基于策略路由的校園網(wǎng)出口建構與實踐

繆元照，劉志南

（1.天津美術學院信息化工作辦公室，天津300141；2.天津市嘉仕科技股份有限公司，天津300384）

0 引言

校園網(wǎng)雙出口的研究和實踐由來已久，最早是用于解決CERNET 高昂的國際流量費用，筆者也曾經在CISCO6509 交換機和2621 路由器上使用路由、策略路由以及地址轉換技術實現(xiàn)了校園網(wǎng)的雙出口優(yōu)化解決方案[1]。隨著網(wǎng)絡帶寬和網(wǎng)絡技術的發(fā)展，校園網(wǎng)多出口的主要目的是提高網(wǎng)絡可用性與冗余，提升校園網(wǎng)用戶的使用體驗[2-3]，天津美術學院作為擁有設計類和影視類專業(yè)的專業(yè)藝術院校，師生使用校園網(wǎng)對于設計素材和一些影視的下載和在線瀏覽觀看是專業(yè)學習和提升的重要組成部分，因此提升校園網(wǎng)的可用性、可靠性、冗余性、通達性是現(xiàn)在校園網(wǎng)建設和管理的重要工作。

天津美術學院校園網(wǎng)出口擁有CERNET、聯(lián)通、電信、移動四個運營商的網(wǎng)絡連接，如圖1 所示。本文使用策略路由技術，最大程度發(fā)揮邊界路由設備性能，滿足校園網(wǎng)用戶對于網(wǎng)絡需求，提高用戶的滿意度。

1 校園網(wǎng)出口的策略路由需求

路由器進行包轉發(fā)決策過程中，一般是根據(jù)所接收的數(shù)據(jù)包的目的地址進行的。路由器根據(jù)目的地址查找路由表，從而做出相應的最優(yōu)路由轉發(fā)決策。要使數(shù)據(jù)包不是明確的最短路徑路由，而是由其他路徑轉發(fā)時，需要應用策略路由技術，也就是按照具體需要來決定數(shù)據(jù)包的路由。

基于策略路由有如下幾種方式：①基于源IP 地址的策略路由；②基于目的IP 地址的策略路由；③基于數(shù)據(jù)包大小的策略路由；④基于應用的策略路由。

對于校園網(wǎng)出口來說，一般應用基于目的IP 地址的策略路由技術來實現(xiàn)。

圖1 天津美術學院校園網(wǎng)多出口拓撲

根據(jù)天津美術學院校園網(wǎng)的實際應用，在核心交換機上只做VLAN 的定義、ARP 表及缺省路由，和相應的安全策略配置，策略路由是由邊界路由設備來專門完成的[4]，需要滿足以下目標：

（1）校園網(wǎng)用戶不需要關心網(wǎng)絡出口連接，不用做任何操作即可正常工作。

（2）校園網(wǎng)的服務器原則上在教育網(wǎng)發(fā)布服務，服務器區(qū)的各種服務，原則上使用教育網(wǎng)真實地址，路由選擇CERNET 線路。

（3）CERNET 免費列表需要進行梳理，凡是CERNET 直連地址，校園網(wǎng)用戶訪問需要路由選擇CERNET 線路，凡是學校圖書館購買的數(shù)據(jù)庫資源，校園網(wǎng)用戶訪問原則上路由選擇CERNET 線路，對于CERNET 免費地址列表中其他運營商的地址（CERNET 非直連地址），校園網(wǎng)用戶訪問時路由選擇相關運營商線路。

（4）按照聯(lián)通、電信、移動運營商的地址列表，校園網(wǎng)用戶訪問根據(jù)目的地址的歸屬，路由選擇相關運營商線路。

2 天津美術學院校園網(wǎng)多出口方案配置

如圖1 所示，天津美術學院校園網(wǎng)采用銳捷核心交換機及EG2000 網(wǎng)關作為校園網(wǎng)核心和邊界路由設備，由于策略路由對于路由設備性能消耗比較大，因此選擇一臺高性能邊界路由設備是策略路由成功實施運行的重要因素，EG2000 擁有專業(yè)出口設備高效的NAT 轉發(fā)性能，還具有流控、智能選路、上網(wǎng)行為管理、安全防護等功能，而且可以提供Web 頁面配置，是比較適合中等以下規(guī)模網(wǎng)絡出口的設備。

EG2000 可以采用網(wǎng)關模式和網(wǎng)橋模式，天津美術學院校園網(wǎng)將EG2000 部署在邊界路由的位置，因此采用網(wǎng)關模式，主要需要進行以下配置[5]。

2.1 地址庫的維護

按照確定的策略路由目的地址原則，對于特征地址庫進行維護，需要注意的是學校訂購的主要數(shù)據(jù)庫資源的目的IP地址原則上應該修正到CERNET 地址庫：

CERNET 地址庫如下：

CERNET route db info:

1.5 1.0.0 255.255.0.0

1.18 4.0.0 255.254.0.0

42.24 4.0.0 255.252.0.0

……

202.11 2.0.0 255.248.0.0

……

223.2.0.0 255.254.0.0

223.12 8.0.0 255.254.0.0

聯(lián)通地址庫如下：

cnc route db info:

1.2 4.0.0 255.248.0.0

1.5 6.0.0 255.248.0.0

1.11 9.192.0 255.255.248.0

……

202.11 1.128.0 255.255.192.0

……

222.16 0.0.0 255.252.0.0

223.16 6.0.0 255.254.0.0

電信地址庫如下：

CNII route db info:

1.0.1.0 255.255.255.0

1.0.2.0 255.255.254.0

1.0.8.0 255.255.248.0

……

203.1 2.24.0 255.255.255.0

……

223.24 0.0.0 255.248.0.0

223.25 5.252.0 255.255.254.0

移動地址庫如下：

CMCC route db info:

36.12 8.0.0 255.192.0.0

36.19 2.0.0 255.224.0.0

39.12 8.0.0 255.192.0.0

……

202.9 6.123.172 255.255.255.252

……

223.11 6.0.0 255.252.0.0

223.12 0.0.0 255.248.0.0

2.2 相關接口配置，并啟用NAT功能

首先在EG 設備開啟多鏈路負載均衡mllb enable，然后啟用各運營商IP 地址組，以192.168.0.0 網(wǎng)段地址代表，隱藏真實IP，CERNET、電信、移動地址相同，不再說明：

ip-group 1

description 聯(lián)通

ip-range 192.168.10.49 192.168.10.51

route-db cnc

ip-group 2

description 電信

ip-range 192.168.148.51 192.168.148.53

route-db cnii

ip-group 3

description 移動

route-db cmcc

ip-range 192.168.56.195 192.168.56.196

ip-group 4

description 教育

route-db cernet

ip-subnet 192.168.216.0 24

ip-subnet 192.168.217.0 24

ip-subnet 192.168.218.0 24

在CERNET、聯(lián)通、電信、移動的光纖接口配置如下：

interface GigabitEthernet 0/1

medium-type fiber 設置為光纖接口

description 聯(lián)通

bandwidth 240000 設置帶寬閾值

nexthop 192.168.6.73 設置下一跳地址

reverse-path 設置反向路徑過濾

ip address 192.168.69.6.74 255.255.255.252 設置接口地址

ip nat outside 設置地址NAT 轉換

flow-policy Gi0/1

interface GigabitEthernet 0/3

medium-type fiber 設置為光纖接口

description 電信

bandwidth 240000

nexthop 192.168.148.49

reverse-path

ip address 192.168.148.50 255.255.255.240

ip nat outside

flow-policy Gi0/3

interface GigabitEthernet 0/5

medium-type fiber

description 移動

bandwidth 200000

nexthop 192.168.56.193

reverse-path

ip address 192.168.56.194 255.255.255.224

ip nat outside

flow-policy Gi0/5

interface GigabitEthernet 0/7

medium-type fiber

description 教育-200M

bandwidth 200000

nexthop 192.168..216.254

reverse-path

ip address 192.168.216.253 255.255.255.252

ip name-server 192.168.216.11 track 1 設置主DNS服務器

ip name-server 192.168.216.10 track 2 設置備用DNS 服務器

ip nat outside

flow-policy Gi0/7

四個運營商的帶寬接口都采用光纖接入接口，需要說明的是進行帶寬閾值配置是方便進行負載均衡，可以啟用相關配置，當某個運營商的接口流量超過一定閾值后，自動首選其他帶寬，由于策略路由選擇是根據(jù)我們維護的優(yōu)化過的地址庫進行的，因此這種負載均衡雖然可以使得網(wǎng)絡帶寬利用率提高，但是在帶寬沒有沖到極限造成比較大延時和丟包的情況下，并不會提高校園網(wǎng)用戶的網(wǎng)絡使用感受。因此我們并沒有進一步啟用相關配置。

2.3 配置NAT地址池

在相關接口上配置NAT 使用的地址池ip nat pool nat_pool prefix-length 24

address 192.168.6.74 192.168.6.74 match interface GigabitEthernet 0/1

address 192.168.148.50 192.168.148.50 match interface GigabitEthernet 0/3 address 192.168.56.194 192.168.56.194 match interface GigabitEthernet 0/5

address 192.168.1.30 192.168.1.30 match interface GigabitEthernet 0/7

這就是以各接口已經配置了CERNET、聯(lián)通、電信、移動各運營商的IP 地址作為NAT 地址轉換的地址池。

2.4 配置地址庫

route-auto-choose cnc GigabitEthernet 0/1 192.168.6.73 配置應用地址庫，并指下一跳地址

route-auto-choose cnii GigabitEthernet 0/3 192.168.148.49

route-auto-choose cernet GigabitEthernet 0/7 192.168.216.254

route-auto-choose cmcc GigabitEthernet 0/5 192.168.56.193

2.5 靜態(tài)路由設置

在相關接口配置靜態(tài)默認路由，啟用整體策略路由。

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/1 192.168.6.73

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/3 192.168.148.49

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/5 192.168.56.193

ip route 0.0.0.0 0.0.0.0 GigabitEthernet

0/7 192.168.216.254

2.6 服務器訪問相關配置

需要啟用訪問控制列表將內網(wǎng)和服務器地址及端口進行配置如下：

ip access-list standard 10

10 permit 10.16.192.0 0.0.31.255 內網(wǎng)地址

20 permit 10.16.0.0 0.0.31.255 內網(wǎng)地址

……

190 permit 192.168.216.0 0.0.0.255 服務器地址，以192.168.0.0 網(wǎng)段地址代表，隱藏真實IP

200 permit 192.168.218.0 0.0.0.255 服務器地址

……

360 permit 172.18.18.0 0.0.0.255

需要說明的是，配置服務器靜態(tài)路由地址就是為了保證校園網(wǎng)的服務器原則上在教育網(wǎng)發(fā)布服務，服務器區(qū)的各種服務，原則上使用教育網(wǎng)真實地址，路由選擇CERNET 線路。

3 結語

在校園網(wǎng)多出口構建實踐中，有的學校會讓用戶自主選擇路由[2]，這種模式靈活方便，運行穩(wěn)定，但是并不適合天津美術學院這類校園網(wǎng)用戶普遍計算機網(wǎng)絡應用水平較低的環(huán)境，對于天津美術學院校園網(wǎng)用戶來說，一個不需要更多干預的，開機聯(lián)網(wǎng)就可以使用的網(wǎng)絡更為適合，因此天津美術學院校園網(wǎng)建設一直是秉著用戶最小干預的原則進行建設。

天津美術學院校園網(wǎng)建設從2005 年采用CISCO Catalyst 6506 核心交換機及虛擬防火墻技術完成校園網(wǎng)雙出口建構[6]，但是CISCO Catalyst 6506 的Catalyst 6500 Firewall Service Module 防火墻板卡的處理能力有限，在校園網(wǎng)用戶大量帶寬和并發(fā)連接劇增的情況下，交換機和防火墻負載消耗很大，性能會受到嚴重影響，本文所述采用銳捷EG 網(wǎng)關的策略路由技術架構的多出口模式，自2014 年開始實施以來，運行穩(wěn)定，提高了校園網(wǎng)用戶上網(wǎng)的體驗。

需要說明的是，為了提高校園網(wǎng)用戶的上網(wǎng)體驗，網(wǎng)絡管理維護人員是需要根據(jù)用戶主要訪問的網(wǎng)站和應用的通達性和響應延時，定期對于CERNET、聯(lián)通、電信和移動四家運營商的地址庫進行維護，以保證主要的應用可用性和可通達性是相對最佳的，提高上網(wǎng)體驗。

在外購的數(shù)據(jù)庫訪問問題上，一方面是盡可能將主要數(shù)據(jù)庫提供商的IP 地址列表歸入CERNET 地址庫，盡可能保證校園網(wǎng)用戶訪問外購數(shù)據(jù)庫是通過教育網(wǎng)鏈路，但是由于各數(shù)據(jù)庫的IP 地址很多是其他運營商的通達性更佳，因此是需要圖書館將學校各運營商地址均提供數(shù)據(jù)庫提供商，以保證校園網(wǎng)用戶無論是策略路由選擇哪條鏈路，均可以無縫通達使用數(shù)據(jù)庫。

限于本文篇幅，未對于銳捷EG 網(wǎng)關相關流量控制及安全策略進行討論，在銳捷EG 網(wǎng)關上進行訪問控制列表等安全策略是必要的，但是相比專業(yè)的網(wǎng)絡安全設備來說，銳捷EG 網(wǎng)關是一臺邊界路由設備，如圖1所示，服務器區(qū)域的安全防范是由防火墻來進行保障的。現(xiàn)代校園網(wǎng)建設來說，設備專業(yè)化程度越來越高，因此不推薦銳捷EG 網(wǎng)關作為流量控制及行為管理設備來使用，銳捷EG 網(wǎng)關的優(yōu)點是路由功能，策略路由性能較好。

本方案的最大缺點是在校園網(wǎng)和CERNET 城域網(wǎng)以及各運營商的網(wǎng)絡連接之間，沒有專業(yè)的防火墻設備，雖然校園網(wǎng)用戶使用DHCP 獲取地址，并且在接口完成了NAT 地址轉換，外網(wǎng)IP 對于校園網(wǎng)用戶直接訪問是不可達的，但是畢竟銳捷EG 網(wǎng)關不是專業(yè)安全設備，因此校園網(wǎng)用戶安全性尚有改進空間。