多出口校园网范文

多出口校园网范文（精选9篇）

多出口校园网 第1篇

广西电大于2006年与广西网通 (NETCOM) 合作, 使用广西网通20M独享专线连接入国际互联网。同时作为中国教育科研网 (CERNET, 以下简称教科网) 南宁市3个主节点之一, 广西电大同时担任着南宁市内教科网相当范围用户的连接枢纽任务。

广西电大目前建立了覆盖全区各地约18所地市级分校, 还有100余所县级电大或工作站、教学点的校园网, 在读各层次各专业学生5万余人。经过多年努力, 广西电大通过自建教学资源、整合中央电大和各省级兄弟电大教学资源、整合合作高校网络学院教学资源等方法, 已经形成了较完备的远程教学支持服务体系和教学资源系统。但是, 因为种种原因, 以前广西电大并没有完全接入教科网, 而教科网中各高校极其丰富的教学资源是电大远程教育教学资源的有力补充。所以, 如何在校园网中合理充分利用教科网和网通线路连接互联网, 进而使广大师生能够便利、高效地使用和享受到不同网络环境中的教学资源和教学服务, 便成为我们希望解决的问题。

二、多出口网络相关技术的研究

在校园网具有多路由 (通常是两个路由, 甚至是多个) 连接的情况下, 如何较好地实现路由选择和带宽平衡是一个非常关键的技术难题, 目前大致有如下几种:

(一) 使用架设代理服务器 (Proxy Server) 的方式

这种方式配置简单, 设备费用低廉, 不需要大规模改变原有的设备连接和配置, 代理工作在应用层, 主要是作为一个外部系统和内部系统的中继站。这样, 数据包就不能直接传送, 而是在中间作一些预处理后进行传送。每个代理只对已经精确定义应用的协议服务, 对其他的协议封闭, 并且可以采取一些安全策略。此法简单易行, 在中小规模的校园网中使用较广。有不少成熟的系统和软件能实现类似的功能。但由于很难提高代理服务器的性能, 且存在代理服务器对用户不透明、效率不高、使用不便、应用协议支持差等原因, 因此在较大型的校园网中一般只是将其作为补充手段而非主要策略实施。我们尝试使用FreeBSD操作系统配置了代理服务器, 实现了代理出口的功能。

(二) NAT (Network Address Translation) 技术

NAT的解决方法是:在用户内部网络中使用内部私有空间地址, 通过NAT把内部私有地址翻译成合法的全局IP地址。目前NAT功能通常被集成到路由器、防火墙等设备中, NAT设备维护一个NAT表, 用它来实现全局到本地和本地到全局的地址映射。NAT地址转换有三种主要类型:静态转换、动态转换和端口地址转换。

静态转换是最简单的一种转换力式, 它在NAT表中为每一个需要转换的内部地址创建了固定的转换条目, 映射了唯一的全局地址, 内部地址与全局地址一一对应。这种方式主要用于服务器, 以确保外部网络对内部网络服务器的正确访问。

动态转换增加了网络管理的复杂性, 但也提供了很大的灵活性。它将可用的全局地址和地址集定义成NAT池。对于要与外界进行通信的内部节点, 如果还没有建立转换映射, 边缘路由器或者防火墙将会动态地从NAT池中选择全局地址对内部地址进行转化。每个转换条目在连接建立时动态建立, 而在连接终止时被回收。这样, 网络的灵活性大大增强了, 所需要的全局地址进一步减少。值得注意的是, 当NAT池中的全局地址被全部占用以后, 以后的地址转换申请将被拒绝, 这样会造成网络连通性的问题。所以, 应该使用超时操作选项来回收NAT池的全局地址。另外, 由于每次的地址转换是动态的, 所以同一个节点在不同的连接中的全局地址是不同的, 这会使SNMP的操作复杂化。

端口地址转换 (NAPT) 是动态转换的一种变形, 它可以使多个内部节点共享一个全局IP地址, 而使用源和目的的TCP/UDP的端口号来区分NAT表中的转换条目及内部地址, 这样就更节省了地址空间。比如说, 假设内部节点10.1.1.3, 10.1.1.2都用源端口1723向外发送数据包, NAPT路由器把这两个内部地址都转换成全局地址192.168.2.2, 而使用不同的源端口号:1492, 1723。当接收方收到的源端口号为1492, 则返回的数据包在边缘网关处, 目的地址和端口被转换为10.1.1.3:1723;而接收到的源端口号为1723时, 目的被映射到10.1.1.2:1723。对于只向外访问而不允许外部网络访问的内部主机, 一般采用动态转换技术。

(三) 策略路由技术

在路由器进行包转发决策过程中, 通常是根据所接受的包的目的地址进行的。路由器根据包的目的地址查找路由表, 从而作出相应的路由转发决策。然而, 有时我们需要按照自己的规则来决定数据包的路由, 而不仅仅由包的目的地址来决定数据包的路由, 这就是路由策略问题。基于策略路由通常有以下几种方式:

(1) 基于源IP地址的策略路由;

(2) 基于数据包大小的策略路由;

(3) 基于应用的策略路由;

(4) 通过缺省路由平衡负载。

在运用中基于源IP地址的策略路由比较适合工作实际, 其工作原理为:如果在某个端口上基于策略的路由选择有效, 则这个端口上接收的所有数据包都通过了路由映射, 基于策略的路由选择所使用的路由映射规定了数据包将发送何处的策略, 路由映射由语句构成, 可以把路由映射语句标记为允许和否定, 而且可以按照以下方式解释:

(1) 如果数据包不匹配任何一个映射语句, 则采用所有的设置子句;

(2) 如果一个语句标记为否定, 则满足这个匹配标准的数据包将通过标准转发信道返回, 并执行基于策略的路由;

(3) 如果一个语句标记为允许, 并且这个数据包不匹配任何一条路由映射语句, 则数据包将通过标准转发信道返回, 并执行基于策略的路由。

三、实践方案

针对以上分析的几种技术, 我们进行了一些尝试。

(一) 使用Free BSD+Squid搭建代理服务器实现多出口

FreeBSD是一种UNIX操作系统, 是由经过BSD、386BSD和4.4BSD发展而来的Unix的一个重要分支, 它支持x86兼容 (包括PentiumR和AthlonTM) 、amd64兼容 (包括Opteron TM、Athlon 64和EM64T) 、Alpha/AXP、IA-64、PC-98以及UltraSPARCR架构的计算机。它被普遍认为是相当可靠和健壮的。FreeBSD源于BSD美国加州大学伯克利分校开发UNIX R版本, 它由来自世界各地的志愿者开发和维护。FreeBSD为不同架构的计算机系统提供了不同程度的支持。

Squid Internet Object Cache (Harvest Project的后续版本) 是美国政府大力资助的一项研究计划。Squid是一个开放源代码的代理服务器软件。它是一个为UNIX系统下运行的全功能的代理服务器软件。它可以为HTTP协议、FTP协议以及其他使用URL方式定位的协议作缓存。它支持客户端使用SSL协议进行数据传送。它可以使用ICP、HTCP、CARP、Cache Digests等协议和方式和其他运行squid的服务器进行协同。它支持SNMP协议, 可以用相应的软件来做协调和管理, 并且能配置详细的访问控制列表 (acl) 。

FreeBSD的安装和Squid的安装在此不作论述, 核心内容是配置rc.conf、squid.conf两个文件, 如下所示:

1. 配置rc.conf

2. 配置squid.conf

3. 以下为创建用户及缓存等

使用时用户客户端需要按以上要求设置, 例如访问http协议时需设置代理服务器地址为192.168.5.100, 端口设置为8080等。

(二) 应用策略路由技术实现多出口

使用以上的架设代理服务器的方法虽然简便易行, 但是不足也是显而易见的。所以, 我们也尝试了第二种方法, 即应用策略路由技术实现多出口。配置实例如下:

1. 核心交换机Cisco3600的配置

(1) 配置默认路由

ip route 0.0.0.0 0.0.0.0 172.16.4.20/默认路由走网通

(2) 对所有教育网的国内站点 (免费流量) 设置静态路由 (可从教科网网站下载, 非常多, 此处省略) , 指向教科网出口交换机。

(3) 配置策略路由所需的访问控制列表 (A-CL) 。

(4) 配置策略路由

2. 防火墙上配置NET

防火墙上配置NET是各种各层次的防火墙必备的功能, 只是处理的能力各异, 所以此处对于配置NET不作进一步论述, 可参看各防火墙使用手册。

四、结语

通过以上方法可以初步实现校园网的双出口访问问题 (NETCOM和CERNET) , 推而广之, 同样在多出口的网络环境中也可实现, 只是相应的设置更加复杂。以上方案也存在可以改进之处, 例如还可以进一步制定各种策略、提高转发速度、更好地提高多线路的负载均衡, 等等。总之, 采用各种方法, 提高高校校园网多出口网络访问速度和效率, 是很现实和有意义的课题, 希望本文的研究和实践方案能带来一些启发。

摘要：伴随校园网络的快速发展, 许多高校选择了教育科研网和当地ISP同时接入的互联网访问方式。如何更好地解决多出口网络问题, 是一个现实而有实用意义的课题。文章结合广西电大目前同时接入教育科研网和广西网通网络连接互联网的实际情况, 对多出口网络的一些关键技术作初步分析和研究, 提出针对广西电大实际情况的解决方案, 并介绍相应的实践。

关键词：多出口访问,代理服务器,策略路由,校园网

参考文献

[1]刘海韬, 黄家林.策略路由技术在多出口校园网中的应用[J].电脑与信息安全, 2002 (, 4) .

[2]e benM.UrbanMichael、tai manB TiemannBrian.FreeBSD技术内幕[M].北京:机械工业出版社, 2000.

多出口校园网 第2篇

关键词：NAT 反向域名解析；反垃圾邮件列表；动态IP地址列表

中图法分类号：TP393.098 文献标志码：A 文章编号：1673-8454（2014）08-0076-02

一、引言

随着网络应用的不断拓展与深入，校园计算机网络的Internet接入的稳定性越发重要，因此目前各高校校园网普遍都采用了在原有CERNET网络接入的基础上增加电信或联通网络接入的多网络出口的接入方式。多出口网络接入的实现方式，大部分是在地址翻译技术NAT的基础上，利用路由器或防火墙的静态路由、策略路由PBR技术或专业的链路负载LB设备来实现的。在这些实现方式中，对邮件服务器的处理几乎都是一样的，都是采用基于源地址的策略路由，让邮件服务器进出的流量都走教育网CERNET。这种实现方式在CERNET接入链路可用的情况下是没有问题的，但是在CERNET链路中断的时候，学校邮件服务器将无法对外通信。虽然电子邮件系统有重传机制，但是如果CERNET接入链路较长时间不能恢复的话，还是会出现发送或接收邮件失败的情况。是否有办法让邮件服务器通过电信或联通（后面简称公网）出口发送和接收邮件呢？经过我们的研究与实践，发现是可行的。

二、收发邮件的基本条件

要实现邮件服务器通过公网出口发送和接收邮件，至少需要解决两个问题：一是能从公网口发送邮件，二是能从公网口接收邮件。

实现从公网口发送邮件，必须使得邮件服务器的数据包能从公网口出去，这需要在公网口针对邮件服务器地址做地址翻译。考虑到后面的接收邮件以及突破反垃圾邮件网关，这里最好选择静态地址翻译即一对一地址映射，将服务器本身的教育网IP在公网口映射成一个固定的公网IP。以笔者所在的陕西师范大学为例，将邮件服务器教育网IP202.117.144.13映射成电信IP61.185.221.185，然后根据一些路由策略，让邮件服务器的某些发送邮件的数据包通过公网口发送。

实现从公网口接收邮件，在前面已经在公网口对邮件服务器IP做了一对一地址映射的情况下，只要通过修改DNS服务器里面的邮件域的MX记录即可。例如：

MX10mx202

MX20mx61

mx202 A202.117.144.13

mx61A61.185.221.185

mx61的权值是20，比mx202的权值10低，外部邮件服务器在选择收件服务器时会优选权值高的接收邮件服务器mx202，当mx202不可用时选择权值低的接收邮件服务器mx61。这样就可以实现教育网链路不可用时，通过电信网链路接收邮件。

三、防止邮件被拒绝

经过前面的基本配置，正常情况下我们的邮件服务器就可以通过公网出口发送和接收邮件了，但是实际上我们通过公网接口往外发送的邮件很多都会被别的邮件服务器拒绝，因为绝大多数邮件系统都部署了反垃圾邮件网关。在不做任何处理的情况下，我们通过公网出口往外发送的邮件大部分会被反垃圾邮件网关认为是垃圾邮件。目前，反垃圾邮件网关所采用的技术主要包括过滤技术、地址列表技术、认证技术和行为模式识别技术，[1]对于服务器部署来说主要应该关注的是地址列表技术。地址列表技术是指根据发送方IP地址或域名来判断是否接收发送方的电子邮件，目前主要有反向域名解析、反垃圾邮件地址列表、动态IP地址列表等几种方式，我们需要根据这些不同的技术做相应的处理。

1.反向域名解析

反向域名解析就是能根据IP地址解析出域名，一般国外的邮件服务器都会做反向域名解析检查，要求发送方邮件服务器连接的IP地址能反解析出域名，否则会拒收该邮件服务器的所有邮件。[2]国内的一些反垃圾邮件网关，如EQmanager默认也会启用反向DNS检测。因此我们必须给邮件服务器的IP地址配置反向域名解析。教育网的IP做反向解析比较简单，因为我们有自己IP段的反向域名授权，只需在自己的DNS服务器里添加PTR记录就可以。公网IP的反向域名解析相对麻烦，由于我们申请到的公网IP往往只有几十个，只是一个C类地址段中的一小部分，而反向域名解析授权的最小单位是1个C，因此电信公司不可能给我们的DNS服务器进行反向域名解析授权。我们能做的只能是去电信公司为邮件服务器的公网IP申请反向域名解析。由于反向域名解析不是一个大众业务，可能很多电信客户经理都没听说过这个业务，所以在申请过程中可能会遇到一些困难。需要我们非常有耐心地给电信客户经理讲解反向域名解析原理及其重要性，让他了解应该找电信公司内部哪个具体部门办理这样的业务，相信最后是能申请成功的。

2.反垃圾邮件列表

由于垃圾邮件泛滥，世界各地成立了许多组织开展反垃圾邮件的工作。目前几个著名的组织有SPAMHAUS（www.spamhaus.org）、SpamCorp（www.spamcop.net）、MAPS（www.mail-abuse.com）、SORBS（www.sorbs.net）、Barracuda Networks（www.barracudacentral.org）、中国反垃圾邮件联盟（www.anti-spam.org.cn）等，[3]他们都各自维护了一个发送或转发垃圾邮件的邮件服务器IP地址数据库BL（Block List）。反垃圾邮件网关可以有选择的使用一个BL，拒绝列表中的服务器发来的邮件。初次部署邮件服务器时，应该检查我们的邮件服务器IP是否被列入某一个垃圾邮件列表，如果被列入应该申请将服务器IP从该列表删除（delist），待全部删除后再开通该地址的邮件服务。申请将服务器IP从BL中删除，一般有在线申请或发邮件申诉等方式，具体情况可参见各组织的网站说明。

3.动态IP地址列表

计算机的IP地址配置方式有动态分配和静态配置两种，通过Modem、ISDN、ADSL、有线宽带、小区宽带等方式上网的计算机，每次上网所分配到的IP地址都是动态获取的，这就是动态IP地址。[4]按照Internet的惯例，这些动态分配的地址通常只用于为用户提供一个Internet的接入功能，并不作为直接的邮件服务器提供邮件的收发功能。但是随着网络接入成本的降低，越来越多的垃圾邮件发送者采用动态地址拨入的方式来发送垃圾邮件，这种方式既成本低又能较好的避免封杀和追查。[5]所以，通过对邮件来源是否是动态地址的判断，可以有效减少垃圾邮件的数量。SORBS（www.sorbs.net）、中国反垃圾邮件联盟（www.anti-spam.org.cn）等组织都维护着一个动态IP地址列表DUHL（Dynamic User and Host List）。

由于动态IP或静态IP只是计算机配置IP地址的一种方式，并不是IP地址本身的一种属性，因此维护动态IP地址列表DUHL的组织也是用收集各ISP对IP地址段的使用方式来判断IP地址段是否是动态IP的，这种方式有时是不准确的或滞后的。因此，即使我们的邮件服务器的IP是静态配置的，也有可能在某个DUHL中被标记为动态的。以SORBS为例，笔者所在单位的邮件服务器的公网IP就被标为动态IP，查询结果下：

DUHL record for netblock 61.185.160.0/19 (61.185.160.0-61.185.191.255)

Description: Dynamically Allocated IP address or NAT host

Record Created: 22:55:54 24 Nov 2003 GMT+10

Message ID (munged): 2-21396065-61.185.160.0/19@*********************

Additional Information: [Dynablock] Dynamic IP address, use your ISPs mail server

因此我们必须申请将我们的邮件服务器IP从DHUL中删除。但是，SORBS只接收ISP对自己的IP地址段的状态进行申请修改。不过SORBS也给普通用户提供了自助将单个邮件服务器IP从DHUL中删除的方法，即需要对DNS服务器配置做如下修改：①域的MX记录必须包含一个主机名，这个主机名有一条A记录指向这个IP。MX记录的TTL值至少为43200秒；②邮件服务器的A记录的TTL值至少为43200秒；③邮件服务器IP的反向DNS的PTR记录必须指向MX记录里的主机名，而且TTL值也至少为43200秒。满足以上条件以后，就可以在SORBS网站自助将服务器IP从DHUL删除。

处理完前面提到的反向域名解析、反垃圾邮件列表和动态IP地址列表这几个问题以后，配置合适的路由策略，邮件服务器可以通过公网正常地发送和接收邮件了。

四、添加DNS服务器条目

要保证在某个网络出口出现故障时，外部的邮件服务器能解析到学校的MX记录，还必须保证学校的DNS服务器还能继续为校外用户提供服务，因此要求DNS服务器在两个网络均可用。[6] 解决办法是在出口设备上做PNAT（基于端口的地址翻译）。以陕西师范大学为例，将61.185.221.189:53影射到202.117.144.2:53 (dns.snnu.edu.cn)，并且在DNS服务器配置文件的NS中添加一条，即

NS dns.snnu.edu.cn.

NS dns1.snnu.edu.cn.

dns A 202.117.144.2

dns1 A 61.185.221.189

另外还需要在CERNET申请变更学校的DNS服务器，增加一个DNS服务器地址。变更后，用URL http://www.nic.edu.cn/cgi-bin/reg/member/lookupns?snnu.edu.cn查询，结果是

Domain Servers in listed order:

dns.snnu.edu.cn202.117.144.2

dns1.snnu.edu.cn61.185.221.189

五、多网络出口部署邮件系统的优势及应用

1.可以避免因某条网络出口链路故障导致邮件系统不可用

比如教育网出口链路出现故障，配置合适的路由策略，发送邮件时会自动选择公网出口。外部邮件系统发送邮件进来时，也会因为邮件服务器的教育网IP没有响应而会选择其公网IP。反之，公网出口出现故障时，发送和接收邮件也全部通过教育网。

2.可以提升与公网邮件服务器间收发邮件的速度

经过系统改造前后测试对比，可以发现通过公网出口与163.com、sina.com等邮件服务器发送大一些的邮件在速度上会有明显提升。

3.可以在服务器某个IP被放入发垃圾邮件列表时，暂时停用该IP，只通过别的出口链路发送邮件

邮件服务器IP如果不幸被放入垃圾邮件列表，申请删除到最终生效都会有一个过程，至少会有一两天无法发送邮件。我们在多网络出口部署邮件系统后，由于路由策略的设置，很少会出现邮件服务器的教育网IP和公网IP被同时放入反垃圾邮件列表的情况。因此，一旦有IP被列入反垃圾邮件列表，我们可以立即查找发送垃圾邮件的原因并做出处理防止继续发送，然后修改路由策略即停用通过该IP发送邮件，改为全部从别的网络出口发送邮件，再慢慢申请反垃圾邮件列表的删除。这样就可以大大缩短不能往外发送邮件的时间。

经过研究与探索，在只是做一些配置而不需要增加额外硬件的条件下，就可以实现通过多条出口链路收发邮件，大大提高了学校邮件服务器的可用性，在陕西师范大学实施半年多来，效果很好。目前各高校大都具备双出口校园网条件，此方案值得推广。

参考文献：

[1]陈凯.反垃圾邮件网关技术的标准进展[J].电信网技术,2009(11):36-40.

[2]263企业邮箱.可逆DNS反向解析简介[EB/OL]. http://www.263gmail.js.cn/rdns/index.htm.

[3]CCERT.邮件知识[EB/OL].http://www.ccert.edu.cn/spam/knowledge/knowledge.htm.

[4]百度百科.动态IP地址[EB/OL]. http://baike.baidu.com/view/616280.htm.

[5]CASA.中国动态地址列表[EB/OL].http://www.anti-spam.org.cn/AID/8.

[6]邱建波.高校校园网双出口环境下对DNS的智能改进[J].微计算机应用,2008(8).71-74.

基于多出口的校园网VPN网络构建 第3篇

关键词：校园网,多出口,VPN,网络技术

0前言

21世纪是信息化的社会, 随着科技的不断进步和网络的迅猛发展, 当今社会已经进入了高速发展的信息化时代。高校作为文化知识的传播和培养高素质人才的中心, 更应该紧跟信息发展的步伐, 发展成数字化、信息化的校园。因此, 多出口校园的网络构建成为进入信息化社会的不可避免的问题。

最近几年来, 随着高校信息化网络构建工作的不断开展, 校园网用户对校园网的要求也越来越高, 单一的传统网络接入已经不能满足日益复杂的应用需求。高校的教师都习惯用自己的笔记本上网浏览学校资源或者是在就可以登入学校的教务处系统管理学生的成绩随时随地的没有限制的访问网络。但是我们都知道, 一般情况下, 我们是无法用自己的电脑访问学校图书馆资源并下载、查阅内部资料的, 因为我们大多数的学校图书馆、教育处等等都是做了访问限制的, 通过教育网我们是无法访问的。我们都知道在学校放假后我们只能查看学校官网却不能访问学校的图书馆系统查看图书馆内的资源, 这时候我们很多工作就无法继续进行。

因此, 我们需要扩展网络的规模, 升级网络的结构, 在发展的基础上不断的扩大网络结构。基于多出口的校园VPN网络构建就是在学校网络的基础上增加多条ISP出口, 使学校教职工能够在使用学校资源的时候能够不受限制, 更方便快捷地找到自己需要的资源。这就要在设置的时候在总部增加访问限制, 达到预想设计的目标。比如, 我们小区只需要向ISP申请一条专门的线路, 这条线路分配了一个IP地址, 配置实现全学院的主机都能实现访问指定的网络。

1 系统分析

1.1 需求分析

按照我校的需求和实际的需要, 需求的总目标:

(1) 先进性:由于科技的不断发展, 网络技术日新月异, 更多的运营商和更先进的技术层出不穷, 本校的网络结构要求在以后的几年内达到应用的需求先进性, 等够达到比较先进的水平。

(2) 可靠性:本校的网络要具有较高的可靠性, 不间断、无故障的全天24小时运行, 网络的局部问题不会影响到整个网络的可靠运行。

(3) 可扩展性:整个的网络的节点要有很好的向上扩展性, 能够满足未来几年的网络扩展的需求, 并且具备可承受更高的宽带和网速的需求。

(4) 可管理性:本校的网络采用集中式的管理, 能够掌握整个网络的运行, 并且能够容易的找出网络故障的节点所在, 应对复杂用户的需求。

(5) 安全性:本校的网络系统要足够的安全, 因为本院校所有的管理事务都是在校园网上进行, 不同部门的数据要绝对的安全, 可访问的和不能访问的要严格的控制区分开来。

1.2 系统设计分析

要实现上述总目标, 方案会采用星型拓扑结构, 方案特点:

(1) 高性能双向交换, 多模光纤、百兆位交换到桌面 (双绞线) 。

(2) 虚拟局域网 (WLAN) 策略, 提高局域网内部的安全。

(3) 管理简单, 基于浏览器和网络管理的图形化界面配置。

(4) 系统安全, 集成路由器防火墙, 提高接入互联网的安全保证。

(5) 多媒体教学、办公、广播等的需求, 实现多媒体教学的需求。

(6) 高速缓存, 实现广域网的快速访问, 减少不必要的网络流量的浪费。

(7) 经济适应, 使用性价比高的产品配置, 支持系统的升级。

(8) 在预算的范围内, 最大的实现网络系统。

2 校园网主要开发工具

2.1 校园网模拟主要应用技术

虚拟专用网 (Virtual Private Network VPN) , 是指穿过混乱网络的虚拟的专用的网络通道, 是穿过因特网的一个临时的安全连接。它有使用VPN降低成本, 传输数据安全可靠, 连接方便灵活, 完全控制等特点。通过这条隧道可以安全的传输信息, 用于保密性的通讯中。

(1) Ip Sec VPN, 它的目的就是为了使IP地址具有更高的安全性, VPN是为了实现这种安全特性的方式下产生的一种方便的解决办法。IPSec是一个框架性的结构, 具体由AH协议和ESP协议两部分组成。提供了传输Transport和隧道Tunnel两种封装模式。端到端的IPSec中, 需要被保护的流量经过路由器时, 路由器将会启动相应的秘钥交换IKE (Internet Key Exchange) 协商过程。

(2) Easy VPN是思科独有的远程接入VPN技术, 从Easy VPN的名字上就知道这个应该是个简单的VPN应用技术, 只要配置好Server一端, 只要客户机能够连接上网, 使用思科的一个VPN拨号软件就可以通过VPN实现远程访问公司的网络。

(3) 链路聚合。

(4) 链路冗余。

2.2 生成树协议STP

生成树协议 (Spanning Tree Protocol STP) 它是一个简单的二层链路管理协, 不仅能够提供链路冗余还能在逻辑上断开链路, 更能防止产生广播风暴的。当线路出现故障的时候, 断开的接口就会自动的被激活, 恢复通信后, 起备用线路的作用。

生成树协议形成一个无环拓扑的步骤:

(1) 选择一个合适的根网桥 (Root Bridge) ;

(2) 选择一个合适的根端口 (Root Port) ;

(3) 选择特定的端口 (Designated Ports) ;

(4) BPDU。

2.3 Rip协议

RIP (路由信息) 协议适合应用于局域网等小型内部网络, 由于学校校园网的规模并不是很大, 所以RIP协议非常适合作为校园网网络协议来使用。在一个自治系统中 (Autonomous System AS) , 路由信息协议是最经常用到的在路由器之间交换路由信息表的协议。RIP通过数据包经过的路由器的个数也就是条数来计算距离, 选择条数最少的来作为最佳路径。因此, RIP最典型的就是距离向量协议。本次设计通过多路由器上RIP协议的配置以及核心, 使交换机RIP协议的配置来实现校园网网络的畅通。

2.4 OSPF协议 (开放式最短路径优先路由协议)

OSPF配置的核心代码:

3 基于多出口校园VPN网络构建

网络拓扑图如图4所示:

以本校为实例模型, 主要针对网络环境中的设备和策略、网络分布进行的研究。高校校园网的组建和搭配, 学校与各分院区域间通过VPN联系的实现, 汇聚层通过三层交换机和硬件防火墙的模式实现了与总校区的网络中心的信息交互和共享。各部门的办公室之间利用三层交换机进行VLAN的划分。又因为我们本校区下设多个分学院, 学校对信息安全和教学资源等等的保密性要求都比较高, 因此基本上都采用了防火墙加软件管理的方式, 通过NAT技术来实现内外网络的访问, 在保证学校资源安全的同时, 又可以允许其他校园可以共享我们本校区的信息和教学资源。网络中心的核心交换机实行双核心的冗余交换, 通过配置冗余交换机防止设备发生意外的情况导致校区网络的瘫痪等问题, 同时也考虑到了高峰期网络阻塞问题, 不用带给核心交换机太多的压力, 在核心交换机上还配置了链路聚合增加网络的承载能力等等。各个设备之间通过路由交换技术实现网络的安全和畅通。

分部获取地址如下图所示:

客户端能够ping通网址1.1.1.2, 如下图所示:

4 结束语

本文以我校校园网为例, 对校园网网络拓扑图进行设计, 并通过Cisco packet tracer软件的网络模拟, 已经基本完成了网络拓扑结构的设计、规划、分部、关键技术的配置, 有关服务的模拟, 测试的结果等等。

参考文献

[1]王达.一个虚拟专用网络 (VPN) 解决方案[M].北京:清华大学出版社, 2004.

[2]备受金.Remoteaccess公共图书馆的电子资源基于SSL VPN[J].图书馆杂志, 2009.

[3]亏宁.安全访问控制技术及其应用[M].北京:电子工业出版社, 2005.

[4]曹茸.DHCP网络环境的构建与实现[J].电子科技, 2011.

[5]陈立德, 蒋冬英.高校校园网的规划与设计[J].中国水运 (下半月刊) , 2010.

[6]古忻艳, 孟庆伟.中小型园区网的设计与实现[J].现代电子技术, 2010.

[7]王朝阳.校园网IP地址分配方式的使用分析[J].山西科技, 2009.

[8]梁桂才, 李奇国, 张顺, 蔡伟.校园网IP地址规划[J].桂林电子科技大学学报, 2008.

[9]杨帆.RIP路由协议分析及配置简述[J].硅谷, 2012.

校园网出口速度现状分析及对策 第4篇

关键词：校园网；出口速度；综合解决

中图分类号：TP393.0 文献标志码：A 文章编号：1673-8454（2015）21-0066-02

一、引言

随着信息技术的发展和高校教育信息化的推进，校园网用户规模逐步扩大，应用类型更加多元，对于出口带宽的需求日益增大。目前，校园网运行管理所面临的最大压力就是出口带宽无法满足日益增长的网络流量需求，造成校园网出口拥塞，访问外网速度缓慢，用户意见较大。如何在有限的带宽条件下，最大限度地提高网络访问速度，满足校园网用户的上网需求，保证通过校园网所进行的教学、科研和办公等工作正常进行，是校园网运维工作者所要解决的重要问题。

二、校园网出口现状

1.视频及下载应用严重占用带宽

随着迅雷下载、BT下载、网络视频等P2P应用在校园网用户中使用的增多，所产生的流量是其他应用的数倍，并且无节制地占用出口带宽，造成出口拥塞，导致校内关键应用无法被外网访问，校园网内用户访问公网网页速度过慢甚至断网等问题。图1是某高校在不做任何限制的情况下，网络出口流量的监控截图，图中“All Others”为活跃度20名以后的所有协议所占的比例为24%，其他76%为活跃度前20的协议。从图中显示，排名前20的协议大多数为视频和下载，尤其是迅雷对出口流量的占用远远大于其他应用，其他流量排名前几位的，也都是下载和视频。

2.校外用户访问校内资源较慢

为了提高校园网用户访问公网的速度，除了接入中国教育和科研计算机网以外，大多数高校都接入了运营商网络，出口拥有两条以上线路。在用户访问外网时，采用NAT技术和策略路由，根据用户访问的目标地址选择相对较快的出口线路。这种方式缓解了校园网用户访问公网资源慢的问题，但是对于校外的公网用户在访问校内资源时仍然依赖教育网线路，由于教育网与其他公网接口带宽瓶颈的问题，访问速度仍然较慢，甚至不能访问。

3.校内资源较少，出口压力较大

目前，大多数高校校园网内部资源还是以网站为主，主要提供对外宣传、信息发布等服务；图书馆资源以论文数据库为主，少量视频教学资源。校园网内部资源相对比较单一，缺少多样化、生活化的服务，无法满足校园网用户更多的需求，大量用户需要访问外网去寻找自己所需要的资源，给校园网出口带宽带来极大压力。

4.恶意下载和滥用带宽情况严重

校园网主要目的是为教师和学生的科研、办公和学习提供服务的，因此收费标准较低，目前大多数学校采取的是较为粗放的计费管理模式：包月收费、不限流量的政策。由于不限流量，对用户的上网行为缺少管理，因此，存在部分用户全天候疯狂下载电影等滥用带宽的情况，或者使用抢占带宽软件恶意下载，严重影响了校园网出口带宽的使用效率，造成大多数用户上网缓慢的情况。图2是某高校在校园网出口不做任何限制的情况下的校园网用户IP两天累计流量的统计截图，从图中可以看出，最高的用户两天时间网络流量为333.715G，流量排名前五的用户是大多数用户下载量的近4倍，使大多数用户无法达到正常的网络速度。

三、综合解决方案

1.流量控制

在校园网出口部署流量控制系统，对出口流量进行优化和管理。对非关键应用的视频和下载等大流量的P2P应用进行限制，保证校园网用户访问网页的速度，提高出口带宽的利用率；对于教学、科研、招生、宣传、邮件等关键业务系统进行带宽保障，保证学校正常的科研、教学、办公等工作不受影响。根据校园网用户上网时间的特点，制定分时段限速策略，限制单个IP的带宽，避免出现病毒主机或者恶意下载抢占带宽的情况，使出口带宽能够尽量平均地分配到每个用户主机，使校园网出口流量得到控制和保障。

2.智能DNS

智能DNS解析是针对目前各运营商之间互联互通不畅问题推出的一种智能DNS解决方案。把同一个域名的 A 记录分别设置指向教育网和其他运营商网络 IP，当用户在校外使用某一运营商网络访问校内资源时，智能 DNS 会自动判断访问者来路，并返回相对应的运营商 IP 地址，这样，就可以避免用户通过运营商网络去访问教育网内的资源，很好地解决了用户跨网访问不畅的问题，提高了内部服务器的访问速度和线路带宽利用率。

3.丰富校内资源

校园网占用带宽的应用主要是视频直播、P2P下载等应用。学校应该加强自己的网络资源建设，丰富校内网络应用类型，向校园网用户提供多元化的应用服务。为满足用户学习、科研的需求，建设校内的精品课程、公开课等视频资源，使广大师生在观看教学视频时，不用到外网去查找资源，减轻出口带宽的压力；为满足用户生活、娱乐方面的需求，建设校内视频服务器，向学生提供视频点播服务。加强IPv6网络建设，并与广电等运营商合作，将电视信号通过IPv6网络直播，向用户提供电视直播服务；建设校内下载平台，采用P2P技术，使校园网用户共享资源；同时，建设二手交易平台、教育教学交流平台等其他生活、学习相关的网络服务平台，既能向用户提供更多、更全面的校园网服务，又能减轻校园网出口压力，提高访问外网的速度。

4.流量计费限制恶意下载

除了采用技术手段进行限制以外，还必须配合必要的政策措施进行管理，以限制恶意下载和滥用带宽的情况。采用按流量计费的政策，根据大部分用户每月使用流量的平均值作为基准流量，每月的上网流量在基准流量以内不收流量费，超过基准流量部分根据一定的标准进行收费。通过收费策略对用户的使用习惯进行管理，规范用户上网行为，限制恶意下载，降低出口流量，减轻出口带宽的压力。

四、结束语

提高校园网出口速度，需要校园网各个部分共同发展，不能一味地靠扩大带宽来解决。需要一定的技术措施对已有带宽进行管理，提高带宽的使用率；同时，加强校园网的基础设施建设和资源建设，使更多的用户通过访问校园网内部资源就能满足自己的需求。出台相应的校园网管理政策，培养校园网用户良好的上网习惯，防止恶意用网行为，限制非正常流量对出口带宽的占用。在校园网建设过程中，只有从全局出发，将校园网的优化和发展整体考虑，才能使校园网的运行效果和访问速度达到最优。

参考文献：

[1]范智勇.基于用户兴趣度的校园网带宽管理策略应用研究[J].计算机与现代化，2012（7）.

[2]石帮荣.智能DNS和线路跟随解析技术在多出口高校校园网中的应用[J].桂林师范高等专科学校学报，2014（4）.

[3]张代华，陈宓宓，章翔飞等.基于扁平化和精细化管理的校园网基础平台建设[J].软件，2014（8）.

[4]马淑文.基于P2P应用的校园网带宽管理研究[J].计算机工程与设计，2007（23）.

多出口校园网 第5篇

关键词：负载均衡,NAT智能DNS,就近性探测

一、校园网出口接入现状

国内大部分的高校其校园网的建立都经历了这样一个发展历程, 在刚开始建设时, 一般都是选择接入了教育科研网, 用户的网络结构通常如下:单一链路实现内部网络和Internet之间的连接。

而在Internet接入的稳定性对于一个用户来说日见重要的今天, 一个ISP显然无法保证它提供的Internet链路的持续可用性, 从而可能导致用户Internet接入的中断, 带来无法预计的损失。而且由于历史原因, 不同ISP的互连互通一直存在着很大的问题, 在南方电信建立的应用服务器, 如果是南方电信用户访问正常, Ping的延时只有几十甚至十几毫秒, 对用户的正常访问几乎不会造成影响;但如果是北方网通的远程用户访问, Ping的延时会有几百毫秒, 访问应用时则会比较缓慢。所以如果用户采用单条接入链路, 无论是采用电信 (或则网通) , 势必会造成相应的网通 (或则电信) 用户访问非常慢。

因此, 采用多条链路已成为用户实现Internet接入的稳定性的必然选择。于是各校又纷纷开始寻求与别的ISP (电信、网通等) 合作, 增加了校园网的第二个甚至第三个出口。

二、多出口背景下问题的提出

1. 网络有多个链路与Internet相接, 用户一定会考虑在多条链路上的流量分配的问题, 但即使用最复杂的协议, 例如BGP4, 真正意义上的流量负载均衡还是做不到。路由协议不会知道每一个链路当前的流量负载和活动会话。此时的任何负载均衡都是很不精确的, 最多只能叫做“链路共享”。

2. 对内流量 (比如, Internet用户想访问校园网上的一台服务器) 。有的链路会比另外的链路更好地对外提供服务。没一种路由机制能结合DNS, 就近性, 路由器负载, 做出判断哪一条链路可以对外部用户来提供最优的服务。

3. 公网地址的严重不足。由于大部分运营商都只能提供极少量的IP地址给用户 (比如笔者所在学校3条公网接入, 总共只有32个公网IP) , 使得管理员在规划地址时往往捉襟见肘。

三、需求描述

综合上面的现状及问题分析, 我们提出在多出口接入环境下的如下实际需求:

1. 解决公网地址不足。

2. 能根据多链路上的实际状况实现真正的流量负载均衡。

3. 外网用户访问学校提供的对外服务时, 能提供最佳的路径选择。

四、解决方案

1. 用六元组方式标识NAT连接, 解决公网地址不足问题

首先, 我们分析一下地址不足的问题, 运营商分配给用户的IP地址, 在实际的运行环境下, 用作两个方面, 一是用作内网用户访问外网时做NAT, 另一个是分配给用户需要提供对外服务的服务器, 比如学校的web, mail, 教务管理系统等等。通过分析发现, 如果我们能提高地址的利用率, 应该能一定程度缓解地址不足的状况。

NAT (网络地址转换) , 这种技术主要在内网访问互联网时采用, 早期NAT采用一对一的方式, 内网一个IP对外发起一次连接, 就会占用一个公网IP地址, 但这种方式利用率不高, 所以又产生PAT方式, 每个连接会分配一个端口, 这样以端口来区分连接, 一个公网IP就可以被多个连接共享。

但是现在的校园网用户数量越来越大, 大一点的学校一般都是几万用户, 当上网高峰期时, 即使采用了PAT, 用于NAT的地址仍然会显得不够, 我们觉得NAT还需要有进一步的改进, 这个改进就是在NAT的连接表上做一点文章, 如图3所示, 我们以一个六元组来识别一个连接, 这样可以大大提高IP的复用率。

通过这样的改进, 从理论上讲, 一个IP可以做的NAT连接是无限的。当然这需要出口NAT设备在作出相应的修改。

2. 流出 (outbound) 流量的处理

选路算法

在多出口链路的情况下, 怎么更好的利用好每一条链路, 跟使用的选路算法密切相关, 在笔者所在的校园网中, 我们采用了radware产品使用的选路算法, 基本的思路如下:

首先, 进行链路的健康性检查, 该检查解决链路的可用性问题, 在此基础上, 再实现对目标的就近性选路。在我们的实现方案中, 健康性检查通过两种方式检测多条条链路的健康状况, 一旦发现其中一条链路故障, 会立即将所有用户流量定向至其它可用链路, 从而实现Internet连接的高可用性。方法如下:

全路径健康检查

为了确保ISP链路的畅通, 采用Ping的方法, 不仅仅检查和其相连的对端ISP路由器的端口是否可达, 还可以检查该链路后续路由节点的连通性 (10跳) , 已确保整个路径的畅通。当然前提是ISP的链路对ICMP开放。

高级健康检查

针对所有的网络环境 (包括禁止ICMP的ISP) , 通过多种检查结果的“与”和“或”运算结果, 最终准确判断链路的健康状况。例如:针对电信的某一出口, 同时检查www.sohu.com和www.sina.com的80端口, 并将检查结果做“或”运算, 只要一个检查通过即可判断该链路正常。避免了单个测试站点故障导致链路状态误判的可能性。

就近性算法依据目的IP、各条链路的负载等情况来综合考虑, 计算出内部用户访问Internet的最佳路径, 以保证用户能够得到最快和最高效的服务和响应。同时将缓存计算结果。具体的实现方案综合下面两种思路进行。

静态就近性:

用户可为某个目标定义静态的最佳链路。例如目标IP地址属于CERNET的, 应选择CERNET链路;目标IP地址属于网通的, 应选择网通链路。在笔者所在的校园网实现方案中, 由于CERNET只有一条链路接入, 并且考虑到CERNET与电信运营商之间互通的问题, 将目标IP地址为CERNET的指定为走CERNET链路。

动态就近性:

在选择最佳链路时, 综合考虑与目标网络之间的路由节点数量、数据传输的延迟和链路的实时负载, 准确计算出最佳路径。使用户能充分地享受到优化的服务和快速地响应。在我们的实现方案中, 对电信运营商的3条接入链路, 采用的动态就近性的算法实现链路的流量分配。

同时, 对于流出流量进行NAT时, 应该能根据选路的不同, 选择不同运营商提供的地址进行。

3. 流入方向 (inbound) 的流量处理

在处理流入方向上的流量时, 一个关键技术就是与DNS解析配合的问题。我们知道, 外部用户在访问校园内部网络对外提供的服务时, 首先是要通过学校的DNS获取到IP地址的, 如果DNS返回给客户的都是CERNET的IP地址, 那对于外部的公网用户无疑是个灾难, 因为他们的后续访问连接必然会被路由到教育网的线路上。所以, 事实上我们能够对流入方向上的流量进行选路优化的前提就在与DNS解析的智能。

在我们的解决方案中, 将域名的解析功能导向到了链路负载均衡设备, 由该设备来响应外部用户发起的域名解析请求。这样当远程通过域名访问校园网时, 逐步通过远程用户的本地DNS服务器、根DNS服务器, 最终由多链路负载均衡设备来进行域名的解析。此时设备就会通过静态列表或者动态判断算法, 选择最优的线路, 然后将域名解析成相应线路的IP地址。

例如:当某个网通的远程用户访问校园网时, 首先向他当地的DNS服务器发起域名解析的请求, 再通过他接入运营商的根DNS服务器, 最终总归会向我们的设备请求DNS解析, 此时负载均衡设备就会通过静态列表或者动态判断算法, 选择最优的线路 (网通) , 然后将域名解析成网通线路的IP地址 (218x.x.1) 。这样远程的网通用户就会使用网通的目标IP地址, 通过网通的线路进行访问, 实现了访问时链路方面的负载均衡优化。

下面以www.gzife.edu.cn为例, 描述Inbound流量处理的过程。

假设图中的Server1是Web服务器, Internet主机名为www.gzife.edu.cn, 地址为私有IP:192.168.1.100/24。

如图所示, 在内网DNS服务器上的相关NS记录:

而在链路负载均衡设备上设置记录为 (以两个出口为例) :

同时还有两条静态的映射记录

当有Internet用户访问www.gzife.edu.cn时, DNS查询请求首先会经过链路负载均衡设备, 设备查询到自身有与查询数据包相匹配的记录, 就不会将该数据包再投递进内部网络, 而是根据链路情况自行处理, 比如从ISP1到查询包源地址是最优路径, 则返回222.85.151.40, 如果从ISP2出口到查询包源地址是最优路径, 则将地址解析为58.42.249.47, 从而完成流入流量的负载均衡。而对于内部的机器查询www.gzife.edu.cn的DNS请求, 由于查询数据包将先被投递到内部的DNS服务器, 所以查询客户端会得到192.168.1.100的查询结果, 也能正常访问。下图是笔者所在校园网进行相关的链路均衡处理后, 从外部互联网访问内部服务器的速度测试

结语

校园网的多出口接入下流量的均衡一直是网络管理员比较关心的话题, 我们在实践中通过改进型的NAT, 动静态结合的路径选择算法以及智能DNS技术的综合应用, 比较好的处理了多链路接入下链路的有效利用问题, 从实际测试数据看, 非常不错, 从用户的使用反馈看也很好。对于保障校园网中各种应用的高效运行, 提高校园网用户的满意度有着重要的意义。

参考文献

[1]RFC2993[S], 2000.

[2]RFC3027, 2001.

[3]黄科军.一种新型的多出口路由设计与实现[J].微处理机, 2009 (5) .

[4]曲彤安.校园网出口安全分析与设计研究[J].科技资讯, 2009 (21) .

[5]蔚承英.基于负载平衡的共享通路保护算法[J].计算机工程与设计, 2009 (17) .

[6]郭秉礼.基于负载均衡的联合路由策略[J].北京邮电大学学报, 2009 (04) .

多出口校园网 第6篇

1 PBR的优化研究

1.1 校园网PBR方案的选择及其应用

从PBR的选择能够为多出口校园网络优化提供良好的基础, 并将其方案应用到实际校园网中。

1.1.1 PBR优化选择

PBR能够进行灵活的路由与数据包转换, 并根据所提供的相关信息选择转发路径。例如基于目的地址的路由方式, 主要根据目的信息选择转发路径。

基于NAT的校园网多出口路由策略:

(1) 有效利用三条线路资源:因为IPv4的公用网站有效, 因此大部分的高校采用基于NAT的多出口路由策略方案, 提高访问速度。多个出口路由策略方案需要建立在“有效利用三条线路资源”的基础上。

(2) 合理设置两条公网线路:为了实现路由器的动态网络分配, 需要合理设置两条公网线路, 将其线路分别置于端口。

(3) 划分IP地址:根据教育网、电信、网通的不同, 划分IP地址, 目的地址 (电信网络拥有) 为教育网的报文通过教育网出口进行传输。

(4) 安装流量监控设备:顾名思义, 流量监控设备的主要作用是监控网络线路端口的流量, 还能够适当的调整流量。

1.1.2 PBR的在校园网中的实际应用

PBR的灵活运用能够最大程度满足校园网路由需要求, 还能够实现网络中的信息互换, 优化基于NAT校园多出口路由策略。

以实现网站便捷访问为例:校园网的服务器采用PBR, 并于核心交换机上安装源IP地址路由设备。步骤为:借助ACD区分服务器的IP设置对应的策略使用路由图将方案应用在连接服务器接口上。

2 常见的路由问题与措施

针对多出口校园网络路由常见问题 (以地址转换引发的问题、状态防火墙引发的问题为例) , 探讨有效的解决措施, 以此改变当前多出口校园网网络路由现状, 实现优化目标。

2.1 解决地址转换问题

因为校园网中同时使用的计算机设备数量较大, 计算机设备通过路由进行NAT, 对路由造成的压力增加。由于UDP报文对NAT形成穿透能力, 所以, 许多的P2P软件利用该功能实现最大化的数据流量共享。因此, 在校园网中常常会出现这样一个问题, 路由器的CPU长期处于最大化的工作状态。

针对地址转换带来的问题, 进行解决对策的研研究, 得出以下几点改进建议:应用PBR, 确保一定的路由服务需求与服务的优先级;应用流量监控设备, 监控并合理调整流量;应用NAT设备, 确保地址转换的安全, 例如路由器NAT板、硬件防火墙等。

2.2 解决路由防火墙问题

校园网应用大量的教育网IP地址, 一旦互联网上有用户访问这些地址时, SYN报文经由防火墙深入校园网, 在多出口网络系统中, 该访问SYN报文会被公网出口丢弃。不这些报文的丢弃会多网络安全造成影响, 大量损耗防火墙资源, 长期的积累网络安全性能低、同时防火墙的功能也难以发挥。

对此, 需要在校园网的路由防火墙上安装访问策略, 用以阻止来自互联网的非服务器访问, 实现校园网对外网的访问。值得注意的是, 并非所有的防火墙都能够运用同一方式设置其策略, 应当根据其性质进行路由策略设置。

3 进一步优化建议

由于校园网中的基本网络服务 (例如WWW) 需要从外界获取信息服务, 会形成一定的CERNET流量花费。对此, 设置路由器将该类服务器的IP地址规定在CERNET免费地址里, 达到降低流量花费的作用。设置步骤如下:

一方面, 在DNS服务器中, 为该类服务器解剖两个主机记录, 服务器则使用CERNET地址。比如:www ACHINANET地址。

另一方面, 在防火墙里, 采用反向网络地址转换, 将全部的访问服务器CHINANET地址映射与服务器的CERNET地址。

4 结束语

从上文的论述中得知, 我国大部分高校校园网访问速度较慢。此外, 除了部分免费网站的访问外, 其它国家教育网付费网址与国外资料网址的访问需要支付高昂的费用。本文针对这些问题提出的多出口校园网络路由策略优化措施, 从路由器的优化选择、整合防火墙功能等方面提高访问速度, 减少网络费用。

摘要：文章从多出口校园网PBR的优化选择、实际应用、应用过程中的问题处理措施、进一步优化建议等方面开展研究, 提出加强防火墙设置、网址转换 (NAT) 等优化校园网多出口网络路由策略的方法。旨在为各地多出口校园网络路由的优化提出可参考性建议。

关键词：PBR,多出口防火墙,高速访问

参考文献

[1]宋淑艳.中小城市宽带IP城域网网络优化技术的研究[J].河北建筑工程学院学报, 2011 (01) :109-112.

[2]李岚, 齐楚焕, 刘新禹, 葛莉, 金雪松.电子商务系统中移动Agent动态路由策略的研究[J].哈尔滨商业大学学报 (自然科学版) , 2011 (01) :89-91.

多出口校园网 第7篇

关键词：VPN,统一身份认证,多个互联网出口,智能DNS

1 引言

VPN (Virtual Private Network) , 虚拟专用网络。虚拟专用网络的功能是:在公用网络上建立专用网络, 进行加密通讯[1]。不仅在企业网络中有广泛应用, 在校园网络中也同样有着广泛应用。

随着校园网络基础设施的逐步完善, 互联网出口增多及校园信息化的大趋势下, 各种新增应用大多要求基于统一身份进行认证, 并考虑充分利用多个互联网出口, 让教职工及学生在校外能高速访问校内资源。然而, 面对越来越复杂的多系统联动的信息化环境, 因各种原因, 有的学校采用购买昂贵的商业化软、硬件, 甚至服务外包的方式来推进信息化, 而合理利用现有的资源, 自行研究某些应用, 有利于节约投资及提升技术人员专业水平。本文利用我校现有的虚拟化软、硬件、操作系统及开源软件, 实现了一套基于LDAP统一身份认证, 多互联网出口下的VPN应用, 不仅节省了购买VPN软、硬件的投资, 且技术人员可以很快地熟悉系统的维护和进行扩展。

2 商业化VPN的缺点

商业化的VPN往往价格昂贵, 维护复杂, 用户还常遇见兼容性问题。从我校曾使用过的几种类型、不同产家的VPN使用情况上看, 基于客户端软件方式的, 常有教职工碰上安装不上或者其计算机环境与VPN客户端冲突的情况;基于浏览器的SSL VPN, 因用户使用的浏览器的多样性, 也常有用户使用过程中出现“您的浏览器跟SSL VPN客户端不兼容。”的情况, 导致技术人员维护难, 用户抱怨的情况。

3 设计思想

Windows Server、LINUX操作系统下均自带有VPN服务器功能, 考虑到普通用户的使用习惯及VPN客户端的配置、安装使用, 我们选择了Windows平台环境。设计思想:利用Win-dows Server自带的可基于RADIUS身份验证的“路由和远程访问”来构建VPN。利用免费开源的Free RADIUS构建基于LDAP认证的RAIDUS服务器, 利用智能DNS实现多个互联网出口的自动选择, 并生成VPN客户端软件安装包, 简化用户的配置过程。

4 Free RAIDUS部署与配置

因Windows的“路由和远程访问”, 只提供了“Windows身份验证”和“RADIUS身份验证”两种, 而我们的统一身份认证用的是LDAP。 因此, 引入Linux下免费软件Free RADIUS。Free RADIUS可配置为基于LDAP身份验证。然后, “路由和远程访问”中选择“RADIUS身份验证”。

Free RADIUS对运行环境的要求很低, 以最小化安装Cen-t OS 5.5 为例, 只需给虚拟机分配20GB硬盘空间, 512MB内存, 就能顺畅运行。如今, 这样的配置, 在数据中心资源池里基本可忽略不计, 即使拿一台主流的PC机都可以虚拟出很多台来。

从Free RADIUS官方网站http://freeradius.org/ 上, 下载Free RADIUS , 参照Free RADIUS Technical Guide[2], 编译安装即可完成部署。

4.1 配置radius.conf

修改/etc/raddb/radius.conf中下文内容, 配置LDAP统一身份认证服务器信息, 并强制用户通过LDAP进行认证。

#根据统一身份认证服务器信息配置以下内容:

#启用LDAP授权, 删除其它授权方式

4.2 配置clients.conf

编辑/etc/raddb/clients.conf , 增加Windows VPN服务器IP和加密密钥, 准备配置到VPN服务器中。

5 VPN服务器的部署与使用

5.1部署

从Windows Server 2008“管理工具”中, 选择“路由和远程访问”, 选中本地服务器后, 右击, 选择“配置并启用路由和远程访问”, 根据安装向导完成VPN服务器的安装, 其中, 出现“管理多个远程访问服务器”对话框时, 选择“是, 设置此服务器与RADIUS服务器一起工作”, 并在下一步“RADIUS服务器选择”对框, “主RADIUS服务器”文本框中, 输入前面部署的Free RA-DIUS服务器的IP地址, 在“共享机密”文本框中输入Free RA-DIUS服务器中/etc/raddb/clients.conf中”secet”字段设置的密钥。配置过程中有什么疑问, 可随时按F1 键查看帮助文档。

5.2 使用

校园网外的合法用户只需在Windows操作系统下新建一个VPN网络连接, 根据向导输入VPN服务器的IP地址或域名及统一身份认证系统下的用户名和密码, 并在VPN连接的属性页, 根据密码在VPN服务器和Free RADIUS服务器之间、Free RADIUS服务器与LDAP服务器之间传送的加密类型, 在“安全”选项卡中, 选择正确的协议后, 以后只要连接VPN网络连接即可使用。

6 多出口下的VPN解决方案

我校拥有CERNET、中国电信、中国联通、中国移动的互联网出口及相应ISP分配给我校使用的公网IP, 利用虚拟化资源, 在管理平台下将上面创建的VPN服务器导出为模版, 通过导出的模版, 可快速部署另外3 台VPN服务器, 分别分配相应的ISP的IP。利用Bind VIEW功能, 在DNS服务器上, 在相应的VIEW下将4 个IP均绑定到某一相同的域名。DNS VIEW策略解析最基本的功能是可以智能地判断访问VPN服务器的用户, 然后根据不同ISP的访问者把VPN服务器的域名解析成相应VIEW下的IP地址。[3]从而达到不同的ISP用户通过相应的ISP线路访问VPN服务器, 避免跨ISP网的网络拥堵, 达到高速访问的目的。

使用上, 只要将5.2 中新建VPN网络连接时将VPN服务器的IP地址替换成域名即可。

7 定制VPN客户端

以上已经实现了基于统一身份认证多互联网出口下校园网VPN服务器的高速访问。但这种方式强制性地让用户只能选择一台部署在相应ISP下IP地址的VPN服务器, 考虑到某个互联网出口偶发的中断、拥堵或者某台VPN服务器的故障, 将导致相关的用户无法访问VPN服务器, 且无法使用其它出口线路上的VPN服务器, 没能充分利用多个互联网出口的优势。虽然用户可自行修改VPN连接中的服务器IP, 来使用其它出口线路上的VPN服务器, 但很多用户嫌操作麻烦, 且不记得其它的VPN服务器地址。为简化用户端的操作, 管理员可以将相关配置 (包括VPN服务器地址列表、验证方法、VPN地址列表更新网址、路由信息等) 封装在一个客户端软件里, 用户只需下载安装, 即可实现VPN网络连接的新建和配置, 并在使用中根据需要选择4 个VPN服务器中的任何一个进行访问。

7.1 安装CMAK

连接管理器管理工具包 (CMAK) 是windows提供的一个可选组件, 默认情况下不会安装。管理员可以使用“连接管理器管理工具”为VPN客户端进行“定制”, 生成连接配置文件。

在32 位版本Windows 7 上安装CMAK的步骤如下:

1. 依次单击「开始」、“控制面板”、“程序”和“打开或关闭Windows功能”。

2. 在功能列表中, 选择“RAS连接管理器管理工具包功能”, 然后单击“确定”。

7.2 定制VPN客户端

利用连接管理器管理工具包 (CMAK) , 可以定制VPN客户端所需的包括VPN地址列表、验证方法、VPN地址列表更新网址、路由信息等配置信息, 并生成软件安装包。安装包大小只有300KB左右。

根据客户端计算机上运行的操作系统, 连接管理器在其配置文件中支持的功能有所不同。用于生成定制VPN客户端的计算机上运行的Windows版本与要安装VPN客户端的计算机必须具有相同的处理器体系结构。只能在32 位版本的Win-dows上创建可在32 位版本的Windows上安装的VPN客户端。只能在64 位版本的Windows上创建可在64 位版本的Windows上安装的VPN客户端。[4]在32 位版本Windows 7 上可以创建可在32 位版本的Windows 7 或Windows Vista及Win-dows Server 2003、Windows XP或Windows 2000 下使用的VPN客户端;Windows Server 2008 只提供了64 位操作系统, 其下的CMAK可以创建可在64 位版本的Windows 7 或Windows Vista及Windows Server 2003、Windows XP或Windows 2000 下使用的VPN客户端。

定制过程:选择“管理工具”→“连接管理器管理工具包”, 进入“连接管理器管理工具包向导”, 开始VPN客户端连接配置文件的定制, 向导结束后, 即生成VPN客户端软件安装包。

其中需事先建立一个包含VPN服务器列表的文本文件VPNfile.txt, 格式[5]如下:

[Settings]

default=Awesome Computers HQ

Update URL =http://awesomecomputers.microsoft.com/VPNfile.txt

Message =Please select a server from the following list. You might want to choose a server closest to your location or to your data.

[VPN Servers]

Awesome Computers HQ=awesomecomputers.microsoft.com

Awesome Computers New York =ny.awesomecomputers.mi-crosoft.com

Awesome Computers Spain =es.awesomecomputers.microsoft.com, Awesome International VPN Settings

Awesome Computers Madagascar =ma.awesomecomputers.mi-crosoft.com, Awesome International VPN Settings

8 易于扩展

寒暑假大量的学生不在校, 查成绩等应用, 往往会有大量的VPN使用要求, 如果某个ISP下的VPN服务器出现连接数限制等瓶颈时, 管理员可以方便实现扩展, 通过虚拟化管理, 快速再部署多台VPN服务器, 并修改7.2 中Update URL字段指的文件。也可以使用Windows Server的网络负载平衡功能, 如果考虑更稳定的功能, 还可以用上Windows Server提供的故障转移群集, 实现高可靠性。虚拟化环境下可以在访问高峰期多投入几台VPN服务器, 在非高峰期关掉几台服务器, 释放CPU及内存资源, 仅占用有限的存储空间。

9 结语

本方案的关键是利用了Free RAIDUS变可基于RAIDUS认证的VPN为可基于LDAP认证的VPN, 当然, 如果是基于Linux下的VPN, 则无需Free RAIDUS, 选用Windows下的VPN还是从用户的操作体验上考虑, 减少技术支持的工作量。互联网时代, 可以方便、高效获得各种知识, 充分利用学校里现有的虚拟化软、硬件资源、操作系统自带的功能和开源的软件来扩展学校信息化应用, 既给学校节省了部分信息化投资, 又提升了技术人员的专业水平。

参考文献

[1]百度百科.虚拟专用网络[DB/OL].http://baike.baidu.com/view/480950.htm?fromtitle=VPN&fromid=382304&type=syn.

[2]Free RADIUS.Free RADIUS Technical Guide[ED/OL].http://networkradius.com/doc/Free RADIUS Technical Guide.pdf

[3]吴翔毅.基于DNS技术实现网络的扩展和高可靠性[J].西昌学院学报·自然科学版, 2009 (6) :40-42.

[4]Microsoft Tech Net.安装CMAK[ED/OL].https://technet.microsoft.com/zh-cn/library/cc771679.aspx

校园网出口的建设与探索 第8篇

1、出口性能成为瓶颈:

随着校园网用户增加和P2P资源等流量占用带宽, 网络流量逐步增大, 简单的认证计费已经不能满足带宽增长, 成为出口流量的瓶颈。

2、用户上网行为无法控制:

校园网是一个开放的环境, 但是网管员对于一些用户的恶意上网行为如宣传反动言论, 恶意下载, 恶意攻击等事件缺少比较的技术控制手段。

3、关键业务无法保障:网络流量绝大部分被P2P资源占用, 出口无法提供充足的流量来保证关键业务。

4、出口带宽管理难、决策难:

曾经的100M用尽了, 又添了100M, 还是用尽了。是谁、何种应用?占用了多少带宽资源?出口带宽如何升级?成了当今校园网出口建设首当其冲的问题。

二、校园网出口建设面临的挑战

1、出口设备性能问题:

出口设备的性能在很大程度上决定了用户上网的速度。目前人们所关注最多的是出口设备NAT (地址转换) 转发性能和针对多出口的策略路由性能。大部分高校使用的地址是虚地址或者是教育网地址, 在访问外网资源时都需要进行NAT转换;NAT性能的好坏取决于NAT最大并发数、NAT新建连接速率和NAT吞吐量等三大部分。

目前大多数高校的出口结构是基于多出口的架构, 考虑到出口费用和线路备份问题, 需要实施对不同的用户规定相应的出口, 也就是基于策略的路由问题。这就要求出口设备在不影响设备性能的情况下更好地支持策略路由功能。

2、安全防护问题:

出口的安全防护一直是人们关注的对象。尤其是网络带宽日益增加、网络应用日益丰富的今天, 大量的病毒充斥着整个互联网。网络越发达, 校园网出口面临的威胁网也就越多越多, 所以出口设备的安全防护任务面临着空前的挑战。

3、流量控制问题:

随着P2P应用 (BT、电骡、迅雷、网络电视等) 日益丰富。这些应用成了上网用户上网的“必需品”, 占用了大量的网络带宽。出口的带宽扩容永远满足不了P2P的相关应用, 造成了关键业务得不到保障, 用户浏览网页的速度慢、甚至断网等现象频繁发生。如何做到实际带宽可管、可控成了出口区域普遍面临的一大难题。

4、多出口的可扩展问题:

随着校园用户和校园应用的不断增加, 校园网的规模也在迅速扩张。为了丰富校内带宽, 不少高校将千兆骨干网升级为万兆。但是在出口区域仍然是千兆线路连接出口设备, 网络带宽的瓶颈没有得到解决, 因此如何使出口设备具有良好的可扩展性, 成了建设出口区域必须考虑问题。

三、校园网出口建设规划

基于以上出口区域所面临的诸多挑战, 在规划校园网的出口建设上应避免“穿新鞋, 走老路”的现象发生, 根据校园网的实际需求, 充分考虑诸多因素, 来建设符合本校校情的校园网出口。主要涉及一下几个方面:

1、校园出口建设的外围因素:

建设新型校园网出口首先要考虑的问题是自身的实际情况和应用需求。比如高校的规模、实际的网络用户和今后几年潜在的后续用户、所在地区的带宽资源、校园网的实际应用和建设校园网出口区域的投入资金等因素。本着勤俭节约的原则, 尽量花最少的钱, 做最好的事。

2、带宽管理因素:

在网络应用日益丰富的今天, 特别是P2P技术的逐步成熟, 相关的应用下载铺天盖地地充斥着校园网出口, 占据了绝大部分带宽, 造成了网页浏览慢、关键应用无法保障、甚至更严重的断网现象也时有发生。因此做到出口带宽可管、可控尤为重要。做到合理的带宽分配, 防止资源滥用, 势在必行。

3、安全防御因素:

在校园网出口区域, 安全防御因素不可忽视。随着网络应用面不断扩大, 网络威胁的种类也越来越多, 不仅有非法入侵、网络渗透, 还有网络欺骗、DOS/DDOS攻击、各种恶意软件、垃圾邮件等。整个校园网络随时都有可能遭受这些不安全因素的威胁, 所以在校园网的出口区域部署专门的防火墙来抵御各类病毒的入侵必不可少。

4、出口设备的高可用性因素:

网络出口设备在整个校园网出口区域起着至关重要的作用。除了满足强大的NAT和策略路由功能之外, 还应考虑到出口区域的设备和链路的备份问题。当下, 对网络服务质量要求越高, 用户对校园网这一平台的依赖性和期望值就越大。校园网的某个区域网络不正常, 不会影响到整个校园, 而出口区域网络不正常, 会殃及整个校园网, 所以出口设备可靠性和稳定性成了各高校建设出口区域备受关注的问题。

多出口环境下的智能DNS应用研究 第9篇

目前我国存在着较多的ISP(互联网服务提供商),如北方地区的中国联通,南方地区的中国电信,以及覆盖全国大中专院校和科研机构的中国教育网CERNET。这些ISP可以为用户提供个性化的接入服务。但由于我国电信行业按照区域和行业划分的特点以及一些涉及到区域垄断的原因,造成了这些ISP的用户在访问其它ISP的网络资源时,会遇到网间瓶颈的问题。

二、多出口技术

个人用户遇到网间瓶颈的问题,只能选择相对较好的一家ISP,但这并不能解决在访问其他ISP时所遇到的网间瓶颈问题。而高校等行业用户则可以同时接入多个ISP的网络,以提高访问不同ISP网络的速度。

接入多个ISP的网络后,在这些行业用户的出口设备上(一般是策略路由器)需要建立一个ISP所使用IP地址资源的映射关系表(ISP-IP地址池映射表)。当内部用户访问某一外部IP地址时,出口设备会在ISP-IP地址池映射表中查找该地址所属哪个ISP,如果符合映射表中的某条记录,就将该数据包从选定端口发送出去,否则就将该数据包从默认路由端口发送出去。用这种方式高效地使用所属ISP的网络资源,避开网间瓶颈的掣肘。

三、智能DNS技术

这类拥有多ISP接口的行业用户会提供一些网络服务,如Web、e-Mail、OA等。传统技术中,DNS设备仅是简单的将这些服务的域名解析为固定的IP地址,用户访问域名时解析到的IP地址始终不变。而这种静态DNS技术无法适应多ISP接入环境,因此需要使用智能DNS技术来动态的为分属不同ISP的用户解析出不同的IP地址。

智能DNS服务器在为外部用户提供DNS域名解析时,会先检查该用户所发数据包的源IP地址,再依据内部的ISP-IP地址池映射表判断自于哪一个ISP,判定后返回给用户特定的IP地址,从而完成了一次智能DNS的解析过程。

1、多线多服务器方式

智能DNS技术的核心是根据用户所发数据包的源IP地址,依据ISP-IP地址池映射表判断用户所属的ISP,再返回网络服务在该ISP登记的IP地址。该技术在多线多服务器环境中(如图1)有着非常好的表现。不同ISP网络中的用户访问同一个域名时,解析得到不同的IP地址,各IP地址对应的服务器分别放置在相应的ISP提供的网络环境中,这样的结构可以让任何一家ISP的用户在传输数据的过程中都不会受到网间瓶颈的拖累。

在多线多服务器的结构中,一个关键点就是WWW1、WWW2、WWW3三台服务器必须保持数据同步,才能保证各ISP的用户在访问web服务器时得到的相同的数据。同时这种多线多服务器的方式还可以将服务器的工作压力分散到了多台服务器上,在一定程度上起到了负载均衡的作用。这在早期服务器性能较低时,确实有效地提高了整个系统的数据处理能力。

2、多线单服务器方式

多服务器的镜像或同步技术是不太适用access这类非网络数据库的应用,同时多机方式不仅需要另购服务器同步软件,还提升了整个系统的复杂性。显然,这对中小企业不太合适。因此,一些单位将这种多线多服务器的结构进行了升级,将多台镜像服务器变成一台高性能服务器,同时利用在出口设备上做多地址映射的方法,解决服务器同步的问题。

黄河水利职业技术学院在使用中国教育科研网CERNET单线接入时,其学院网站域名www.yrcti.edu.cn只能被静态地解析为218.198.48.1。外部用户在访问www.yrcti.edu.cn时会得到解析的IP地址218.198.48.1。此时,无论用户是来自南方的中国电信还是北方的中国联通甚至是国外的用户,都需要最终通过CERNET的网络才能访问到黄河水利职业技术学院网站。这种方式的效率很低。在极端的情况下,即使某用户就在校门外,但是当访问该网站时,数据已经被发送到郑州甚至是北京才能转入CERNET的网络,最后才能到达218.198.48.1。由于ISP之间或多或少都存在一些网间瓶颈问题,在网间通信负荷较高的时段,非CERNET网络用户甚至无法正常访问到该地址。

为了解决此类问题,黄河水利职业技术学院通过联入中国联通和中国电信等ISP网络,利用三线方式提高网络的可用性,并使用锐捷网络的NPE(网络出口引擎)作为出口路由设备,利用智能DNS来解析网络服务的域名。这套方案与传统多线多服务器方式不同的是,它采用了多线单台服务器的使用方式,即仅用一台性能较好的服务器来,在出口设备NPE上做NAT转换。

在NPE上为学院网站做两个地址映射,分别将学院网站域名www.yrcti.edu.cn的IP地址218.198.48.1映射为123.15.4.118和222.89.105.172。外部用户访问www.yrcti.edu.cn时,就可能得到不同的IP地址:218.198.48.1、123.15.4.118和222.89.105.172。当CERNET用户访问域名www.yrcti.edu.cn时,智能DNS服务器可以从其ISP-IP地址池映射表中查询出该用户来自CER-NET,此时解析得到的IP地址为218.198.48.1,由于该地址属于CERNET,用户将直接通过CERNET的网络来访问www.yrcti.edu.cn。当中国联通或中国电信的用户访问域名www.yrcti.edu.cn时,智能DNS服务器同样可以查询出该用户究竟是来自中国联通还是中国电信,返回在中国联通注册的123.15.4.118或者在中国电信注册的222.89.105.172,用户再根据解析得到的IP地址从各自ISP的网络中访问Web服务器上面的信息。

这种利用单台物理服务器,由智能DNS服务器进行解析,出口设备为服务器做NAT方式,有效地节约了资金投入,提高了经济性,同时降低了整套系统的复杂性。

四、智能DNS使用问题

在使用此类智能DNS服务器的同时,需要解决一些问题。问题之一就是智能DNS服务器与NPE的ISP-IP地址池映射表必须完全一致,否则会造成某些ISP的用户无法访问内部服务的情况。这是因为用户在访问智能DNS服务器解析的IP地址时,NPE会为数据包选择错误的路由,从而造成数据被送到了错误的ISP网络。

例如某一IP地址为115.56.189.20的中国联通用户,在访问Web服务器www.yrcti.edu.cn时,首先,在进行DNS解析的时候,智能DNS服务器根据自己的ISP-IP地址池映射表返回IP地址123.15.4.118,当用户依据此IP地址开始进行数据传输的时候,NPE会根据不同步的ISP-IP地址池映射表将Web服务器返回给115.56.189.20的数据发送到CERNET的网络中,这会使数据再传回用户时,遇到较大的网路延迟甚至是超时,造成无法建立正常的数据链路。这就需要网络管理员经常性的检查ISP-IP地址池映射表,修改时,同时调整智能DNS服务器和NPE这两台设备,这显然对网络管理员提出了较高的要求,增加了工作量。但由于人工操作可能会造成疏忽,有时依然会造成一些纰漏。

问题之二就是当某一中国联通的用户IP地址在ISP-IP地址池映射表中被归入了中国电信的IP地址池中时,该用户是不能正常地访问www.yrcti.edu.cn的。为保证ISP-IP地址池映射表的正确性,就要求网络管理员经常性的关注各ISP发布的最新IP地址空间信息,及时准确地更新智能DNS服务器和NPE的ISP-IP地址池映射表,这也大大增加了网络管理员的工作量。

今后相当长的一段时间内,国内ISP之间网间瓶颈的问题依然难以彻底解决,而且各ISP也在不断申请新的IP地址资源。所以建立一套面向行业的、权威的、并涉及所有主流ISP的ISP-IP地址池映射数据库发布平台就成为了一种需求。建立起这套平台以后,智能DNS等多线设备的ISP-IP地址池映射表的更新就可以象杀毒软件更新病毒特征库一样快速、高效,而且面向全国的数据发布平台可以保证国内所有多线设备的数据一致性,避免智能DNS设备与出口路由等设备信息不一致造成的无法访问故障,从而在根本上解决数据不同步的问题。

参考文献