论文部分内容阅读
摘 要:本文在总结大量网络出口模式设计方案的基础上,抽象出边界清晰的逻辑结构,提出了校园网“三层出口逻辑架构”的概念,以实现层次清晰、高扩展性、高可用性和高可靠性的网络出口。依据“三层出口逻辑架构”方法,根据实际条件,稍加改造即可以应用到各种结构的园区网的出口设计上。
关键词:网络多出口;三层出口逻辑架构;路由
中图分类号:TP393.02文献标识码:A文章编号:1673-8454(2010)07-0026-02
以园区网络出口备份和增加出口带宽为目的多出口问题,长期以来一直困扰着大型园区网的运行。尤其是应用服务较为复杂的校园网,多出口与多策略的结合需要融合多种技术,以清晰的逻辑结构加以实现。
一、三层逻辑架构的提出
对于具有一定规模的网络,其网络出口部分依照从外到内的顺序,必须完成以下功能:
①外接口功能:运营商的各种接入方式的物理接口接入;
②外路由功能:合适的路由,将网内的外网连接报文转发到相应的ISP接入端口;
③NAT功能:将内网的私网IP地址转换为公网IP地址;必要的话,对于外网访问内网服务器的数据报文,转发到服务器区域,或做地址映射;
④策略功能:必要的策略,保证合法用户的正常数据报文顺畅通行;
⑤安全功能:可能的话,阻断非法数据的传输,包括非法的端口访问、网络入侵行为的监测和阻隔;
⑥服务器路由功能:服务器与内、外网间的正确路由;
⑦服务器防护功能:服务器的安全保障,体现在基于安全考虑的包过滤;
⑧内路由功能:返回的信息能够通过正确的链路传回到用户主机。
在保证上述8点功能的情况下,对其进一步扁平化:
第一,将上述前3点合并为一点:边界路由转发模块;
第二,将上述④⑤点合并为一点:策略应用模块;
第三,将上述⑥⑦点合并为一点:信息服务模块;
第四,将上述第⑧点独立为一点:内网核心出口模块。
抽象过程如图1所示:
二、方法描述
上面已经将出口功能进行了扁平化抽象,但是为了得到更加层次分明、逻辑清晰的结构,笔者借鉴园区网建设三层结构的建模思路,将图1右半部分进一步概括为三层出口逻辑架构(如图2所示)。
1.三层出口逻辑架构
我们应用层次化结构思想,将园区网从其核心交换开始,到ISP接入,共划分为三个逻辑层面,从功能角度相互独立,从通信角度互相联系;将此结构称为“三层出口逻辑架构(TLAEL:Three Layer Logic Architecture for Export-Link)”,分别为:
(1)边界路由层(ERL:Edge Routing Layer)
负责按照ISP运营商不同接入方式的物理接口接入互联网;并选择合适的路由,将网内的外网连接报文转发到相应的ISP接入端口;将内网的私网IP地址转换为公网IP地址;必要的话,对于外网访问内网服务器的数据报文,转发到服务器区域,或者进行地址映射。同时,将由外网返回的报文选择适当的路由转发到相应的下层接口。本层设备一般是路由器,也可以防火墙、UTM等设备代替。
(2)策略应用层(PAL: Policy Application Layer)
负责使用必要的策略,保证合法用户的正常数据报文通行;可能的话,监测或阻断非法数据的传输,包括非法的端口访问、网络入侵行为的监测和阻隔;同时,负责将报文按照路由策略转发到相应的内外网和服务器端口,并保障服务器的安全,体现在基于安全考虑的包过滤。
此层为可选层,在一些结构比较简单、要求不太严密的网络中可以不加。本层设备一般由防火墙、计费网关、IPS、UTM等设备组合而成。
(3)内网核心出口层(ICEL:Inner net Core Export Layer)
根据应用需求,考虑是否需要多上联外网端口;负责将内网的用户通讯报文在内外网各端口之间进行转发;并能够将外网返回的报文通过正确的链路传回到用户主机。此层作为出口设备的起点,单指内网的网络交换核心。
2.三层出口逻辑架构的特点
(1)独立的层次特点
由于以往网络规划者往往忽略出口的设计,造成日后的出口调整导致全网络的大调整,甚至需要网络的重新集成。使用LAEL结构划分方法,能够清晰地界定不同的层次,各层次之间相互独立。只要各层之间联系接口明确,当某一层次进行调整时,对其他层次不会有大的影响。
(2)周全的功能特点
前面8点功能包含了目前出口方面需要考虑的所有功能,因此,对于网络设计只需将具有该功能的设备放置于该位置即可。对于因种种原因,没有某项功能设备的网络,只需将该功能对应的结构模块去掉即可。
(3)普适的应用特点
对于具有一定规模的网络,在设计之初,就应该按照TLAEL原则进行规划。这对于日后的网络维护和扩展极有帮助。设计者在出口部署时,在明确设备功用的前提下,将相应的设备放置到相应的结构位置即可。因此TLAEL适合于任何形式的网络出口部署。?筅
参考文献:
[1]王子荣,杨贯中,王宇科等.边界路由服务网关的分析与设计[J].计算机工程与科学.2007,29(1):19-21.
[2]蔡昭权.策略路由和动态DNS在校园网中的应用[J].计算机工程与设计.2005,26(5):1396-1398.
[3]刘海韬,黄家林.策略路由技术在多出口校园网中的应用[J].电脑与信息技术.2002(4):51-53.
[4]尚遵义,崔立军.多出口路由策略实现及相关问题研究[J].大连铁道学院学报.2004,25(3):84-86.
[5]蒋华,邱伟迪.校园网多出口服务体系设计分析[J].广西大学学报(自然科学版).2006,31(S1).
[6]张卫东.多出口环境下的Web访问技术[J].计算机应用.2003,23(7):140-142.
[7]于家鸣,朱晋宁,李志兰.多出口校园网络体系结构的研究[J].计算机工程与科学.2006,28(3).
[8]谢希仁.计算机网络[M].北京:电子工业出版社.2005:170-189.
[9]诸晔.用ACL思想系统的安全访问控制[J].计算机应用与软件.2005,22(3):111-113.
(编辑:隗爽)
关键词:网络多出口;三层出口逻辑架构;路由
中图分类号:TP393.02文献标识码:A文章编号:1673-8454(2010)07-0026-02
以园区网络出口备份和增加出口带宽为目的多出口问题,长期以来一直困扰着大型园区网的运行。尤其是应用服务较为复杂的校园网,多出口与多策略的结合需要融合多种技术,以清晰的逻辑结构加以实现。
一、三层逻辑架构的提出
对于具有一定规模的网络,其网络出口部分依照从外到内的顺序,必须完成以下功能:
①外接口功能:运营商的各种接入方式的物理接口接入;
②外路由功能:合适的路由,将网内的外网连接报文转发到相应的ISP接入端口;
③NAT功能:将内网的私网IP地址转换为公网IP地址;必要的话,对于外网访问内网服务器的数据报文,转发到服务器区域,或做地址映射;
④策略功能:必要的策略,保证合法用户的正常数据报文顺畅通行;
⑤安全功能:可能的话,阻断非法数据的传输,包括非法的端口访问、网络入侵行为的监测和阻隔;
⑥服务器路由功能:服务器与内、外网间的正确路由;
⑦服务器防护功能:服务器的安全保障,体现在基于安全考虑的包过滤;
⑧内路由功能:返回的信息能够通过正确的链路传回到用户主机。
在保证上述8点功能的情况下,对其进一步扁平化:
第一,将上述前3点合并为一点:边界路由转发模块;
第二,将上述④⑤点合并为一点:策略应用模块;
第三,将上述⑥⑦点合并为一点:信息服务模块;
第四,将上述第⑧点独立为一点:内网核心出口模块。
抽象过程如图1所示:
二、方法描述
上面已经将出口功能进行了扁平化抽象,但是为了得到更加层次分明、逻辑清晰的结构,笔者借鉴园区网建设三层结构的建模思路,将图1右半部分进一步概括为三层出口逻辑架构(如图2所示)。
1.三层出口逻辑架构
我们应用层次化结构思想,将园区网从其核心交换开始,到ISP接入,共划分为三个逻辑层面,从功能角度相互独立,从通信角度互相联系;将此结构称为“三层出口逻辑架构(TLAEL:Three Layer Logic Architecture for Export-Link)”,分别为:
(1)边界路由层(ERL:Edge Routing Layer)
负责按照ISP运营商不同接入方式的物理接口接入互联网;并选择合适的路由,将网内的外网连接报文转发到相应的ISP接入端口;将内网的私网IP地址转换为公网IP地址;必要的话,对于外网访问内网服务器的数据报文,转发到服务器区域,或者进行地址映射。同时,将由外网返回的报文选择适当的路由转发到相应的下层接口。本层设备一般是路由器,也可以防火墙、UTM等设备代替。
(2)策略应用层(PAL: Policy Application Layer)
负责使用必要的策略,保证合法用户的正常数据报文通行;可能的话,监测或阻断非法数据的传输,包括非法的端口访问、网络入侵行为的监测和阻隔;同时,负责将报文按照路由策略转发到相应的内外网和服务器端口,并保障服务器的安全,体现在基于安全考虑的包过滤。
此层为可选层,在一些结构比较简单、要求不太严密的网络中可以不加。本层设备一般由防火墙、计费网关、IPS、UTM等设备组合而成。
(3)内网核心出口层(ICEL:Inner net Core Export Layer)
根据应用需求,考虑是否需要多上联外网端口;负责将内网的用户通讯报文在内外网各端口之间进行转发;并能够将外网返回的报文通过正确的链路传回到用户主机。此层作为出口设备的起点,单指内网的网络交换核心。
2.三层出口逻辑架构的特点
(1)独立的层次特点
由于以往网络规划者往往忽略出口的设计,造成日后的出口调整导致全网络的大调整,甚至需要网络的重新集成。使用LAEL结构划分方法,能够清晰地界定不同的层次,各层次之间相互独立。只要各层之间联系接口明确,当某一层次进行调整时,对其他层次不会有大的影响。
(2)周全的功能特点
前面8点功能包含了目前出口方面需要考虑的所有功能,因此,对于网络设计只需将具有该功能的设备放置于该位置即可。对于因种种原因,没有某项功能设备的网络,只需将该功能对应的结构模块去掉即可。
(3)普适的应用特点
对于具有一定规模的网络,在设计之初,就应该按照TLAEL原则进行规划。这对于日后的网络维护和扩展极有帮助。设计者在出口部署时,在明确设备功用的前提下,将相应的设备放置到相应的结构位置即可。因此TLAEL适合于任何形式的网络出口部署。?筅
参考文献:
[1]王子荣,杨贯中,王宇科等.边界路由服务网关的分析与设计[J].计算机工程与科学.2007,29(1):19-21.
[2]蔡昭权.策略路由和动态DNS在校园网中的应用[J].计算机工程与设计.2005,26(5):1396-1398.
[3]刘海韬,黄家林.策略路由技术在多出口校园网中的应用[J].电脑与信息技术.2002(4):51-53.
[4]尚遵义,崔立军.多出口路由策略实现及相关问题研究[J].大连铁道学院学报.2004,25(3):84-86.
[5]蒋华,邱伟迪.校园网多出口服务体系设计分析[J].广西大学学报(自然科学版).2006,31(S1).
[6]张卫东.多出口环境下的Web访问技术[J].计算机应用.2003,23(7):140-142.
[7]于家鸣,朱晋宁,李志兰.多出口校园网络体系结构的研究[J].计算机工程与科学.2006,28(3).
[8]谢希仁.计算机网络[M].北京:电子工业出版社.2005:170-189.
[9]诸晔.用ACL思想系统的安全访问控制[J].计算机应用与软件.2005,22(3):111-113.
(编辑:隗爽)