校园网双出口方案Word格式.docx
《校园网双出口方案Word格式.docx》由会员分享,可在线阅读,更多相关《校园网双出口方案Word格式.docx(4页珍藏版)》请在冰点文库上搜索。
而增加了校园网络出口线路,从理论上说提高了网络带宽,但是如果不调整原有网络系统的结构,其效果不能体现。
对该方案,我们有以下几方面的要求:
(1)客户端IP地址设置不受影响,即不用重新设置地址就可以正常上网;
(2)客户端访问教育科研网的网站时,出口线路CERNET,访问其他站点时,走中国电信线路出口。
(3)解决外部公众网的用户访问我校校园网主页的速度过慢的问题。
(4)校园网络中的邮件走CERNET线路。
(5)尽可能的节约校园网调整、改造的投资。
校园网原出口结构和双出口解决方案结构如图1所示:
[attach]276901[/attach]
图1
从图1中可以看到,CISCOcatalyst6509交换机是我校校园网的核心交换机,ssr1是教育网的接入设备,ssr2是电信第二出口的接入设备通过在CISCOcatalyst6509交换机上配置静态路由和策略路由,保证授权的服务器和mail的所有流量都经ssr1到教育网,其它的所有流量经ssr2到电信出口。
同时,在ssr2上使用了NAT技术,使有限的电信IP地址可以满足大量校园网并发访问的需求,同时也相应提高了安全系数。
二、涉及的网络技术
第二出口方案中涉及技术有如下几种:
1、代理服务器技术
代理服务器一端接入Internet,另一端接入中心路由器,通过代理服务软件实现客户端上网。
这种方式配置简单,设备费用低廉,并且不需要大规模改变原有的设备连接和配置。
但是相对来说,由于是通过代理软件实现共享上网,访问速度容易受到影响。
2、路由选择
静态路由是在路由器中设置的固定的路由表。
除非网络管理员干预,否则静态路由不会发生变化。
由于静态路由不能对网络的改变作出反映,一般用于网络规模不大、拓扑结构固定的网络中。
静态路由的优点是简单、高效、可靠。
在所有的路由中,静态路由优先级最高。
当动态路由与静态路由发生冲突时,以静态路由为准。
这种方式对于设备的要求较高,配置相对繁琐,但是上网的路由选择与用户无关,用户的上网方式无需进行任何改动,可操作性较好。
同时,网络管理人员可以根据两个出口的带宽和流量情况,调整路由指向。
3、策略路由技术
在路由器进行包转发决策过程中,通常是根据所接受的包的目的地址进行的。
路由器根据包的目的地址查找路由表,从而作出相应的最优路由转发决策。
当欲使某些包由其他路径而不是明确的最短路径路由时,就可以启用策略路由,即按照我们具体需要来决定数据包的路由。
基于策略路由有如下几种方式,即:
基于源IP地址的策略路由;
基于数据包大小的策略路由;
基于应用的策略路由;
通过缺省路由平衡负载。
根据实际情况我们需要特定如邮件等服务器接受和发送包的路径是通过CERNET,所以选择的是基于源IP地址的策略路由。
这种方式是最佳选择,但是设备要求比较高。
在使用路由选择时,一般采用NAT——地址转换技术解决内外网地址的转换问题。
NAT就是在内部专用网络中使用内部地址,而当内部节点要与外界网络发生联系时,就在边缘路由器或者防火墙处,将内部地址替换成全局地址合法地址,从而在外部公共网上正常使用。
目前NAT功能通常被集成到路由器、防火墙等设备中。
NAT设备维护一个NAT表,用它来实现全局到本地和本地到全局地址的映射。
NAT设置可以分为静态地址转换、动态地址转换和端口地址转换。
(1)静态地址转换
静态NAT是这三种中最容易实现的一种,它在NAT表中为每一个需要转换的内部地址创建了固定的转换条目,映射了唯一的全局地址。
内部地址与全局地址一一对应。
每当内部节点与外界通信时,内部地址就会转化为对应的全局地址。
这种方式主要用于服务器,以确保外部对服务器的正确访问。
(2)动态地址转换
增加了网络管理的复杂性,但也提供了很大的灵活性。
它将可用的全局地址地址集定义成NAT池(NATPool)。
对于要与外界进行通信的内部节点,如果还没有建立转换映射,边缘路由器或者防火墙将会动态地从NAT池中选择全局地址对内部地址进行转化。
每个转换条目在连接建立时动态建立,而在连接终止时会被回收。
这样,网络的灵活性大大增强了,所需要的全局地址进一步地减少。
需要注意的是,在地址池中的可用地址被耗尽后,后续的连接请求将会失败,会造成网络连通性的问题。
所以应该使用超时操作选项来回收NAT池的全局地址。
另外,由于每次的地址转换是动态的,所以同一个节点在不同的连接中的全局地址是不同的,这会使SNMP的操作复杂化。
(3)端口地址转换
端口地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。
对只申请到少量IP地址但却经常同时有多个用户上外部网络的情况,这种转换极为有用。
三、具体配置
下面我们讨论一下CISCOcatalyst6509交换机的具体配置。
具体配置中由于涉及到网络安全机密,校园网的各个接口地址,包括校园网的地址、服务器的地址和电信的地址均由其他地址代替。
其中:
10.0.0.0/24和10.0.1.0/24表示校园网内部的地址,10.0.2.0/24表示校园网内部服务器的地址,192.168.0.0/24表示电信的地址。
Ssr2路由器的ip地址为10.0.0.254,ssr1的ip地址为10.0.1.254。
1.设置默认路由指向ssr2路由器:
iproute0.0.0.00.0.0.010.0.0.254
2.对于所有教育网的国内站点(免费流量)设置静态路由,指向ssr1路由器。
iproute61.28.0.0255.255.240.010.0.1.254
iproute61.48.0.0255.248.0.010.0.1.254
……
iproute219.216.0.0255.248.0.010.0.1.254
iproute219.232.0.0255.248.0.010.0.1.254
iproute219.242.0.0255.254.0.010.0.1.254
iproute219.244.0.0255.252.0.010.0.1.254
3.为了保证校园网中各院系的服务器流量都走教育网,需要配置策略路由。
(1)配置服务器的访问控制列表(假设服务器的地址为10.0.2.6,10.0.2.8,10.0.2.10):
access
-list110permitiphost10.0.2.6any
-list110permitiphost10.0.2.8any
-list110permitiphost10.0.2.10any
(2)配置基于所有教育网的国内站点(免费流量)的访问控制列表:
-list112permitiphost10.0.2.6any
-list112permitiphost10.0.2.8any
-list112permitiphost10.0.2.10any
-list112permitipany61.28.0.00.0.15.255
-list112permitipany61.48.0.00.7.255.255
-list112permitipany219.216.0.00.7.255.255
-list112permitipany219.232.0.00.7.255.255
-list112permitipany219.242.0.00.1.255.255
-list112permitipany219.244.0.00.3.255.255
access–list112deny
ipanyany
(3)配置策略路由,特定的服务器所有流量都经由ssr1到教育网,其它的流量经ssr2到电信出口:
route–mapserverpermit10
matchipaddress110
setipnext–hop10.0.1.254
route–maptodianxinpermit10
matchipaddress112
setipnext–hop10.0.0.254
(4)完全保证没有非授权流量从教育网流出,应当把中国教育科研网的免费地址访问控制列表(即上文中的access–list112访问控制列表)应用连接到ssr1路由器的端口。
这样,就保证了正常的路由指向。
4、进行ssr2的NAT配置。
配置ssr2路由器快速以太网接口fastethernet0/0连接6509交换机,快速以太网接口fastethernet0/1连接DDN专线,其中0/0端口为NAT内部接口,0/1端口为NAT的外部接口。
配置如下:
interfacefastethernet0/0
ipaddress10.0.0.254255.255.255.252
ipnatinside
interfacefastethernet0/1
ipaddress192.168.0.254255.255.255.252
ipnatoutside
ipnatpooldianxin192.168.0.65192.168.0.90netmask
255.255.255.224
//设置对外访问地址
iproute0.0.0.00.0.0.0192.168.0.253//配置默认路由
iproute10.0.0.0255.255.248.010.0.0.253//配置静态路由
access–list100permitip10.0.0.00.0.7.255any//指定NAT范围
ipnatinsidesourcelist100pooldianxinoverload
四、结语
通过以上配置,完成了园网的双出口方案。
但是在使用过程中,由于公众网用户仍然通过教育网访问学校主页,存在访问速度较慢的问题。
为了解决这个问题,我们做了一个教育网IP地址到电信IP地址的映射,较好的解决了这个问题。
校园网的双出口已为越来越多的学校所采纳,解决方案亦是仁者见仁、智者见智。
在确定方案的时候,应根据所选用的设备和设计要求,合理的进行设计。
升级会员 