校內(nèi)用戶快速訪問(wèn)互聯(lián)網(wǎng)的問(wèn)題。

關(guān)鍵詞： 多出口環(huán)境； 路由策略； DNS VIEW； 校園網(wǎng)

中圖分類號(hào)：TP393.07 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2014）03-11-02

0 引言

目前，國(guó)內(nèi)高校在信息化建設(shè)方面有了較大的進(jìn)步，校園網(wǎng)為校園各項(xiàng)應(yīng)用提供了有效支撐，萬(wàn)兆骨干網(wǎng)絡(luò)已成為各高校校園網(wǎng)的基本建設(shè)要求。師生在校園內(nèi)部訪問(wèn)校內(nèi)資源十分快捷；然而，校內(nèi)用戶訪問(wèn)校外資源或校外用戶訪問(wèn)校內(nèi)資源卻嚴(yán)重受制于目前國(guó)內(nèi)運(yùn)營(yíng)商網(wǎng)絡(luò)的互聯(lián)互通的瓶頸。為此，各高?；旧隙家肓硕鄠€(gè)網(wǎng)絡(luò)出口，至少也有兩個(gè)。以青島職業(yè)技術(shù)學(xué)院為例，已有中國(guó)教育網(wǎng)、中國(guó)電信、中國(guó)聯(lián)通、中國(guó)移動(dòng)四條出口鏈路。而對(duì)于如何有效利用多條鏈路為師生員工與校外用戶提供網(wǎng)絡(luò)服務(wù)，各高校走出了不同的實(shí)踐之路。作者在總結(jié)、借鑒其他高校經(jīng)驗(yàn)基礎(chǔ)上，根據(jù)學(xué)院實(shí)際進(jìn)行了研究和探索，提出了一個(gè)整體解決方案。

1 校園網(wǎng)絡(luò)概況及多出口環(huán)境下存在的問(wèn)題

1.1 校園網(wǎng)概況

青島職業(yè)技術(shù)學(xué)院校園網(wǎng)采用典型的三層結(jié)構(gòu)模型：核心、匯聚、接入，各層之間鏈接以千兆鏈路為主。因網(wǎng)絡(luò)結(jié)構(gòu)清晰且變動(dòng)較少，故在各層間采用靜態(tài)路由方式。出口設(shè)備采JUNIPER netscreen isg2000防火墻，連接教育網(wǎng)100Mbps鏈路、中國(guó)電信100Mbps鏈路、中國(guó)聯(lián)通100Mbps鏈路、中國(guó)移動(dòng)1Gbps鏈路。并在防火墻上做NAT進(jìn)行地址轉(zhuǎn)換，同時(shí)防火墻還承擔(dān)出口路由策略設(shè)置和內(nèi)網(wǎng)的基本安全防護(hù)。

在IP地址劃分上，對(duì)外公共服務(wù)器，如網(wǎng)站、郵件系統(tǒng)等分配的是中國(guó)教育科研網(wǎng)地址，校園內(nèi)部應(yīng)用服務(wù)器因安全考慮則分配私有地址。辦公用戶地址是以中國(guó)教育網(wǎng)分配的公有地址為主；因?yàn)槭艿椒峙涞墓械刂窋?shù)量限制，所以電子閱覽室、學(xué)生公寓及校園無(wú)線網(wǎng)絡(luò)均采用私有地址。

1.2 多出口校園網(wǎng)環(huán)境存在的問(wèn)題

在多出口校園網(wǎng)絡(luò)環(huán)境下，面對(duì)學(xué)院對(duì)外開(kāi)放教育資源服務(wù)及校內(nèi)用戶不同的對(duì)外訪問(wèn)需求，通過(guò)梳理，可總結(jié)歸納為以下兩大問(wèn)題。

⑴ 校內(nèi)用戶如何快捷、高效地訪問(wèn)互聯(lián)網(wǎng)資源。校園網(wǎng)多條出口鏈路帶寬不同，提供的服務(wù)也有區(qū)別，如何選擇合適的路由提供優(yōu)質(zhì)網(wǎng)絡(luò)服務(wù)是解決問(wèn)題的關(guān)鍵。

⑵ 因?qū)ν夤卜?wù)器使用教育網(wǎng)地址，校外用戶在訪問(wèn)這些服務(wù)器資源時(shí)就會(huì)通過(guò)教育網(wǎng)鏈路訪問(wèn)。但如果校外用戶使用的是中國(guó)聯(lián)通等非教育科研網(wǎng)絡(luò)，則通常會(huì)存在資源響應(yīng)時(shí)間過(guò)長(zhǎng)、甚至無(wú)法觀看教學(xué)視頻等問(wèn)題。

2 校內(nèi)用戶訪問(wèn)互聯(lián)網(wǎng)

校園網(wǎng)作為互聯(lián)網(wǎng)絡(luò)的邊界接入點(diǎn)，要解決校內(nèi)用戶訪問(wèn)互聯(lián)網(wǎng)路由選擇問(wèn)題，可以根據(jù)所訪問(wèn)的服務(wù)器地址屬于哪個(gè)運(yùn)營(yíng)商在防火墻上配置相應(yīng)的路由策略[1]。這樣，一方面可以分散各出口鏈路上的網(wǎng)絡(luò)流量，另一方面也可實(shí)現(xiàn)就近訪問(wèn)，在一定程度上提高了網(wǎng)絡(luò)訪問(wèn)速度。以下給出具體實(shí)施過(guò)程。

⑴ 從亞太互聯(lián)網(wǎng)信息中心（apnic）獲取各電信運(yùn)營(yíng)商的IP地址分配情況。

從apnic的ftp站點(diǎn)下載獲取IP分配信息的工具ripe-dbase-

client-v3.tar.gz，并在liunx下安裝，可通過(guò)該工具提供的命令獲取各運(yùn)營(yíng)商的IP地址分配信息。以中國(guó)電信為例：

./whois3 -h whois.apnic.net -l -imb MAINT-CHINANET > /var/

chinanet

從chinanet文件中可整理出apnic分配給中國(guó)電信的IP地址段。

⑵ 根據(jù)獲取的IP地址段信息，在防火墻上配置靜態(tài)路由[2]。從而依據(jù)目的IP地址屬于哪個(gè)運(yùn)營(yíng)商便從相應(yīng)鏈路訪問(wèn)互聯(lián)網(wǎng)。配置命令如下：

set route 202.106.0.0/16 interface ethernet3/2

gateway 123.234.130.145[3]

set route 202.107.0.0/17 interface ethernet3/2

gateway 123.234.130.145

set route 202.108.0.0/16 interface ethernet3/2

gateway 123.234.130.145

…

對(duì)于運(yùn)營(yíng)商新增的未及時(shí)更新的IP地址段及其他國(guó)家或地區(qū)的地址段，可采用默認(rèn)路由方式指定訪問(wèn)鏈路。如：

set route 0.0.0.0/0 interface ethernet3/2

gateway 123.234.130.145

然而對(duì)于某些地址段，采用默認(rèn)路由方式訪問(wèn)并不是最佳選擇，可根據(jù)特殊需求，調(diào)整路由策略，以便為用戶提供最優(yōu)的訪問(wèn)體驗(yàn)。

⑶ 對(duì)于像電子郵件系統(tǒng)等那些采用源地址驗(yàn)證的應(yīng)用和學(xué)生公寓、電子閱覽室等大流量用戶群，只允許從特定鏈路訪問(wèn)互聯(lián)網(wǎng)，可采用源地址路由策略。配置命令如下：

set route source 222.195.192.8/32 interface

ethernet1/2 gateway 172.18.1.5

set route source 10.100.11.0/24 interface

ethernet1/2 gateway 172.18.1.5

set route source 10.10.0.0/16 interface ethernet4/2

gateway 111.17.223.33

…

然而，運(yùn)營(yíng)商IP地址段不斷變化，這就需要及時(shí)從apnic更新信息，并在防火墻上定期調(diào)整配置，從而保證路由策略的有效性。

3 校外用戶訪問(wèn)校內(nèi)資源

校外用戶訪問(wèn)校內(nèi)資源如果只走教育網(wǎng)鏈路，顯然無(wú)法滿足需求。較好的解決辦法是，校外用戶屬于哪個(gè)電信運(yùn)營(yíng)商就從該運(yùn)營(yíng)商鏈路訪問(wèn)校內(nèi)資源。這樣，不僅可以緩解教育網(wǎng)鏈路壓力，同時(shí)也可實(shí)現(xiàn)就近訪問(wèn)。以下為具體實(shí)施過(guò)程。

⑴ 向鏈路所屬電信運(yùn)營(yíng)商申請(qǐng)開(kāi)放資源端口，特別是Web應(yīng)用，必須向運(yùn)營(yíng)商備案開(kāi)通80端口。如，精品課程網(wǎng)站2009jpkc.qtc.eu.cn需向中國(guó)教育網(wǎng)、中國(guó)電信、中國(guó)聯(lián)通等各個(gè)運(yùn)營(yíng)商備案登記，如表1所示。

表1 精品課程網(wǎng)站對(duì)應(yīng)各運(yùn)營(yíng)商IP地址及端口號(hào)

[電信運(yùn)營(yíng)商＼&IP地址＼&端口號(hào)＼&中國(guó)教育網(wǎng)＼&222.195.192.18＼&80＼&中國(guó)電信＼&222.173.92.61＼&80＼&中國(guó)聯(lián)通＼&123.234.130.148＼&80＼&]

⑵ 在防火墻上配置IP地址映射（VIP）或端口映射（MIP）[4]，實(shí)現(xiàn)將用戶從校外訪問(wèn)的運(yùn)營(yíng)商IP地址轉(zhuǎn)換成校內(nèi)服務(wù)器上配置的教育網(wǎng)IP地址。如，中國(guó)電信用戶從電信鏈路訪問(wèn)精品課程網(wǎng)站電信IP地址：222.173.92.61，則在防火墻上轉(zhuǎn)換為服務(wù)器上實(shí)際配置的教育網(wǎng)IP地址：222.195.192.18。配置命令如下：

set interface "ethernet2/2" mip 222.173.92.61 host

222.195.192.18 netmask 255.255.255.255 vr "trust-vr"

⑶ 為能夠給使用不同運(yùn)營(yíng)商網(wǎng)絡(luò)的校外用戶訪問(wèn)服務(wù)器時(shí)返回對(duì)應(yīng)運(yùn)營(yíng)商所屬的IP地址，需要在DNS上進(jìn)行相應(yīng)配置。以Linux系統(tǒng)下常用的DNS配置軟件bind[5]為例：

① 根據(jù)apnic獲得的各運(yùn)營(yíng)商IP地址段，創(chuàng)建相應(yīng)的運(yùn)營(yíng)商IP地址段文件，如中國(guó)聯(lián)通ip.cncnet：

acl "CNCNET"{ 1.24.0.0/13； 1.56.0.0/13； 1.188.0.0/14； … }；

② 在name.conf文件中引入各運(yùn)營(yíng)商IP地址段文件，為不同運(yùn)營(yíng)商IP地址段創(chuàng)建相應(yīng)的VIEW，并在VIEW中為同一個(gè)域名qtc.edu.cn創(chuàng)建不同的IP地址解析文件。

以中國(guó)聯(lián)通IP地址段為例：

#include “ip.cncnet”

view "CNCNET"

{

match-clients { CNCNET； }；

zone "qtc.edu.cn" in {

type master；

file "qtc.edu.cn.cncnet"；

}；

③ 在IP地址解析文件中，為各域名指定在運(yùn)營(yíng)商備案的IP地址，從而實(shí)現(xiàn)該運(yùn)營(yíng)商用戶訪問(wèn)DNS時(shí)返回對(duì)應(yīng)的IP地址。以下為qtc.edu.cn.cncnet文件部分內(nèi)容：

$TTL 86400；

@ SOA dns1.qtc.edu.cn. root.dns1.qtc.edu.cn. （

2012070200 ； serial

28800 ； Refresh

14400 ； Retry

3600000 ； Expire

7200 ） ； Minimum

IN NS dns1.qtc.edu.cn.

2009jpkc IN A 123.234.130.149

…

通過(guò)實(shí)施上述措施，校外用戶訪問(wèn)校內(nèi)資源時(shí)，首先通過(guò)DNS獲取校內(nèi)資源的IP地址，該地址屬于用戶上網(wǎng)的電信運(yùn)營(yíng)商。這樣，用戶僅僅在解析校內(nèi)資源IP地址時(shí)走教育網(wǎng)鏈路，當(dāng)實(shí)際訪問(wèn)資源時(shí)則根據(jù)配置的路由策略完全走相應(yīng)電信運(yùn)營(yíng)商的鏈路，極大地提高了資源訪問(wèn)速度。

4 結(jié)束語(yǔ)

該解決方案已部署應(yīng)用多年，較好地滿足了青島職業(yè)技術(shù)學(xué)院校園網(wǎng)內(nèi)外用戶對(duì)各種資源的訪問(wèn)需求。特別是在不多增加校園網(wǎng)設(shè)備，不多增加資金投入的情況下，該方案不失為一種有效的解決高校多出口網(wǎng)絡(luò)環(huán)境下資源訪問(wèn)的方案。必須注意的是，該方案需要定期更新路由策略中的目的路由IP地址段和DNS中的IP地址段文件，并使之保持一致，才能確保該方案的有效性。

參考文獻(xiàn)：

[1] 黃敏，張衛(wèi)東.基于策略路由的網(wǎng)絡(luò)設(shè)計(jì)與實(shí)踐[J].計(jì)算機(jī)應(yīng)用，

2002.22（5）：72-73

[2] 肖捷.靜態(tài)路由選擇配置方案的設(shè)計(jì)[J].計(jì)算機(jī)工程，2000.26（8）：

141-143

[3] Juniper Networks，Inc.http：//www.juniper.net，2013.12.

[4] 禹龍，田生偉.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)及其在校園網(wǎng)中的應(yīng)用[J].計(jì)

算機(jī)工程，2004.30（6）：192-194

[5] Internet Systems Consortium， Inc. https：//kb.isc.org/article/

AA-0084 5/116/BIND-9.9-Administrator-Reference-Manual-

ARM.html，2013.12.