基于校园网双出口边界网路由规划.docVIP

基于校园网双出口边界网路由规划 　　摘 要：校园网采用双出口边界网的解决方案，可以缓解CERNET与公网互联互通不理想的问题，但会由此导致边界网的路由复杂化。为此，在实施这种方案前，应该对这种边界网路由进行规划，掌握相关流量在边界网中的转发过程，从而有效地调度流量，实现既让外网只能访问内网备案服务器，又让内网主机都能自动选择出口访问外网。 　　关键词：校园网 边界网 双出口 路由规划 　　中图分类号：TP309文献标识码：B 文章编号：1673-8454（2008）23-0019-03 　　 　　校园网作为教育网（CERNET）的组成部分，旨在改善学校的教学、科研和管理的运行环境。但由于CERNET与电信（CHINANET）、网通（CNC）等公网之间存在着连通不畅的问题，使得从校园网访问公网的效果不理想，反之亦然。为了缓解这一问题，我校校园网设置了CHINANET出口链路，直接与公网互联，使校园网内外的用户都能方便地访问所需的资源。 　　在校园网中配置了双出口边界网后，增加了网络的复杂度。为此，在实施这种方案前，应该对这种边界网的路由进行规划，以便在边界网中有效地调度相关流量。 　　 　　一、拓扑结构 　　 　　本校园网根据自身的网络应用特点构建成的双出口边界网络结构可抽象成如图1所示的拓扑结构，它是由汇聚路由器、NAT设备和边界路由器构成，设置有CERNET出口链路和CHINANET出口链路。其基本的访问策略是：所有来自校园网外部对校园网备案服务器的访问，若服务器在CERNET网段上，则在CERNET链路进行，否则在CHINANET链路进行；所有由校园网内部主动发起的访问，若目的地址是CERNET的，从CERNET链路出，否则从CHINANET链路出。 　　为了监管好校园网内的信息来源，为CERNET的健康发展尽一份责任，放置在校园网内的服务器需做备案。这里提到的备案服务器就是由用户申请、主管部门批准后，做了相应登记的服务器。 　　在这种边界网络中，汇聚路由器与核心网相连，由其调度与边界网络相关的流量。边界路由器起着分隔内外网的作用，外与CERNET和CHINANET（外网）相连，内与校园网（内网）相连，并通过相关规则控制进出流量。因为会遇到校园网地址在CERNET链路或CHINANET链路不可路由的问题，所以借助NAT设备，使到这些地址能用特定的可路由地址访问外网。 　　 　　为了使NAT设备能根据目的地址做相应的源地址转换，以CERNET分担费用政策中定义的国内流量地址列表为基础，将其中与校园网连通性不理想的站点剔除掉，并加入一些从CERNET链路访问效果不错的站点，以此生成CERNET地址表，作为目的网络地址的判断条件，访问属于该地址表的地址就使用CERNET出口链路，不属于该地址表的都算为公网地址，访问这部分地址的就使用CHINANET出口链路。 　　 　　二、地址资源 　　 　　本校园网的地址段可分为三部分：向CERNET申请的地址段，由CHINANET提供的地址段，由于前面两部分地址段不能满足需求，再选取RFC 1918 规定的私有地址段。地址分配的原则是，备案服务器使用CERNET地址和CHINANET地址，客户机使用CERNET地址和私有地址。 　　 　　三、路由分析 　　 　　为了便于信息监管，规定已备案的服务器才能对校外提供服务。这些已备案的服务器被放置在校园网中的CERNET网段或CHINANET网段上，使外网用户能直接访问。至于内网客户机则需根据其访问的目的地址来确定到外网的出口链路。对于进出校园网的数据流量来说，在边界网络中的转发路径是对称的，即流量的返回路径与请求的原始路径相同，下面就来说明相关的路由情况。 　　1.从外网客户机访问内网服务器的路由 　　内网服务器处于CERNET网段或CHINANET网段上，外网主动访问内网服务器的请求包只有从教育网转发到CERNET和从公网转发到CHINANET两种情况，这些数据包按照路由转发机制，可以直接从边界路由器转发到汇聚路由器，再经核心网转发到相应的服务器。对应外网的请求包，来自校园网服务器的回应包，同理，也可以直接经汇聚路由器转发到边界路由器，并从该请求包的边界网入口链路返回。可见，外网主动访问内网的路由只有一条：边界路由器到汇聚路由器。 　　2.内网客户机访问外网服务器的路由 　　出于安全考虑，ISP只会转发自己客户的数据包，即内网数据包的源地址是CERNET的，在CHINANET出口链路上是不可路由的，只能从CERNET出口链路转发出去。显然，源地址是私有地址的，不论在哪条出口链路上都是不可路由的。可见，配置了CERNET地址或私有地址的客户机可以访问校园网内部，但要访问外网，可能还要通过NAT