多出口校园网络路由策略优化研究.docVIP

多出口校园网络路由策略优化研究 　　摘 要 　　文章从多出口校园网PBR的优化选择、实际应用、应用过程中的问题处理措施、进一步优化建议等方面开展研究，提出加强防火墙设置、网址转换（NAT）等优化校园网多出口网络路由策略的方法。旨在为各地多出口校园网络路由的优化提出可参考性建议。 　　【关键词】PBR 多出口防火墙 高速访问 　　策略路由（policy-based routing，简称PBR），我国大部分的高校校园网采取的方案为：经由一条线路接入教育网，因为教育网中的地址资源相对充足，所以校园网的个人计算机与服务器均可采用真实的IP地址。但宽带问题导致校园网访问速度慢，加上高校将校园网接入铁通、网通等服务供应商，所获得的地址资源减少。如此一来，需要在接入服务供应商的网络时进行网络地址转换，即NAT，并部署多出口的防火墙以提高网络安全性。 　　1 PBR的优化研究 　　1.1 校园网 PBR方案的选择及其应用 　　从 PBR的选择能够为多出口校园网络优化提供良好的基础，并将其方案应用到实际校园网中。 　　1.1.1 PBR优化选择 　　PBR能够进行灵活的路由与数据包转换，并根据所提供的相关信息选择转发路径。例如基于目的地址的路由方式，主要根据目的信息选择转发路径。 　　基于NAT的校园网多出口路由策略： 　　（1）有效利用三条线路资源：因为IPv4的公用网站有效，因此大部分的高校采用基于NAT的多出口路由策略方案，提高访问速度。多个出口路由策略方案需要建立在“有效利用三条线路资源”的基础上。 　　（2）合理设置两条公网线路：为了实现路由器的动态网络分配，需要合理设置两条公网线路，将其线路分别置于端口。 　　（3）划分IP地址：根据教育网、电信、网通的不同，划分IP地址，目的地址（电信网络拥有）为教育网的报文通过教育网出口进行传输。 　　（4）安装流量监控设备：顾名思义，流量监控设备的主要作用是监控网络线路端口的流量，还能够适当的调整流量。 　　1.1.2 PBR的在校园网中的实际应用 　　PBR的灵活运用能够最大程度满足校园网路由需要求，还能够实现网络中的信息互换，优化基于NAT校园多出口路由策略。 　　以实现网站便捷访问为例：校园网的服务器采用 PBR，并于核心交换机上安装源IP地址路由设备。步骤为：借助ACD区分服务器的IP――设置对应的策略使用路由图――将方案应用在连接服务器接口上。 　　2 常见的路由问题与措施 　　针对多出口校园网络路由常见问题（以地址转换引发的问题、状态防火墙引发的问题为例），探讨有效的解决措施，以此改变当前多出口校园网网络路由现状，实现优化目标。 　　2.1 解决地址转换问题 　　因为校园网中同时使用的计算机设备数量较大，计算机设备通过路由进行NAT，对路由造成的压力增加。由于UDP报文对NAT形成穿透能力，所以，许多的P2P软件利用该功能实现最大化的数据流量共享。因此，在校园网中常常会出现这样一个问题，路由器的CPU长期处于最大化的工作状态。 　　针对地址转换带来的问题，进行解决对策的研研究，得出以下几点改进建议：应用 PBR，确保一定的路由服务需求与服务的优先级；应用流量监控设备，监控并合理调整流量；应用NAT设备，确保地址转换的安全，例如路由器NAT板、硬件防火墙等。 　　2.2 解决路由防火墙问题 　　校园网应用大量的教育网IP地址，一旦互联网上有用户访问这些地址时，SYN报文经由防火墙深入校园网，在多出口网络系统中，该访问SYN报文会被公网出口丢弃。不这些报文的丢弃会多网络安全造成影响，大量损耗防火墙资源，长期的积累网络安全性能低、同时防火墙的功能也难以发挥。 　　对此，需要在校园网的路由防火墙上安装访问策略，用以阻止来自互联网的非服务器访问，实现校园网对外网的访问。值得注意的是，并非所有的防火墙都能够运用同一方式设置其策略，应当根据其性质进行路由策略设置。 　　3 进一步优化建议 　　由于校园网中的基本网络服务（例如WWW）需要从外界获取信息服务，会形成一定的CERNET流量花费。对此，设置路由器将该类服务器的IP地址规定在CERNET免费地址里，达到降低流量花费的作用。设置步骤如下： 　　一方面，在DNS服务器中，为该类服务器解剖两个主机记录，服务器则使用CERNET地址。比如：wwwACHINANET地址。 　　另一方面，在防火墙里，采用反向网络地址转换，将全部的访问服务器CHINANET地址映射与服务器的CERNET地址。 　　4 结束语 　　从上文的论述中得知，我国大部分高校校园网访问速度较慢。此外，除了部分免费网站的访问外，其它国家教育网付费网址与国外资料网址的访问需要支付高昂的费用。本文针对这些问题提出的多出口校