论文部分内容阅读
摘 要: 分析了目前高校多出口网络环境下存在的诸多问题,提出了适合青岛职业技术学院现状的解决方案,即利用DNS view功能实现按源请求地址返回服务器不同IP地址,并配合防火墙路由策略较好地解决了校外用户快速访问校内资源,以及校内用户快速访问互联网的问题。
关键词: 多出口环境; 路由策略; DNS VIEW; 校园网
中图分类号:TP393.07 文献标志码:A 文章编号:1006-8228(2014)03-11-02
0 引言
目前,国内高校在信息化建设方面有了较大的进步,校园网为校园各项应用提供了有效支撑,万兆骨干网络已成为各高校校园网的基本建设要求。师生在校园内部访问校内资源十分快捷;然而,校内用户访问校外资源或校外用户访问校内资源却严重受制于目前国内运营商网络的互联互通的瓶颈。为此,各高校基本上都引入了多个网络出口,至少也有两个。以青岛职业技术学院为例,已有中国教育网、中国电信、中国联通、中国移动四条出口链路。而对于如何有效利用多条链路为师生员工与校外用户提供网络服务,各高校走出了不同的实践之路。作者在总结、借鉴其他高校经验基础上,根据学院实际进行了研究和探索,提出了一个整体解决方案。
1 校园网络概况及多出口环境下存在的问题
1.1 校园网概况
青岛职业技术学院校园网采用典型的三层结构模型:核心、汇聚、接入,各层之间链接以千兆链路为主。因网络结构清晰且变动较少,故在各层间采用静态路由方式。出口设备采JUNIPER netscreen isg2000防火墙,连接教育网100Mbps链路、中国电信100Mbps链路、中国联通100Mbps链路、中国移动1Gbps链路。并在防火墙上做NAT进行地址转换,同时防火墙还承担出口路由策略设置和内网的基本安全防护。
在IP地址划分上,对外公共服务器,如网站、邮件系统等分配的是中国教育科研网地址,校园内部应用服务器因安全考虑则分配私有地址。办公用户地址是以中国教育网分配的公有地址为主;因为受到分配的公有地址数量限制,所以电子阅览室、学生公寓及校园无线网络均采用私有地址。
1.2 多出口校园网环境存在的问题
在多出口校园网络环境下,面对学院对外开放教育资源服务及校内用户不同的对外访问需求,通过梳理,可总结归纳为以下两大问题。
⑴ 校内用户如何快捷、高效地访问互联网资源。校园网多条出口链路带宽不同,提供的服务也有区别,如何选择合适的路由提供优质网络服务是解决问题的关键。
⑵ 因对外公共服务器使用教育网地址,校外用户在访问这些服务器资源时就会通过教育网链路访问。但如果校外用户使用的是中国联通等非教育科研网络,则通常会存在资源响应时间过长、甚至无法观看教学视频等问题。
2 校内用户访问互联网
校园网作为互联网络的边界接入点,要解决校内用户访问互联网路由选择问题,可以根据所访问的服务器地址属于哪个运营商在防火墙上配置相应的路由策略[1]。这样,一方面可以分散各出口链路上的网络流量,另一方面也可实现就近访问,在一定程度上提高了网络访问速度。以下给出具体实施过程。
⑴ 从亚太互联网信息中心(apnic)获取各电信运营商的IP地址分配情况。
从apnic的ftp站点下载获取IP分配信息的工具ripe-dbase-
client-v3.tar.gz,并在liunx下安装,可通过该工具提供的命令获取各运营商的IP地址分配信息。以中国电信为例:
./whois3 -h whois.apnic.net -l -imb MAINT-CHINANET > /var/
chinanet
从chinanet文件中可整理出apnic分配给中国电信的IP地址段。
⑵ 根据获取的IP地址段信息,在防火墙上配置静态路由[2]。从而依据目的IP地址属于哪个运营商便从相应链路访问互联网。配置命令如下:
set route 202.106.0.0/16 interface ethernet3/2
gateway 123.234.130.145[3]
set route 202.107.0.0/17 interface ethernet3/2
gateway 123.234.130.145
set route 202.108.0.0/16 interface ethernet3/2
gateway 123.234.130.145
…
对于运营商新增的未及时更新的IP地址段及其他国家或地区的地址段,可采用默认路由方式指定访问链路。如:
set route 0.0.0.0/0 interface ethernet3/2
gateway 123.234.130.145
然而对于某些地址段,采用默认路由方式访问并不是最佳选择,可根据特殊需求,调整路由策略,以便为用户提供最优的访问体验。
⑶ 对于像电子邮件系统等那些采用源地址验证的应用和学生公寓、电子阅览室等大流量用户群,只允许从特定链路访问互联网,可采用源地址路由策略。配置命令如下:
set route source 222.195.192.8/32 interface
ethernet1/2 gateway 172.18.1.5
set route source 10.100.11.0/24 interface
ethernet1/2 gateway 172.18.1.5 set route source 10.10.0.0/16 interface ethernet4/2
gateway 111.17.223.33
…
然而,运营商IP地址段不断变化,这就需要及时从apnic更新信息,并在防火墙上定期调整配置,从而保证路由策略的有效性。
3 校外用户访问校内资源
校外用户访问校内资源如果只走教育网链路,显然无法满足需求。较好的解决办法是,校外用户属于哪个电信运营商就从该运营商链路访问校内资源。这样,不仅可以缓解教育网链路压力,同时也可实现就近访问。以下为具体实施过程。
⑴ 向链路所属电信运营商申请开放资源端口,特别是Web应用,必须向运营商备案开通80端口。如,精品课程网站2009jpkc.qtc.eu.cn需向中国教育网、中国电信、中国联通等各个运营商备案登记,如表1所示。
表1 精品课程网站对应各运营商IP地址及端口号
[电信运营商\&IP地址\&端口号\&中国教育网\&222.195.192.18\&80\&中国电信\&222.173.92.61\&80\&中国联通\&123.234.130.148\&80\&]
⑵ 在防火墙上配置IP地址映射(VIP)或端口映射(MIP)[4],实现将用户从校外访问的运营商IP地址转换成校内服务器上配置的教育网IP地址。如,中国电信用户从电信链路访问精品课程网站电信IP地址:222.173.92.61,则在防火墙上转换为服务器上实际配置的教育网IP地址:222.195.192.18。配置命令如下:
set interface "ethernet2/2" mip 222.173.92.61 host
222.195.192.18 netmask 255.255.255.255 vr "trust-vr"
⑶ 为能够给使用不同运营商网络的校外用户访问服务器时返回对应运营商所属的IP地址,需要在DNS上进行相应配置。以Linux系统下常用的DNS配置软件bind[5]为例:
① 根据apnic获得的各运营商IP地址段,创建相应的运营商IP地址段文件,如中国联通ip.cncnet:
acl "CNCNET"{ 1.24.0.0/13; 1.56.0.0/13; 1.188.0.0/14; … };
② 在name.conf文件中引入各运营商IP地址段文件,为不同运营商IP地址段创建相应的VIEW,并在VIEW中为同一个域名qtc.edu.cn创建不同的IP地址解析文件。
以中国联通IP地址段为例:
#include “ip.cncnet”
view "CNCNET"
{
match-clients { CNCNET; };
zone "qtc.edu.cn" in {
type master;
file "qtc.edu.cn.cncnet";
};
③ 在IP地址解析文件中,为各域名指定在运营商备案的IP地址,从而实现该运营商用户访问DNS时返回对应的IP地址。以下为qtc.edu.cn.cncnet文件部分内容:
$TTL 86400;
@ SOA dns1.qtc.edu.cn. root.dns1.qtc.edu.cn. (
2012070200 ; serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
7200 ) ; Minimum
IN NS dns1.qtc.edu.cn.
2009jpkc IN A 123.234.130.149
…
通过实施上述措施,校外用户访问校内资源时,首先通过DNS获取校内资源的IP地址,该地址属于用户上网的电信运营商。这样,用户仅仅在解析校内资源IP地址时走教育网链路,当实际访问资源时则根据配置的路由策略完全走相应电信运营商的链路,极大地提高了资源访问速度。
4 结束语
该解决方案已部署应用多年,较好地满足了青岛职业技术学院校园网内外用户对各种资源的访问需求。特别是在不多增加校园网设备,不多增加资金投入的情况下,该方案不失为一种有效的解决高校多出口网络环境下资源访问的方案。必须注意的是,该方案需要定期更新路由策略中的目的路由IP地址段和DNS中的IP地址段文件,并使之保持一致,才能确保该方案的有效性。
参考文献:
[1] 黄敏,张卫东.基于策略路由的网络设计与实践[J].计算机应用,
2002.22(5):72-73
[2] 肖捷.静态路由选择配置方案的设计[J].计算机工程,2000.26(8):
141-143
[3] Juniper Networks,Inc.http://www.juniper.net,2013.12.
[4] 禹龙,田生伟.网络地址转换(NAT)技术及其在校园网中的应用[J].计
算机工程,2004.30(6):192-194
[5] Internet Systems Consortium, Inc. https://kb.isc.org/article/
AA-0084 5/116/BIND-9.9-Administrator-Reference-Manual-
ARM.html,2013.12.
关键词: 多出口环境; 路由策略; DNS VIEW; 校园网
中图分类号:TP393.07 文献标志码:A 文章编号:1006-8228(2014)03-11-02
0 引言
目前,国内高校在信息化建设方面有了较大的进步,校园网为校园各项应用提供了有效支撑,万兆骨干网络已成为各高校校园网的基本建设要求。师生在校园内部访问校内资源十分快捷;然而,校内用户访问校外资源或校外用户访问校内资源却严重受制于目前国内运营商网络的互联互通的瓶颈。为此,各高校基本上都引入了多个网络出口,至少也有两个。以青岛职业技术学院为例,已有中国教育网、中国电信、中国联通、中国移动四条出口链路。而对于如何有效利用多条链路为师生员工与校外用户提供网络服务,各高校走出了不同的实践之路。作者在总结、借鉴其他高校经验基础上,根据学院实际进行了研究和探索,提出了一个整体解决方案。
1 校园网络概况及多出口环境下存在的问题
1.1 校园网概况
青岛职业技术学院校园网采用典型的三层结构模型:核心、汇聚、接入,各层之间链接以千兆链路为主。因网络结构清晰且变动较少,故在各层间采用静态路由方式。出口设备采JUNIPER netscreen isg2000防火墙,连接教育网100Mbps链路、中国电信100Mbps链路、中国联通100Mbps链路、中国移动1Gbps链路。并在防火墙上做NAT进行地址转换,同时防火墙还承担出口路由策略设置和内网的基本安全防护。
在IP地址划分上,对外公共服务器,如网站、邮件系统等分配的是中国教育科研网地址,校园内部应用服务器因安全考虑则分配私有地址。办公用户地址是以中国教育网分配的公有地址为主;因为受到分配的公有地址数量限制,所以电子阅览室、学生公寓及校园无线网络均采用私有地址。
1.2 多出口校园网环境存在的问题
在多出口校园网络环境下,面对学院对外开放教育资源服务及校内用户不同的对外访问需求,通过梳理,可总结归纳为以下两大问题。
⑴ 校内用户如何快捷、高效地访问互联网资源。校园网多条出口链路带宽不同,提供的服务也有区别,如何选择合适的路由提供优质网络服务是解决问题的关键。
⑵ 因对外公共服务器使用教育网地址,校外用户在访问这些服务器资源时就会通过教育网链路访问。但如果校外用户使用的是中国联通等非教育科研网络,则通常会存在资源响应时间过长、甚至无法观看教学视频等问题。
2 校内用户访问互联网
校园网作为互联网络的边界接入点,要解决校内用户访问互联网路由选择问题,可以根据所访问的服务器地址属于哪个运营商在防火墙上配置相应的路由策略[1]。这样,一方面可以分散各出口链路上的网络流量,另一方面也可实现就近访问,在一定程度上提高了网络访问速度。以下给出具体实施过程。
⑴ 从亚太互联网信息中心(apnic)获取各电信运营商的IP地址分配情况。
从apnic的ftp站点下载获取IP分配信息的工具ripe-dbase-
client-v3.tar.gz,并在liunx下安装,可通过该工具提供的命令获取各运营商的IP地址分配信息。以中国电信为例:
./whois3 -h whois.apnic.net -l -imb MAINT-CHINANET > /var/
chinanet
从chinanet文件中可整理出apnic分配给中国电信的IP地址段。
⑵ 根据获取的IP地址段信息,在防火墙上配置静态路由[2]。从而依据目的IP地址属于哪个运营商便从相应链路访问互联网。配置命令如下:
set route 202.106.0.0/16 interface ethernet3/2
gateway 123.234.130.145[3]
set route 202.107.0.0/17 interface ethernet3/2
gateway 123.234.130.145
set route 202.108.0.0/16 interface ethernet3/2
gateway 123.234.130.145
…
对于运营商新增的未及时更新的IP地址段及其他国家或地区的地址段,可采用默认路由方式指定访问链路。如:
set route 0.0.0.0/0 interface ethernet3/2
gateway 123.234.130.145
然而对于某些地址段,采用默认路由方式访问并不是最佳选择,可根据特殊需求,调整路由策略,以便为用户提供最优的访问体验。
⑶ 对于像电子邮件系统等那些采用源地址验证的应用和学生公寓、电子阅览室等大流量用户群,只允许从特定链路访问互联网,可采用源地址路由策略。配置命令如下:
set route source 222.195.192.8/32 interface
ethernet1/2 gateway 172.18.1.5
set route source 10.100.11.0/24 interface
ethernet1/2 gateway 172.18.1.5 set route source 10.10.0.0/16 interface ethernet4/2
gateway 111.17.223.33
…
然而,运营商IP地址段不断变化,这就需要及时从apnic更新信息,并在防火墙上定期调整配置,从而保证路由策略的有效性。
3 校外用户访问校内资源
校外用户访问校内资源如果只走教育网链路,显然无法满足需求。较好的解决办法是,校外用户属于哪个电信运营商就从该运营商链路访问校内资源。这样,不仅可以缓解教育网链路压力,同时也可实现就近访问。以下为具体实施过程。
⑴ 向链路所属电信运营商申请开放资源端口,特别是Web应用,必须向运营商备案开通80端口。如,精品课程网站2009jpkc.qtc.eu.cn需向中国教育网、中国电信、中国联通等各个运营商备案登记,如表1所示。
表1 精品课程网站对应各运营商IP地址及端口号
[电信运营商\&IP地址\&端口号\&中国教育网\&222.195.192.18\&80\&中国电信\&222.173.92.61\&80\&中国联通\&123.234.130.148\&80\&]
⑵ 在防火墙上配置IP地址映射(VIP)或端口映射(MIP)[4],实现将用户从校外访问的运营商IP地址转换成校内服务器上配置的教育网IP地址。如,中国电信用户从电信链路访问精品课程网站电信IP地址:222.173.92.61,则在防火墙上转换为服务器上实际配置的教育网IP地址:222.195.192.18。配置命令如下:
set interface "ethernet2/2" mip 222.173.92.61 host
222.195.192.18 netmask 255.255.255.255 vr "trust-vr"
⑶ 为能够给使用不同运营商网络的校外用户访问服务器时返回对应运营商所属的IP地址,需要在DNS上进行相应配置。以Linux系统下常用的DNS配置软件bind[5]为例:
① 根据apnic获得的各运营商IP地址段,创建相应的运营商IP地址段文件,如中国联通ip.cncnet:
acl "CNCNET"{ 1.24.0.0/13; 1.56.0.0/13; 1.188.0.0/14; … };
② 在name.conf文件中引入各运营商IP地址段文件,为不同运营商IP地址段创建相应的VIEW,并在VIEW中为同一个域名qtc.edu.cn创建不同的IP地址解析文件。
以中国联通IP地址段为例:
#include “ip.cncnet”
view "CNCNET"
{
match-clients { CNCNET; };
zone "qtc.edu.cn" in {
type master;
file "qtc.edu.cn.cncnet";
};
③ 在IP地址解析文件中,为各域名指定在运营商备案的IP地址,从而实现该运营商用户访问DNS时返回对应的IP地址。以下为qtc.edu.cn.cncnet文件部分内容:
$TTL 86400;
@ SOA dns1.qtc.edu.cn. root.dns1.qtc.edu.cn. (
2012070200 ; serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
7200 ) ; Minimum
IN NS dns1.qtc.edu.cn.
2009jpkc IN A 123.234.130.149
…
通过实施上述措施,校外用户访问校内资源时,首先通过DNS获取校内资源的IP地址,该地址属于用户上网的电信运营商。这样,用户仅仅在解析校内资源IP地址时走教育网链路,当实际访问资源时则根据配置的路由策略完全走相应电信运营商的链路,极大地提高了资源访问速度。
4 结束语
该解决方案已部署应用多年,较好地满足了青岛职业技术学院校园网内外用户对各种资源的访问需求。特别是在不多增加校园网设备,不多增加资金投入的情况下,该方案不失为一种有效的解决高校多出口网络环境下资源访问的方案。必须注意的是,该方案需要定期更新路由策略中的目的路由IP地址段和DNS中的IP地址段文件,并使之保持一致,才能确保该方案的有效性。
参考文献:
[1] 黄敏,张卫东.基于策略路由的网络设计与实践[J].计算机应用,
2002.22(5):72-73
[2] 肖捷.静态路由选择配置方案的设计[J].计算机工程,2000.26(8):
141-143
[3] Juniper Networks,Inc.http://www.juniper.net,2013.12.
[4] 禹龙,田生伟.网络地址转换(NAT)技术及其在校园网中的应用[J].计
算机工程,2004.30(6):192-194
[5] Internet Systems Consortium, Inc. https://kb.isc.org/article/
AA-0084 5/116/BIND-9.9-Administrator-Reference-Manual-
ARM.html,2013.12.