论文部分内容阅读
【摘 要】提出了多出口校园网环境下路由器的多种配置,即地址转换、默认路由、静态路由、策略路由。旨在合理利用现有CERNET网络及当地多个ISP提供的网络出口,提高校园网的出口带宽和利用率,优化了网络配置。
【关键词】校园网络;ISP;设计与实现
0.引言
目前国内大多数非省会城市高校普遍采用多出口方式实现其高速对外访问,即一个通过中国教育科研网(CERNET)的低带宽出口(地址列表可以参考地址:http://www.cemic.net)和另一个或多个通过本地电信运营商的高带宽出口,由于电信ISP和铁通ISP(internet service provider网络服务商)具有较高的接入带宽且接入费用较低,可以极大的提高校园网网络出口带宽,于是我院选择电信和铁通作为第二、第三网络出口,以达到既使用教育科研网的IP地址和域名解析,又能够实现校内用户通过ISP运营商访问外部资源和校外用户高速访问学校的www等服务器的目的。
1.校园网络出口现状分析
在校园网中使用两个或多个网络出口后,一般会有如下需求:
(1)在有限的本地ISP服务商提供的几个合法公网IP地址情况下,不对任何客户端做任何修改,就能使所有用户正常访问外网,使得校园网能够正常工作。
(2)要求校园网客户端用户访问CERNET的免费地址时,客户端网络出口能够自动选择为CERNET;而访问其他网站(非CERNET站点)时,走当地ISP提供的网络出口。
(3)要求校外的用户通过网络服务商能够快速访问校园网的Web、教务管理系统、Mail、DNS等服务器,即要求相关服务器使用ISP提供的合法IP地址。
2.目前我院网络设备主要有
一台华为NE20-4路由器、一台清华得实NetST防火墙、一台华三S9508核心交换机及若干台H3CE352(48口)和H3CE328(24口)以太网交换机。
校园网络结构图如下:
保山学院校园网拓扑图
综合以上需求,要求校园网的核心网络设备必须能够根据客户端源、目的IP地址或其它要求进行最合理的路由策略,来选用合适的网络出口。
分析多ISP出口的学校网络需求,发现在路由器上利用NAT技术和策略路由是最简单而有效的方法。
3.路由器配置
3.1 NAT技术分类[1]
静态NAT(Static NAT),静态地址转换是最简单的一种转换方式,它在NAT表中为本地地址和全局地址之间建立一个固定的一对一的映射。内部网络中的每个主机都被永久映射成外部网络中的某个合法地址。这种方式主要用于服务器,以确保外部对该服务器的正确访问。
动态NAT(Pooled NAT),动态地址转换则是在外部网络中定义了一系列的合法地址,其中的地址每次都会被动态地分配给内部主机,采用动态分配的方法映射到内部网络。
端口级NAT(Port Address Translation),这种技术也称为网络地址端口转换NAPT,它是把内部地址映射到外部网络中的一个单独的IP地址上,同时在该地址上加一个由NAT设备选定的TCP端口号。即将内部地址映射到外部网络IP地址的不同端口上。
3.2 NAT的设置方法[2]
3.2.1静态地址转换基本配置步骤
(1)在内部本地地址与内部合法地址之间建立静态地址转换。
命令格式为:ip nat inside source static内部本地地址 内部合法地址
(2)指定连接网络的内部端口。
命令格式为:ip nat inside
(3)指定连接外部网络的外部端口。
命令格式为:ip nat outside
3.2.2动态地址转换基本配置步骤
(1)定义内部合法地址池。
命令格式为:ip nat pool地址池名称起始IP地址 终止IP地址子网掩码
(2)定义一个标准的access—list规则以允许哪些内部地址可以进行动态地址转换。
命令格式为:auccess—list标号permit源地址通配符(其中标号为整数l-99)
(3)将由access—list指定的内部本地地址与指定的内部合法地址池进行地址转换。
命令格式为:ip nat inside source访问列表标号pool内部合法地址池名字
(4)指定与内部网络相连的内部端口。
命令格式为:ip nat inside
(5)指定与外部网络相连的外部端口。
命令格式为:ip nat outside
3.2.3端口地址转换基本配置步骤
(1)定义内部地址池。
命令格式为:ip nat pool地址池名称起始IP地址 终止IP地址子网掩码
(2)定义一个标准的access—list规则以允许哪些内部本地地址可以进行地址转换。
命令格式为:access—list标号permit源地址通配符(其中标号为整数1-99)
(3)设置在内部的本地地址与内部合法IP地址间建立端口地址转换。
命令格式为:ip nat inside source list访问列表标号pool内部合法地址池名字overload
(4)指定与内部网络相连的内部端口。
命令格式为:ip nat inside
(5)指定与外部网络相连的外部端口。
命令格式为:ip nat outside 3.3策略路由技术[3]
众所周知,在路由器进行包转发决策过程中,通常是根据所接受的包的目的地址进行的。路由器根据包的目的地址查找路由表,从而作出相应的路由转发决策。然而,有时我们需要按照自己的规则来进行数据包的路由,并有可能不按照包的目的地址来决定数据包的路由,这就是路由的策略问题。基于策略的路由通常有以下几种方式:
(1)基于源IP地址的策略路由。
(2)基于数据包大小的策略路由。
(3)基于应用的策略路由。
(4)通过缺省路由平衡负载。
在校园网应用中,根据CERNET和其它ISP各自提供资源的不同,同时结合学校本身的实际需求,可以利用策略路由技术中基于源地址的策略路由技术。可以在校园网的核心路由器上采用策略路由。
4.华为NE20路由器地址转换、默认路由、静态路由、策略路由
(以下命令均以华为NE20路由器为例)
地址转换1:
nataddress-group3112.113.159.43112.113.159.43mask 255.255.255.255
nataddress-group4112.113.159.67112.113.159.70mask 255.255.255.0
//电信NAT地址转换池,负责教职工上网
acl number 2000
rule5permit source 10.1.11.0 0.0.0.255//教职工上网网段
rule6permit source 10.1.12.0 0.0.0.255//教职工上网网段
rule7permit source 10.1.13.0 0.0.0.255//教职工上网网段
rule8permit source 10.1.14.0 0.0.0.255//教职工上网网段
rule9permit source 10.1.15.0 0.0.0.255//教职工上网网段
rule10permit source 10.1.16.0 0.0.0.255//服务器内网IP地址
rule1024deny
interface Ethernet2/0/1//电信出口
ip address 112.113.159.43 255.255.255.0
nat outbound 2000 address-group 4
nat server protocol tcp global112.113.159.43inside10.1.18.2 80 2000 address-group3//WEB服务器端口映射
通过上述命令在NE20路由器上将ACL2000访问控制列表里的内网教职工用户网段通过NAT转换后成为电信公网IP112.11.159.67-112.113.159.70这4个IP地址,通过电信出口上网。
地址转换2:
nat address-group2 222.56.127.134 222.56.127.138 mask 255.255.255.240
//铁通NAT地址转换池,负责学生上网
acl number 2011
rule 10 permit source 10.1.19. 0 0.0.0.255
rule 11 permit source 10.1.20. 0 0.0.0.255
rule 1024 deny
interface Ethernet0/0/0 //铁通出口
ip address 222.56.127.131 255.255.255.240 nat outbound 2000 address-group 2
traffic classifier class2//定义一个类,用来匹配ACL2011规则的流
if-match acl 2011
traffic behavior behavior2//定义流行为,匹配特定的流
remark ip-nexthop 222.56.127.129 Ethernet0/0/0 112.113.159.1 Ethernet2/0/1
traffic policy policy2//定义策略路由
classifier class2 behavior behavior2
interface Ethernet2/0/0//内网口
ip address 172.16.11.1 255.255.255.0
traffic-policy policy2 inbound //在内网口创建一个基于源地址的策略路由
通过上述命令在NE20路由器上将acl2011访问控制列表里的内网学生用户网段通过NAT转换后成为公网IP 222.56.127.134-222.56.127.138并且通过策略路由选择铁通出口。
地址转换3:
nat address-group 5 222.197.242.1 222.197.242.62 mask 255.255.255.0
interface Ethernet0/0/1 //CERNET出口
ip address 202.203.131.186 255.255.255.252
nat outbound 2000 address-group 5 通过上述命令在NE20路由器上将ACL2000访问控制列表里的内网教职工用户通过NAT转换后成为CERNET IP222.197.242.1- 222.197.242.62的IP地址,通过CERNET出口上网。
ip route-static 0.0.0.0 0.0.0.0 112.113.159.1 preference 60 //缺省路由是电信出口
ip route-static 0.0.0.0 0.0.0.0 222.56.127.129 preference 65
ip route-static 1.51.0.0 255.255.0.0 202.203.131.185
ip route-static 1.184.0.0 255.254.0.0 202.203.131.185
//教育网地址段的路由是CERNET出口
//路由器上的优先规则是:策略路由大于静态路由大于默认路由
5.结束语
结合NAT技术、默认路由、静态路由、策略路由技术,发现能够使校园网发挥最大的资源优势,具体表现在以下几方面:
(1)网络访问速度明显提高。由于电信运营商给我院提供了较高的出口带宽,通过策略路由后,内网教职工用户访问互联网都通过本地电信出口,而访问CERNET定义的免费站点则通过CERNET出口,对校园网而言,有效的实现了网络负载均衡。通过策略路由,实现了教职工出口和学生出口分离。杜绝了学生无限制使用网络抢占教职工流量的问题。
(2)学校WEB服务器通过在路由器上做端口映射后,对于外网用户隐藏了真实IP地址,同时在防火墙上制定相应的安全策略,有效地增强了服务器的安全性。而对于内网用户,可以直接通过内网访问服务器,节省了出口带宽。
【参考文献】
[1]易正强.NAT技术及其在校园网中的应用[J].五邑大学学报(自然科学版),2006(4):53-56.
[2]孙祥春.路由器网络地址转换NAT的配置[J].电脑知识与技术,2005(6):32-34.
[3]汪刚.多出口园网路由技术的实现[J].南京工业职业技术学院学报,2004,4(4):19.
【关键词】校园网络;ISP;设计与实现
0.引言
目前国内大多数非省会城市高校普遍采用多出口方式实现其高速对外访问,即一个通过中国教育科研网(CERNET)的低带宽出口(地址列表可以参考地址:http://www.cemic.net)和另一个或多个通过本地电信运营商的高带宽出口,由于电信ISP和铁通ISP(internet service provider网络服务商)具有较高的接入带宽且接入费用较低,可以极大的提高校园网网络出口带宽,于是我院选择电信和铁通作为第二、第三网络出口,以达到既使用教育科研网的IP地址和域名解析,又能够实现校内用户通过ISP运营商访问外部资源和校外用户高速访问学校的www等服务器的目的。
1.校园网络出口现状分析
在校园网中使用两个或多个网络出口后,一般会有如下需求:
(1)在有限的本地ISP服务商提供的几个合法公网IP地址情况下,不对任何客户端做任何修改,就能使所有用户正常访问外网,使得校园网能够正常工作。
(2)要求校园网客户端用户访问CERNET的免费地址时,客户端网络出口能够自动选择为CERNET;而访问其他网站(非CERNET站点)时,走当地ISP提供的网络出口。
(3)要求校外的用户通过网络服务商能够快速访问校园网的Web、教务管理系统、Mail、DNS等服务器,即要求相关服务器使用ISP提供的合法IP地址。
2.目前我院网络设备主要有
一台华为NE20-4路由器、一台清华得实NetST防火墙、一台华三S9508核心交换机及若干台H3CE352(48口)和H3CE328(24口)以太网交换机。
校园网络结构图如下:
保山学院校园网拓扑图
综合以上需求,要求校园网的核心网络设备必须能够根据客户端源、目的IP地址或其它要求进行最合理的路由策略,来选用合适的网络出口。
分析多ISP出口的学校网络需求,发现在路由器上利用NAT技术和策略路由是最简单而有效的方法。
3.路由器配置
3.1 NAT技术分类[1]
静态NAT(Static NAT),静态地址转换是最简单的一种转换方式,它在NAT表中为本地地址和全局地址之间建立一个固定的一对一的映射。内部网络中的每个主机都被永久映射成外部网络中的某个合法地址。这种方式主要用于服务器,以确保外部对该服务器的正确访问。
动态NAT(Pooled NAT),动态地址转换则是在外部网络中定义了一系列的合法地址,其中的地址每次都会被动态地分配给内部主机,采用动态分配的方法映射到内部网络。
端口级NAT(Port Address Translation),这种技术也称为网络地址端口转换NAPT,它是把内部地址映射到外部网络中的一个单独的IP地址上,同时在该地址上加一个由NAT设备选定的TCP端口号。即将内部地址映射到外部网络IP地址的不同端口上。
3.2 NAT的设置方法[2]
3.2.1静态地址转换基本配置步骤
(1)在内部本地地址与内部合法地址之间建立静态地址转换。
命令格式为:ip nat inside source static内部本地地址 内部合法地址
(2)指定连接网络的内部端口。
命令格式为:ip nat inside
(3)指定连接外部网络的外部端口。
命令格式为:ip nat outside
3.2.2动态地址转换基本配置步骤
(1)定义内部合法地址池。
命令格式为:ip nat pool地址池名称起始IP地址 终止IP地址子网掩码
(2)定义一个标准的access—list规则以允许哪些内部地址可以进行动态地址转换。
命令格式为:auccess—list标号permit源地址通配符(其中标号为整数l-99)
(3)将由access—list指定的内部本地地址与指定的内部合法地址池进行地址转换。
命令格式为:ip nat inside source访问列表标号pool内部合法地址池名字
(4)指定与内部网络相连的内部端口。
命令格式为:ip nat inside
(5)指定与外部网络相连的外部端口。
命令格式为:ip nat outside
3.2.3端口地址转换基本配置步骤
(1)定义内部地址池。
命令格式为:ip nat pool地址池名称起始IP地址 终止IP地址子网掩码
(2)定义一个标准的access—list规则以允许哪些内部本地地址可以进行地址转换。
命令格式为:access—list标号permit源地址通配符(其中标号为整数1-99)
(3)设置在内部的本地地址与内部合法IP地址间建立端口地址转换。
命令格式为:ip nat inside source list访问列表标号pool内部合法地址池名字overload
(4)指定与内部网络相连的内部端口。
命令格式为:ip nat inside
(5)指定与外部网络相连的外部端口。
命令格式为:ip nat outside 3.3策略路由技术[3]
众所周知,在路由器进行包转发决策过程中,通常是根据所接受的包的目的地址进行的。路由器根据包的目的地址查找路由表,从而作出相应的路由转发决策。然而,有时我们需要按照自己的规则来进行数据包的路由,并有可能不按照包的目的地址来决定数据包的路由,这就是路由的策略问题。基于策略的路由通常有以下几种方式:
(1)基于源IP地址的策略路由。
(2)基于数据包大小的策略路由。
(3)基于应用的策略路由。
(4)通过缺省路由平衡负载。
在校园网应用中,根据CERNET和其它ISP各自提供资源的不同,同时结合学校本身的实际需求,可以利用策略路由技术中基于源地址的策略路由技术。可以在校园网的核心路由器上采用策略路由。
4.华为NE20路由器地址转换、默认路由、静态路由、策略路由
(以下命令均以华为NE20路由器为例)
地址转换1:
nataddress-group3112.113.159.43112.113.159.43mask 255.255.255.255
nataddress-group4112.113.159.67112.113.159.70mask 255.255.255.0
//电信NAT地址转换池,负责教职工上网
acl number 2000
rule5permit source 10.1.11.0 0.0.0.255//教职工上网网段
rule6permit source 10.1.12.0 0.0.0.255//教职工上网网段
rule7permit source 10.1.13.0 0.0.0.255//教职工上网网段
rule8permit source 10.1.14.0 0.0.0.255//教职工上网网段
rule9permit source 10.1.15.0 0.0.0.255//教职工上网网段
rule10permit source 10.1.16.0 0.0.0.255//服务器内网IP地址
rule1024deny
interface Ethernet2/0/1//电信出口
ip address 112.113.159.43 255.255.255.0
nat outbound 2000 address-group 4
nat server protocol tcp global112.113.159.43inside10.1.18.2 80 2000 address-group3//WEB服务器端口映射
通过上述命令在NE20路由器上将ACL2000访问控制列表里的内网教职工用户网段通过NAT转换后成为电信公网IP112.11.159.67-112.113.159.70这4个IP地址,通过电信出口上网。
地址转换2:
nat address-group2 222.56.127.134 222.56.127.138 mask 255.255.255.240
//铁通NAT地址转换池,负责学生上网
acl number 2011
rule 10 permit source 10.1.19. 0 0.0.0.255
rule 11 permit source 10.1.20. 0 0.0.0.255
rule 1024 deny
interface Ethernet0/0/0 //铁通出口
ip address 222.56.127.131 255.255.255.240 nat outbound 2000 address-group 2
traffic classifier class2//定义一个类,用来匹配ACL2011规则的流
if-match acl 2011
traffic behavior behavior2//定义流行为,匹配特定的流
remark ip-nexthop 222.56.127.129 Ethernet0/0/0 112.113.159.1 Ethernet2/0/1
traffic policy policy2//定义策略路由
classifier class2 behavior behavior2
interface Ethernet2/0/0//内网口
ip address 172.16.11.1 255.255.255.0
traffic-policy policy2 inbound //在内网口创建一个基于源地址的策略路由
通过上述命令在NE20路由器上将acl2011访问控制列表里的内网学生用户网段通过NAT转换后成为公网IP 222.56.127.134-222.56.127.138并且通过策略路由选择铁通出口。
地址转换3:
nat address-group 5 222.197.242.1 222.197.242.62 mask 255.255.255.0
interface Ethernet0/0/1 //CERNET出口
ip address 202.203.131.186 255.255.255.252
nat outbound 2000 address-group 5 通过上述命令在NE20路由器上将ACL2000访问控制列表里的内网教职工用户通过NAT转换后成为CERNET IP222.197.242.1- 222.197.242.62的IP地址,通过CERNET出口上网。
ip route-static 0.0.0.0 0.0.0.0 112.113.159.1 preference 60 //缺省路由是电信出口
ip route-static 0.0.0.0 0.0.0.0 222.56.127.129 preference 65
ip route-static 1.51.0.0 255.255.0.0 202.203.131.185
ip route-static 1.184.0.0 255.254.0.0 202.203.131.185
//教育网地址段的路由是CERNET出口
//路由器上的优先规则是:策略路由大于静态路由大于默认路由
5.结束语
结合NAT技术、默认路由、静态路由、策略路由技术,发现能够使校园网发挥最大的资源优势,具体表现在以下几方面:
(1)网络访问速度明显提高。由于电信运营商给我院提供了较高的出口带宽,通过策略路由后,内网教职工用户访问互联网都通过本地电信出口,而访问CERNET定义的免费站点则通过CERNET出口,对校园网而言,有效的实现了网络负载均衡。通过策略路由,实现了教职工出口和学生出口分离。杜绝了学生无限制使用网络抢占教职工流量的问题。
(2)学校WEB服务器通过在路由器上做端口映射后,对于外网用户隐藏了真实IP地址,同时在防火墙上制定相应的安全策略,有效地增强了服务器的安全性。而对于内网用户,可以直接通过内网访问服务器,节省了出口带宽。
【参考文献】
[1]易正强.NAT技术及其在校园网中的应用[J].五邑大学学报(自然科学版),2006(4):53-56.
[2]孙祥春.路由器网络地址转换NAT的配置[J].电脑知识与技术,2005(6):32-34.
[3]汪刚.多出口园网路由技术的实现[J].南京工业职业技术学院学报,2004,4(4):19.