论文部分内容阅读
摘要:讨论了校园网快速访问建立多出口的关键技术,介绍了配置GLBP协议实现多出口网关冗余和负载均衡。
关键词:策略路由 NAT 虚拟路由器 网关冗余 负载均衡
中图分类号:TP393.18 文献标识码: A 文章编号:1002-2422(2008)03-0045-03
1 校园网多出口要达到的目标
(1)尽量不修改客户端参数配置,使得用户机器能正常工作。(2)用户访问CERNET免费站点时,网络出口为CERNET;而访问其他网站时,走本地ISP网络出口。(3)校园网内外的用户都能快速访问校园网的WEB、MAIL等服务器。(4)尽量使用户获得一个快速、安全的访问出口,尽可能地节约校园网的运营费用。
2 校园网多出口技术
2.1 PROXY SERVER技术
使用Proxy Server技术增加校园网出口,就是增加一台既运行Server程序又运行Client程序的计算机,成为C/S模式下的一个中间服务代理机构,接入本地ISP。
Proxy Server处于客户机与服务器之间,相对于远程服务器,是客户机,要向服务器提出各种服务请求;而相对于客户机,又是一台服务器,接收客户机提出的各种申请并提供相应的服务。
从Client端通过TCP/IP向Server发出各种请求,到远程Server响应请求后向Client回送所需信息都要经过ProxyServer。Proxy Server是网络信息的中转站,可在内网与外网之间充当防火墙,提高了内部网络安全性能;同时也节省I-P开销,可解决IP地址不足问题。但是,客户机需要做一定的设置,校园网对外服务器不能通过本地ISP实现快速访问。
2.2 NAT与策略路由技术
解决高校校园网直通本地ISP的办法是NAT技术。NAT(NETWORK ADDRESS TRANSLATION)允许一个In-side网络以一个Internet注册IP连接到外部世界,其功能就是在Inside网络的IP地址需要与Outside网络通信时,把内部IP地址转换成外部合法的IP地址。NAT设备维护一个NAT映射表,用来实现Outside网络到Inside网络和Inside网络到Outside网络的地址转换。校园网NAT转换有3种用法:(1)静态NAT转换:在NAT表中为Inside网络和Out-side网络之间建立一个固定的、一对一的IP地址映射。这种映射主要用于WWW、MAIL等对外服务器,以确保公众网对校园网服务器的快速访问。(2)动态NAT转换,在Inside网络和Outside网络之间建立一个动态的IP地址映射,这时需要建立一个外部IP地址池,由路由器从外部IP地址池中选择一个未使用的地址对内部IP地址进行转换。每个转换条目在连接建立时动态建立,而在连接终止时被回收。外部IP地址池最少可以设定一个。这种映射主要用在校园网用户与本地ISP之间建立快速访问通道。(3)PAT端口地址转换:把多个内部IP地址映射到外部网络同一个IP地址的不同端口号上,从而实现多对一的映射。PAT对于节省IP地址是最为有效的。
NAT通常在出口防火墙上设定,由出口防火墙承担NAT转换工作。
校园网在多出口环境下,为了实现校园网用户快速访问外部网络,同时外部网络又能快速访问校园网对外服务器,必须进行策略路由配置。策略路由(FFR,POLICY-BASED ROUTING)不仅可以根据目的地址选择路由,还可以根据数据包源IP地址、数据包大小、网络应用等参数来选择路由。
2.3虚拟路由器与策略路由技术
通过虚拟路由器,大的通信突发数据流只会对本路由器产生影响,而不会影响到其他的路由器,从而为终端用户能够得到稳定的网络性能提供了保障。
为了实现以下分流目标:①教学办公区教育网流量从Cemet出口走,其他流量从公众网出口走:②学生宿舍区的所有免费地址列表流量从Cemet出口走,国际出口流量从公众网出口走;③保证服务器对外正常服务。为此在出口设备(防火墙或路由器)上建立3个虚拟路由器:Str-TeleVR、Office VR、Cemet VR。Stu-Tele VR包含公众网出口、内网学生宿舍区流量连接口:Office VR包含内网教学办公区流量连接口;Cemet VR包含教育网出口。在校园网核心路由交换机上将校园网数据流分为学生宿舍区数据流和教学办公区数据流,学生宿舍区数据流通过链路A流向出口路由器,教学办公区数据流通过链路B流向出口路由器,如图l所示。
R_C(config-if)glbp 11 authentication rod5 key-string cisco
3 结束语
为了避免单一出口的脆弱性,不会因为单一ISP发生故障而造成全网中断,同时为了实现出口的冗余备份和负载均衡,为用户提供7×24小时优质网络服务,校园网多出口建设是网络发展的必然趋势。
关键词:策略路由 NAT 虚拟路由器 网关冗余 负载均衡
中图分类号:TP393.18 文献标识码: A 文章编号:1002-2422(2008)03-0045-03
1 校园网多出口要达到的目标
(1)尽量不修改客户端参数配置,使得用户机器能正常工作。(2)用户访问CERNET免费站点时,网络出口为CERNET;而访问其他网站时,走本地ISP网络出口。(3)校园网内外的用户都能快速访问校园网的WEB、MAIL等服务器。(4)尽量使用户获得一个快速、安全的访问出口,尽可能地节约校园网的运营费用。
2 校园网多出口技术
2.1 PROXY SERVER技术
使用Proxy Server技术增加校园网出口,就是增加一台既运行Server程序又运行Client程序的计算机,成为C/S模式下的一个中间服务代理机构,接入本地ISP。
Proxy Server处于客户机与服务器之间,相对于远程服务器,是客户机,要向服务器提出各种服务请求;而相对于客户机,又是一台服务器,接收客户机提出的各种申请并提供相应的服务。
从Client端通过TCP/IP向Server发出各种请求,到远程Server响应请求后向Client回送所需信息都要经过ProxyServer。Proxy Server是网络信息的中转站,可在内网与外网之间充当防火墙,提高了内部网络安全性能;同时也节省I-P开销,可解决IP地址不足问题。但是,客户机需要做一定的设置,校园网对外服务器不能通过本地ISP实现快速访问。
2.2 NAT与策略路由技术
解决高校校园网直通本地ISP的办法是NAT技术。NAT(NETWORK ADDRESS TRANSLATION)允许一个In-side网络以一个Internet注册IP连接到外部世界,其功能就是在Inside网络的IP地址需要与Outside网络通信时,把内部IP地址转换成外部合法的IP地址。NAT设备维护一个NAT映射表,用来实现Outside网络到Inside网络和Inside网络到Outside网络的地址转换。校园网NAT转换有3种用法:(1)静态NAT转换:在NAT表中为Inside网络和Out-side网络之间建立一个固定的、一对一的IP地址映射。这种映射主要用于WWW、MAIL等对外服务器,以确保公众网对校园网服务器的快速访问。(2)动态NAT转换,在Inside网络和Outside网络之间建立一个动态的IP地址映射,这时需要建立一个外部IP地址池,由路由器从外部IP地址池中选择一个未使用的地址对内部IP地址进行转换。每个转换条目在连接建立时动态建立,而在连接终止时被回收。外部IP地址池最少可以设定一个。这种映射主要用在校园网用户与本地ISP之间建立快速访问通道。(3)PAT端口地址转换:把多个内部IP地址映射到外部网络同一个IP地址的不同端口号上,从而实现多对一的映射。PAT对于节省IP地址是最为有效的。
NAT通常在出口防火墙上设定,由出口防火墙承担NAT转换工作。
校园网在多出口环境下,为了实现校园网用户快速访问外部网络,同时外部网络又能快速访问校园网对外服务器,必须进行策略路由配置。策略路由(FFR,POLICY-BASED ROUTING)不仅可以根据目的地址选择路由,还可以根据数据包源IP地址、数据包大小、网络应用等参数来选择路由。
2.3虚拟路由器与策略路由技术
通过虚拟路由器,大的通信突发数据流只会对本路由器产生影响,而不会影响到其他的路由器,从而为终端用户能够得到稳定的网络性能提供了保障。
为了实现以下分流目标:①教学办公区教育网流量从Cemet出口走,其他流量从公众网出口走:②学生宿舍区的所有免费地址列表流量从Cemet出口走,国际出口流量从公众网出口走;③保证服务器对外正常服务。为此在出口设备(防火墙或路由器)上建立3个虚拟路由器:Str-TeleVR、Office VR、Cemet VR。Stu-Tele VR包含公众网出口、内网学生宿舍区流量连接口:Office VR包含内网教学办公区流量连接口;Cemet VR包含教育网出口。在校园网核心路由交换机上将校园网数据流分为学生宿舍区数据流和教学办公区数据流,学生宿舍区数据流通过链路A流向出口路由器,教学办公区数据流通过链路B流向出口路由器,如图l所示。
R_C(config-if)glbp 11 authentication rod5 key-string cisco
3 结束语
为了避免单一出口的脆弱性,不会因为单一ISP发生故障而造成全网中断,同时为了实现出口的冗余备份和负载均衡,为用户提供7×24小时优质网络服务,校园网多出口建设是网络发展的必然趋势。