提高多出口網(wǎng)絡(luò)對外服務(wù)速度的應(yīng)用研究

沈達峰

(淮陰工學院 現(xiàn)代教育中心，江蘇 淮安 223003)

0 引言

高校校園網(wǎng)最初都是接入中國教育科研網(wǎng)(CERNET)，但是由于 CERNET與電信(CHINANET)、網(wǎng)通(CNC)等網(wǎng)絡(luò)互聯(lián)帶寬有限及網(wǎng)絡(luò)資源的分布不均，導(dǎo)致高校網(wǎng)絡(luò)用戶通過CERNET訪問CHINANET比較困難，同時CHINANET上的廣大網(wǎng)絡(luò)用戶訪問高校網(wǎng)站也比較慢。這一方面妨礙了高校獲取CHINANET上的資源，另一方面也影響了高校通過網(wǎng)站的對外宣傳。為了解決這些問題，大部分高校都采用了同時接入CERNET和CHINANET的多出口解決方案。多出口方案的實施，極大地提高了學校訪問校外網(wǎng)絡(luò)資源的速度，現(xiàn)時也為其他網(wǎng)絡(luò)用戶更快訪問校園網(wǎng)網(wǎng)絡(luò)資源提供了便利條件。本文將以某校園網(wǎng)為模型，討論多出口條件下采用單網(wǎng)卡多IP方法提高校園網(wǎng)對外服務(wù)速度的問題。

1 常用方法

為了實現(xiàn)出口線路的冗余備份，很多高校都同時接入了教育科研網(wǎng)和其他ISP的網(wǎng)絡(luò)。由于教育網(wǎng)與中國電信、中國網(wǎng)通等ISP之間存在交互瓶頸，絕大部分高校都優(yōu)先保證教育網(wǎng)用戶高速訪問校園網(wǎng)對外資源，而其他ISP網(wǎng)絡(luò)的用戶發(fā)出的訪問請求必須首先到達北京互聯(lián)網(wǎng)交換中心，再轉(zhuǎn)發(fā)到教育科研網(wǎng)，然后才能訪問各高校的對外資源，因此訪問速度非常慢，這在一定程度上影響了學校的正常工作。目前已有一些高校采用不同方法解決了上述問題。

1.1 雙域名模式

通常情況下，高校的域名都是由教育網(wǎng)解析的，而雙域名模式要求向其他網(wǎng)絡(luò)服務(wù)提供商再申請一個域名，并由服務(wù)商提供域名解析，校園網(wǎng)服務(wù)器由服務(wù)商托管，并使用服務(wù)商提供的公網(wǎng)IP。此類解決方案的優(yōu)點是簡單易行，可完全交由網(wǎng)絡(luò)服務(wù)商來實施;缺點是投入成本較高，管理不靈活，還需要雙倍數(shù)量的服務(wù)器，且每次更新資源都要重復(fù)兩次。

1.2 使用反向代理

反向代理就是通常所說的Web服務(wù)器加速，它是一種通過在繁忙的Web服務(wù)器和Internet之間增加一個高速的Web緩沖服務(wù)器(即Web反向代理服務(wù)器)來降低實際的Web服務(wù)器的負載 。此方案將反向代理服務(wù)器放置在一臺或多臺Web服務(wù)器前端，或直接放置在公網(wǎng)入口處，當公網(wǎng)用戶訪問某個Web服務(wù)器時，實際上訪問的是反向代理服務(wù)器的公網(wǎng)IP，此時反向代理服務(wù)器邏輯上充當Web服務(wù)器。此方案的優(yōu)點是只占用一個公網(wǎng)IP地址，內(nèi)部Web服務(wù)器不用做任何調(diào)整;缺點是只能實現(xiàn)Web服務(wù)器的高速訪問。

1.3 使用專用設(shè)備

迪軟智能多路口服務(wù)均衡系統(tǒng)是最新一代通過多條線路提供互聯(lián)網(wǎng)對園區(qū)網(wǎng)快速訪問的解決方案。該系統(tǒng)可以在園區(qū)網(wǎng)內(nèi)通過一臺設(shè)備管理多條線路，并對多臺服務(wù)器的服務(wù)提供線路均衡服務(wù)。本方案的優(yōu)點是有廠商的技術(shù)支持、不必改變網(wǎng)絡(luò)結(jié)構(gòu)、管理方便，缺點是得投資一臺專用設(shè)備。

1.4 雙網(wǎng)卡服務(wù)器

服務(wù)器上配置兩塊網(wǎng)卡，分別配置教育網(wǎng)和其他出口所對應(yīng)的IP地址，接入相應(yīng)的網(wǎng)絡(luò)。本方案的優(yōu)點是投入不大，現(xiàn)在采購的服務(wù)器的基本配置都是兩塊網(wǎng)卡，缺點是每臺服務(wù)器上都得配置相應(yīng)的路由，實現(xiàn)起來非常繁瑣。

1.5 使用智能域名結(jié)合NAT技術(shù)

首先配置智能域名服務(wù)器，自動根據(jù)客戶端IP地址來判斷，當教育網(wǎng)用戶訪問時為內(nèi)部服務(wù)器解析出教育網(wǎng)IP地址，當公網(wǎng)用戶訪問時解析出公網(wǎng)IP地址;然后配置NAT服務(wù)器，使用雙網(wǎng)卡結(jié)構(gòu)分別與公網(wǎng)和內(nèi)部網(wǎng)連接，并分別設(shè)置公網(wǎng)IP和內(nèi)部網(wǎng)IP，同時在連接公網(wǎng)的網(wǎng)卡上綁定多個公網(wǎng)IP用于內(nèi)部服務(wù)器地址轉(zhuǎn)換。應(yīng)用此方案時不用對內(nèi)部服務(wù)器做任何調(diào)整，投入成本小，并可以實現(xiàn)外網(wǎng)對校園網(wǎng)內(nèi)任何服務(wù)器以及任何端口的高速訪問。缺點是仍需投入一臺NAT服務(wù)器，且服務(wù)器裸露在公網(wǎng)中，存在很大的安全隱患。

2 單網(wǎng)卡多IP方案

鑒于以上介紹的多出口條件下提高校園網(wǎng)對外服務(wù)速度的各種方案都不同程度地存在一些不足之處，筆者設(shè)計了這樣一種方案:以某校園為例，服務(wù)器部署于內(nèi)網(wǎng)中，配置兩個IP地址，通過策略路由方式實現(xiàn)教育網(wǎng)和電信網(wǎng)兩條不同路由選擇，在相應(yīng)防火墻上做靜態(tài)地址映射，DNS服務(wù)器上做策略域名配置，根據(jù)客戶機不同的IP地址獲取不同的解析結(jié)果，以期實現(xiàn)客戶機快速訪問相應(yīng)的服務(wù)。

2.1 策略域名簡介

域名系統(tǒng)(DNS:Domain Name System)的功能是實現(xiàn)主機域名和IP地址之間的相互轉(zhuǎn)換。用戶訪問某臺服務(wù)器提供的服務(wù)時，在應(yīng)用程序中基本上都是輸入服務(wù)器的域名，然后再由DNS服務(wù)器將此域名稱解析為與之對應(yīng)的IP地址，應(yīng)用程序最后都是依靠IP地址來和服務(wù)器通訊的。傳統(tǒng)的DNS系統(tǒng)對任何主機請求的域名，最后解析出的IP地址都是一樣的，不能根據(jù)不同的用戶解析出不同的IP地址。

策略域名就是在這種情況下產(chǎn)生的，它可以根據(jù)不同IP的請求將同一個域名解析為不同的IP地址或則應(yīng)用不同的安全策略(比如對內(nèi)網(wǎng)用戶提供遞歸解析服務(wù)的同時忽略外網(wǎng)用戶的遞歸解析請求)。換句話說，對于CERNET ISP的接入用戶和CHINANET ISP的接入用戶，企業(yè)的相同域名最后對應(yīng)的IP地址是不同的。這樣的話，用戶訪問企業(yè)電子商務(wù)網(wǎng)站時由企業(yè)的DNS服務(wù)器根據(jù)用戶接入的ISP而解析出對應(yīng)ISP的地址，讓用戶能高速訪問到自己的網(wǎng)站，不再需要用戶去搞清楚自己接入的ISP，再去選擇企業(yè)對應(yīng)的域名。本文設(shè)定教育網(wǎng)用戶、網(wǎng)通用戶、聯(lián)通用戶訪問服務(wù)器sampl.xxx.edu.cn，域名服務(wù)器解析的結(jié)果為教育網(wǎng)地址xxx.xxx.xxx.8，其他用戶訪問該服務(wù)器，得到的解析結(jié)果為電信的地址 yyy.yyy.yy.8。DNS服務(wù)器配置詳情本文不再贅述。

2.2 策略路由

傳統(tǒng)的路由策略都是使用從路由協(xié)議派生出來的路由表，根據(jù)目的地址進行報文的轉(zhuǎn)發(fā)。在這種機制下，路由器只能根據(jù)報文的目的地址為用戶提供比較單一的路由方式，它更多的是解決網(wǎng)絡(luò)數(shù)據(jù)的轉(zhuǎn)發(fā)問題，而不能提供有差別的服務(wù)?；诓呗缘穆酚蔀榫W(wǎng)絡(luò)管理者提供了比傳統(tǒng)路由協(xié)議對報文的轉(zhuǎn)發(fā)和存儲更強的控制能力?；诓呗缘穆酚杀葌鹘y(tǒng)路由控制能力更強，使用更靈活，它使網(wǎng)絡(luò)管理者不僅能夠根據(jù)目的地址，而且能夠根據(jù)協(xié)議類型、報文大小、應(yīng)用、IP源地址或者其它的策略來選擇轉(zhuǎn)發(fā)路徑。

策略路由可以根據(jù)實際應(yīng)用的需要進行定義它的主要應(yīng)用:

通信量可能需要根據(jù)源網(wǎng)絡(luò)分類。當從一個網(wǎng)絡(luò)來的通信量需要優(yōu)先于另一個網(wǎng)絡(luò)的通信量時會需要實現(xiàn)這種類型的基于策略的路由選擇。

通信量可能需要根據(jù)通信量的類型被路由，如非交互的通信量(電子郵件等)可能需要在較慢的連接上被路由而交互的通信量需要在較快的鏈路上被路由。

通信量可能需要以一種不同與標準路由選擇的協(xié)議處理負載均衡的方法進行負載均衡。

通信量可能需要根據(jù)通信量的類型區(qū)分優(yōu)先次序。

基于策略的路由選擇在通信量將進入的策略路由器的輸入接口上啟用，用戶指定一個路由映射，控制實現(xiàn)該策略。然后在需要強行實現(xiàn)這些策略的接口上啟用基于策略的路由選擇。當數(shù)據(jù)包經(jīng)過路由器轉(zhuǎn)發(fā)時，路由器根據(jù)預(yù)先設(shè)定的策略對數(shù)據(jù)包進行匹配，如果匹配到一條策略，就根據(jù)該條策略指定的路由進行轉(zhuǎn)發(fā);如果沒有匹配到任何策略，就使用路由表中的各項根據(jù)目的地址對報文進行路由。

2.2.1 基于源的策略

基于源策略的路由選擇允許用戶根據(jù)通信量的始發(fā)地做出路由選擇。

假如一個路由器有兩個串口分別連接ISP1和ISP2，兩個以太網(wǎng)口 E1，E2分別連接網(wǎng)絡(luò)192.168.1.0/24，192.168.168.2.0/24那么我們可以創(chuàng)建一個策略讓192.168.1.0/24網(wǎng)絡(luò)的用戶走ISP1線路而其他通信量走ISP2線路。

具體實現(xiàn)如下:

2.2.2 服務(wù)類型的策略

服務(wù)類型的策略通過設(shè)置IP優(yōu)先級或者服務(wù)類型(ToS)值允許用定義的類別標記一個數(shù)據(jù)包。通過允許該數(shù)據(jù)包用定義的類別做標記，管理員可以在該網(wǎng)絡(luò)范圍內(nèi)定義不同的服務(wù)類別并在該網(wǎng)絡(luò)核心中實現(xiàn)為每類服務(wù)定義的服務(wù)質(zhì)量(QoS)。該QoS可以通過使用優(yōu)先級，自定義和加權(quán)的公平排隊技術(shù)實現(xiàn)。使用QoS消除了在網(wǎng)絡(luò)核心中的每個WAN接口上定義服務(wù)類別的需要。

2.2.3 通信量類型的策略

通信量類型的策略路由選擇將允許根據(jù)通過策略路由器的通信量類型進行路由選擇決定。

2.3 具體實現(xiàn)方法

2.3.1 校園網(wǎng)結(jié)構(gòu)

為方便敘述，筆者設(shè)計了如圖1所示的某校園模型。

該校園網(wǎng)當初接入CERNET時只申請到8個C的IP地址。隨著學?；窘ㄔO(shè)規(guī)模的不斷擴大，校園網(wǎng)用戶的急劇增加，8個C的IP地址合理規(guī)化使用難度非常大。因此在校園網(wǎng)核心設(shè)備升級后，校園網(wǎng)用戶一律使用私有地址，這樣規(guī)劃大大降低了用戶配置IP時引起沖突的可能性。

隨著校園網(wǎng)用戶的增多，先后增加了兩個電信百兆出口，以滿足校園網(wǎng)用戶快速訪問網(wǎng)絡(luò)資源的需求，同時也為其他網(wǎng)絡(luò)用戶訪問學校資源、提高學校知名度提供了更多更快的途徑。

2.3.2 服務(wù)器的設(shè)置

外網(wǎng)所有用戶能高速訪問的服務(wù)器部署在內(nèi)網(wǎng)的服務(wù)器區(qū)中，地址段為:172.16.xxx.0/24，前半部分即172.16.xxx.0/25地址段的路由選擇為教育網(wǎng)，后半部分即172.16.xxx.128/25部分的路由選擇為公網(wǎng)。因此服務(wù)器需配置兩個IP，分別位于172.16.xxx.0/25和172.16.xxx.128/25段中，設(shè)服務(wù)器samp.xxx.edu.cn的內(nèi)網(wǎng)地址為172.16.xxx.3/255.255.255.0和172.16.xxx.130/255.255.255.0。

2.3.3 路由器的設(shè)置

本方案的關(guān)鍵部分是策略路由的應(yīng)用。為實現(xiàn)本方案，針對圖一所示的網(wǎng)絡(luò)模型，對路由器做如下設(shè)置:

經(jīng)過如此配置，同一臺服務(wù)器，通過同一塊網(wǎng)卡上的不同的IP使用不同的路由，實現(xiàn)同時使用教育網(wǎng)地址和電信網(wǎng)地址提供相關(guān)服務(wù)。

2.3.4 防火墻的設(shè)置

由于服務(wù)器在內(nèi)網(wǎng)中，處于防火墻的保護之下，要實現(xiàn)相關(guān)服務(wù)，對外必須固定使用一個IP地址，打開相關(guān)連接的端口。

教育網(wǎng)出口防火墻，即接口地址為10.1.1.22的防火墻上配置信息中含有下面的內(nèi)容:

電信出口防火墻，即接口地址為10.1.1.18的防火墻上配置信息中含有下面的內(nèi)容:

經(jīng)過實際應(yīng)用，按上述描述的方法配置相關(guān)設(shè)備后，完全達到預(yù)期目的，根據(jù)域名訪問同一臺服務(wù)器，不同網(wǎng)絡(luò)的用戶按預(yù)期設(shè)想訪問相應(yīng)地址提供的服務(wù)，速度較快。

3 結(jié)束語

本文就多出口網(wǎng)絡(luò)如何提高對外網(wǎng)絡(luò)服務(wù)的速度提出了思路和實現(xiàn)方法。雖然具體介紹的方法只就一個服務(wù)器針對兩個出口的服務(wù)列出了相應(yīng)的配置方法，但推而廣之，即使內(nèi)網(wǎng)中的服務(wù)器不在一個子網(wǎng)中，更多的出口都很容易實現(xiàn)。本方法最大的優(yōu)點是不需額外的投入，不用改變網(wǎng)絡(luò)結(jié)構(gòu)，配置相關(guān)設(shè)備也很容易，且服務(wù)器處于防火墻最大可能的保護之下，效果顯著。

［1］邱建波.高校校園網(wǎng)雙出口環(huán)境下對DNS的智能改進［J］.微計算機應(yīng)用，2008，29(8):71－74.

［2］肖嵬.繆春瑩.高速訪問多出口局域網(wǎng)對外資源的方法研究［J］.重慶師范大學學報:自然科學版，2008，25(3):32－35.

［3］雷明彬.策略DNS在多出口電子商務(wù)網(wǎng)站中的應(yīng)用［J］.商場現(xiàn)代化，2008，(545):132.

［4］莊永龍.策略路由技術(shù)在多出口校園網(wǎng)中的應(yīng)用研究［J］.南通職業(yè)大學學報，2008，22(1):82－85.

［5］許亦鏡.策略路由在邊界路由器上的應(yīng)用［J］.赤峰學院學報:自然科學版，2009，25(9):63－64.

［6］金鑫.策略路由技術(shù)在校園多出口網(wǎng)絡(luò)中的應(yīng)用［J］.上海應(yīng)用技術(shù)學院學報，2009，9(2):138－141.

［7］賈毅峰.雙出口校園網(wǎng)中策略路由的應(yīng)用［J］.銅仁學院學報，2009，11(1):127－129.

［8］楊鋒.路由策略與策略路由的具體應(yīng)用［J］.網(wǎng)絡(luò)與通信，2007，(2):23－28.