基于边界防火墙策略路由的校园网出口建设
来源:用户上传
作者:
摘 要: 校园网多出口建设一直是校园网基础设施建设的研究热点,策略路由技术具有灵活的数据转发机制,选择特定的路由路径。天津美术学院校园网在边界防火墙应用策略路由技术和地址转换技术,完成了CERNET及联通、电信、移动四家运营商多出口校园网络的构建,完成了多出口的流量调度,实现了路由链路的冗余和容错,提高了校园网用户网络使用感受,该方案是适合中小型校园网的经济实用的校园网多出口建设方案。
关键词: 策略路由; 流量调度; 多出口; 地址转换; 防火墙
中图分类号:TP393.1 文献标识码:A 文章编号:1006-8228(2020)04-97-04
Constructing multi-export campus network with policy-based
routing of boundary firewall
Miao Yuanzhao1, Liu Zhinan2
(1. Information Office of Tianjin Academy of Fine Arts, Tianjin 300141, China; 2. Tianjin Jiashi Technology Co.,Ltd)
Abstract: The construction of multi-export in campus network has always been a research hotspot in the construction of campus network. The policy-based routing technology has a flexible data forwarding mechanism and selects a specific routing path. The campus network of Tianjin Academy of Fine Arts has completed the connection with four carriers of CERNET, Unicom, Telecom and Mobile by using the technologies of policy-based routing and NAT on boundary firewall, which realizes the multi-export traffic scheduling, and the redundancy and fault-tolerance of routing links, the experience of campus network users has been improved. This is an economic and practical campus network multi-export construction scheme suitable for small and medium campus network.
Key words: policy-based routing; traffic scheduling; multi-export; NAT; firewall
0 引言
校园网多出口建设源于解决CERNET高昂的国际流量费,天津商业大学2004年就在Cisco交换机和路由器上完成了校园网的双出口构建[1]。当时设备要求不高,对于网络可用性没有改观。随着网络技术的发展,校园网多出口建设的主要目的转化为提高网络可用性与冗余,提升校园网用户的使用感受[2],可以使用智能DNS技术,根据解析的目的IP地址所属不同的ISP,选择不同的出口路由,达到校园网多出口优化的目的[3-4],或者使用策略路由技术,选择不同的出口路由,达到校园网多出口优化的目的[5]。
天津美术学院校园网出口拥有CERNET、联通、电信、移动四个运营商的网络连接,其中CERNET与天津教育科研城域网实现1000M连接,联通带宽为1G,电信带宽为600M,移动带宽为400M,如图1所示。天津美术学院师生使用校园网对于高清素材和影视资源的浏览观看属于专业学习需求,提升校园网的可用性、可靠性、冗余性、通达性是校园网建设和管理的重要工作。天津美术学院使用校园网边界防火墙的策略路由技术,最大程度发挥设备性能,满足校园网用户对于网络需求,提高用户的满意度。
1 校园网多出口环境的建设目标
天津美术学院校园网使用两台锐捷RG-N18010交换机做虚拟化,两个校区的所有业务网关都设置两台虚拟化RG-N18010上。RG-N18010无线控制器板卡和MSC流量控制板卡同样做虚拟化[6]。策略路由是由校园网边界防火墙设备来专门完成的,需要满足以下目标。
⑴ 防火墙具备将校园网安全隔离的功能,校园网用户在安全保护下,不需要关心网络出口连接,认证后无需任何操作即可正常工作。
⑵ 服务器原则上在CERNET服务,特殊的需要在其他ISP网络进行镜像的单獨进行配置。
⑶ 只有CERNET直连地址和学校图书馆购买的数据库资源,校园网用户访问需要路由选择CERNET线路。
⑷ 校园网用户访问根据目的地址的归属,路由选择相应运营商线路,策略路由的设备开销不能影响设备的正常运行,设备负荷在合理的低水平运转。
2 天津美术学院校园网多出口方案配置
天津美术学院采用山石SG6000-T-5防火墙做边界安全及路由设备,策略路由对于设备性能消耗大,选择一台高性能边界设备是策略路由成功实施运行的重要因素,山石SG6000-T-5防火墙具有智能链路负载均衡功能,可以提升链路利用效率,增强用户网络访问体验。 山石SG6000-T-5防火墙用两路万兆接口做端口聚合连接两台锐捷RG-N18010交换机,CERNET及联通、电信、移动四家运营商均采用千兆光纤连接,关于多出口和策略路由主要需要进行以下配置[7]:
2.1 特征地址库的维护
按照确定的策略路由目的地址原则,对于特征地址库进行维护:
CERNET地址库如下(地址表非常长,因此用省略号替代,其他ISP地址略):
isp-network China-cernet
subnet 1.51.0.0/16
subnet 1.184.0.0/159
......
subnet 223.128.0.0/15
电信、联通、移动地址库如下:
isp-network ChinaTelcom
isp-network ChinaUnicom
isp-network ChinaMobile
2.2 启用相关接口
启用各运营商IP地址组,以192.168.0.0网段地址代表,隐藏真实IP,启用联通接口为ethernet0/2(192.168.6.74),电信接口为ethernet0/3(192.168.148.50),移动接口为ethernet0/4(192.168.56.194),CERNET接口为ethernet0/5(192.168.216.253),各运营商可以启用进行带宽阈值配置,当某个运营商的接口流量超过一定阈值后,自动切换其他带宽,达到负载均衡的效果,提高网络带宽利用率。
2.3 配置NAT地址池,并在相应接口启用NAT
配置NAT使用的内外网地址池:
address "电信-NAT"
range 192.168.148.51 192.168.148.53
address "联通-NAT-pool"
range 192.168.10.49 192.168.10.51
address "移动NAT"
range 192.168.56.195 192.168.56.196
各接口已经配置运营商的IP地址作为NAT地址转换的地址池,在各端口启用NAT,以ethernet0/2联通出口为例:
link-perf-monitor interface "ethernet0/2"
application on
snat-pool "联通出口"
address-book "Any"
2.4 配置与校园网虚拟化核心交换机互联
两台锐捷RG-N18010交换机做虚拟化后与防火墙连接,防火墙端口聚合配置如下:
link-perf-monitor interface "aggregate1"
application on
snat-pool "内网聚合口"
address-book "Any"
interface aggregate1
zone "trust"
ip address 10.5.1.5 255.255.255.252
bind pbr-policy "内网聚合口"
2.5 静态路由设置
在相关接口配置静态默认路由,启用整体策略路由。
按照特征地址库匹配目的地址进行策略路由:
ip route "ChinaTelcom " 192.168.148.49 10 weight 6
description "电信600M"
ip route "ChinaUnicom" 192.168.6.73 10 weight 10
description "联通1G"
ip route "China-cernet" 192.168.216.254 10
description "教育100M"
ip route "ChinaMobile" 192.168.56.193 10 weight 4
description "移动400M"
各运营商地址的静态默认路由配置:
ip route 0.0.0.0/0 192.168.6.73 weight 10 description
"联通上网1G"
ip route 0.0.0.0/0 192.168.56.193 weight 4 description
"移动上网400M"
ip route 0.0.0.0/0 192.168.148.49 weight 6 description
"电信上网600M"
ip route 0.0.0.0/0 192.168.216.254 description
"教育上網100M"
内网地址路由配置略。
2.6 服务器访问相关配置
启用访问控制列表将内网和服务器地址及端口进行配置(从略),并进行服务器教育网发布的路由配置:
ip route source 192.168.216.0/24 "ethernet0/5"
192.168.216.254
配置服务器静态路由地址就是为了保证校园网的服务器原则上在教育网发布服务,服务器区的各种服务,原则上使用教育网真实地址,路由选择CERNET线路。 2.7 各ISP线路DNS相关配置
配置各ISP的DNS,保证DNS解析的正确,也用以检测线路的通达性,配置如下:
ip name-server 202.99.96.68 vrouter trust-vr 联通的DNS
ip name-server 202.113.216.11 vrouter trust-vr
CERNET的DNS
电信、移动DNS配置从略,并在相应端口配置DNS代理,以联通接口为例:
dns-proxy rule id 1
ingress-interface ethernet0/0
src-addr Any
dst-ip 60.29.10.49/32
domain any
action proxy
name-server 202.99.96.68 vrouter trust-vr
egress-interface ethernet0/2
3 结果与讨论
天津美术学院校园网,从2005年开始进行校园网双出口建设[8],2014年开始采用锐捷EG2000网关的策略路由技术架构的多出口模式,提高了校园网用户的上网体验。但是在校园网边界没有专业的防火墙设备,校园网安全性不足。
目前天津美术学院校园网采用专业防火墙设备,提升了校园网安全防护能力。通过防火墙的策略路由技术,进行多维度的精准识别,在多出口网络环境下安全部署,满足校园网多出口网络功能需求,通过校园网实际应用,网络流量平稳,校园网的用户体验比较好。实时流量如图2所示,各ISP流量负载在比较合理的状态,网络可用性比较好。
需要说明的是,为了提高校园网用户的上网体验,网络管理维护人员需要根据用户主要访问的网站和应用的通达性和响应延时,定期地对运营商的地址库进行维护,以提高上网体验。
天津美术学院采用策略路由技术,在校园网边界防火墙完成了校园网多出口的构建,手动对于一些网站的流量通过测试后指向移动和电信等流量较小的ISP带宽,在没有额外增加设备的前提下取得了很满意的效果,是中小型规模校园网多出口建设中的满意的实施应用方案。但是手动对于地址库的维护具有滞后性和不可预见性,在大型校园网多出口的应用效果尚未测试。目前来看,各运营商之间的互联互通的瓶颈还将长期存在,各运营商国际出口的帶宽和通达性能差别较大的情况依旧会较长期存在,基于DNS的网络流量调度[9],软件定义网络的流量优化技术[10]是很重要的研究方向。校园网多出口网络选路至关重要,策略路由技术能够低成本且比较好地解决这个问题,策略路由的智能均衡策略,自动识别校园网网络出口线路,自动选择预定的路由策略,将是策略路由技术发展的方向,也是更好解决校园网多出口流量调控的重要的技术路线。
参考文献(References):
[1] 缪元照,孟中.校园网双出口方案探讨[J].计算机与现代化,2004.1(101):56-58
[2] 陈嵩,张龙.基于多运营商出口的高校校园网运维模型设计与实现[J].福建师范大学学报(自然科学版),2017.4(33):15-20
[3] 单庆元,南峰.DNS多缓存策略在多出口流量优化中的应用[J].现代计算机,2017.10:39-43
[4] 张新淼,魏宗秀.多ISP网络环境智能DNS解析系统的研究与设计[J].信息技术与安全,2012.5:59-61
[5] 王洪臣,朱尚明.多连接校园网策略路由的研究与实现[J].计算机技术与发展,2008.4(18):25-28
[6] 北京星网锐捷网络技术有限公司.RG-N18000系列交换机RGOS11.0(4)B103版本命令手册(V1.0)[EB/OL].http://www.ruijie.com.cn/fw/wd/84462/.2019-10-30.
[7] 北京山石网科.Stone OS手册5.5R7 [EB/OL].https://docs.hillstonenet.com/cn/Content/PDF%20Downloads.htm#T.2019-10-30.
[8] 缪元照,杨洋,于澎.多出口校园网架构的探讨[M]. 2006天津高校信息化建设论文集.中国统计出版社,2007.
[9] 翁源,黄小红,李丹丹,赵泽华.基于DNS的网络多出口流量调度方法[J].东南大学学报(自然科学版),2017.47(S1):102-107
[10] 胡煜雪.基于SDN数据通信网的流量优化技术研究[D].北京邮电大学,2019.
转载注明来源:https://www.xzbu.com/8/view-15228667.htm
