校園網雙出口的設計與實現(xiàn)

[摘 要] 校園網是教育現(xiàn)代化的主體，一般通過雙出口的方式實現(xiàn)流暢地訪問Internet網絡資源。通過實際應用案例分析，詳細描述靜態(tài)路由、默認路由、策略路由、NAT等具體命令配置，實現(xiàn)校園網雙出口。

[關 鍵 詞] 校園網；雙出口；靜態(tài)路由；策略路由；NAT；默認路由

[中圖分類號] TN711 [文獻標志碼] A [文章編號] 2096-0603（2017）21-0147-01

校園網是學校信息化建設的基礎設施，是實現(xiàn)教學科研管理信息化和現(xiàn)代化的重要平臺。目前大部分學校建立的校園網都是通過一條專門線路接入中國教育科研網（CERNET），以實現(xiàn)INTERNET應用需求。但由于目前絕大多數(shù)的網絡資源都存在于公眾網，而利用教育科研網訪問公眾網的速度較慢，并且隨著校園網用戶的增加和網絡應用的進一步發(fā)展，其對網絡出口帶寬的需求進一步加大，原有單一的CERNET出口已無法滿足需求，有必要通過當?shù)鼐W絡服務提供商（ISP）提供第二出口接入INTERNET。

一、雙出口的基本思路

各個學?？梢圆捎貌煌募夹g實現(xiàn)雙出口，但是基本上思路是相同的，采用訪問教育網資源和校園網內的服務器資源走教育網出口，用戶日常上網走第二出口。

二、雙出口的解決方案實例分析

某校在接入CERNET的基礎上，通過中國移動增加了第二出口。其網絡拓撲結構如圖所示：

（一）對該方案，我們有以下幾方面的要求

（1）用戶正常上網走中國移動線路出口，訪問教育科研網的網站時，出口線路CERNET。（2）校園網絡中的服務器走CERNET線路，外網用戶可以正常訪問校內服務器資源。（3）用戶IP地址設置不受影響，即不用重新設置地址就可以正常上網。

（二）實現(xiàn)要求方法

（1）通過靜態(tài)路由設定訪問教育網資源走CERNET，默認路由設置實現(xiàn)中國移動線路出口。（2）通過策略路由實現(xiàn)服務器出口走CERNET線路，NAT實現(xiàn)服務器公網訪問。（3）通過NAT（網絡地址轉換）實現(xiàn)用戶上網。

三、實現(xiàn)雙出口的具體配置

路由器接口G1接教育科研網，IP地址設置為：101.77.x.2；路由器的接口G2接本地移動網，IP地址設為：223.68.x.112。電信提供的接口地址為223.68.x.111；教育科研網提供的接口地址為101.77.x.1。服務器IP地址段為：172.17.1.0/24；對應的公網IP地址段：101.x.x.0/24。因路由器的接口配置不是本文討論內容，所以不作描述。

（一）設置默認路由

ip route 0.0.0.0 0.0.0.0 223.68.x.111

該默認路由指向移動出口，用戶通過該路由正常上網。

（二）設置靜態(tài)路由

對于所有教育網的國內站點設置靜態(tài)路由，指向教育網出口。路由表很長，以幾條為代表：

ip route 42.244.0.0 255.252.0.0 101.77.x.1

ip route 49.52.0.0 255.252.0.0 101.77.x.1

ip route 49.120.0.0 255.252.0.0 101.77.x.1

……

（三）配置策略路由

為了保證服務器流量走教育網，需要配置策略路由。

1.策略路由需要ACL（訪問控制列表）配合實現(xiàn)，建立一個ACL命名cernet_net，添加允許通過的IP地址段，當然也可根據(jù)實際需要增刪IP或IP地址段：

ip access-list extended cernet_net

10 permit ip 172.17.1.0 0.0.0.255 any

20 permit ip 101.x.x.0 0.0.0.255 any

2.配置策略路由，服務器流量走教育網，其他的流量走移動出口：

route-map cernet_net permit 10

match ip address cernet_net

set ip default next-hop 101.77.x.1

（四）配置NAT

1.這里以一個WEB服務器為代表配置：

ip nat inside source static tcp 172.17.1.x 80 101.x.x.x 80 permit-inside

……

2.使用移動和教育網提供的公網IP地址，通過NAT，實現(xiàn)用戶上網。

地址池配置：

ip nat pool SHANGWANG prefix-length 24

address 101.x.x.x 101.x.x.x match interface GigabitEthernet1

address 223.68.x.x 223.68.x.x match interface GigabitEthernet2

NAT配置：ip nat inside source list 1 pool SHANGWANG overload

增加默認路由配置：ip route 0.0.0.0 0.0.0.0 101.77.x.1 100

四、結語

通過以上配置，即可實現(xiàn)校園網的雙出口目的。校園網的雙出口已為越來越多的學校所采納，解決方案亦是仁者見仁、智者見智。

參考文獻：

李建林，史律，王偉林.局域網交換機和路由器的配置與管理[M].電子工業(yè)出版社，2013-09-01.