《中国教育信息化》发行部:cy1 网络建设 基于校园网的双出口边界网的路由规划 黄向农 (中山大学信息与网络中心,广东广州510275) 摘要:校园网采用双出口边界网的解决方案,可以缓解CERNET与公网互联互通不理想的问题, 但会由此导致边界网的路由复杂化 为此,在实施这种方案前,应该对这种边界网路由进行规划,掌握相 关流量在边界网中的转发过程.从而有效地调度流量.实现既让只能访问内网备案服务器,又让内 网主机都能自动选择出口访问 关键词:校园网 边界网 双出口 路由规划 中图分类号:TP309 文献标识码:B 文章编号:1673~8454 12oo8)23—0019—03 问策略是:所有来 校园网作为教育网(CERNET)的组成部分,旨在改 善学校的教学、科研和管理的运行环境。但由于CERNET 与电信(CHINANET)、网通(CNC)等公网之间存在着连通 不畅的问题.使得从校同网访问公网的效果不理想,反之 NET 自校园网外部对校 同网备案服务器的 访问.若服务器在 CERNET网段上. 亦然 为了缓解这一问题.我校校园网设置了CHINANET 出VI链路.直接与公网互联,使校园网内外的用户都能方 便地访问所需的资源 在校园网中配置了双出口边界网后.增加了网络的 则在CERNET链 路进行.否则在 CHINANET链路进 行:所有由校冈网 内部主动发起的访 复杂度 为此.在实施这种方案前.应该对这种边界网的 路由进行规划.以便在边界网中有效地调度相关流量 一、拓扑结构 问.若目的地址是 CERNET的.从 核心网 本校园网根据自身的网络应用特点构建成的双出 口边界网络结构可抽象成如图1所示的拓扑结构.它是 图1带双出口的边界网络拓扑图 CERNET链路出,否则从CHINANET链路出。 为了监管好校园网内的信息来源.为CERNET的健 由汇聚路由器、NAT设备和边界路由器构成.设置有 CERNET出口链路和CHINANET出VI链路 其基本的访 康发展尽一份责任.放置在校同网内的服务器需做备案。 综上所述.我们将多媒体课堂教学综合评价指标体 系分为三个一级指标.五个二级指标.四个二三级指标 对 整体优化素质教育中.合理安排教学过程.充分发挥多媒 体的特殊功能和艺术魅力.才能达到提高学生素质.优化 课堂教学.全面提高教学质量的目的 ⑩ 参考文献: IllNJ书中.多媒体教学评价体系研究U].教育信息化,2003(10). 【21王佑美,钟志坚.多媒体课堂教学*z4q-7% ̄教学效果评 每个指标进行了量化,给每个指标定出了目标和要求.形 成了上表所示的多媒体教学效果评价表 通过评价表.使教师在日常教学中知道和掌握多媒 体教学方法.了解采用多媒体教学应达到的效果和质量 要求.同时也对学校在对教师进行教学检查、监督教学效 果、教学质量考核时有较为科学合理的标准要求,为学院 的教学管理进入规范化提供依据和帮助 价的理论模型、指标体系与方法[J1.现代教育技术.2oo4( ̄). 【3] ̄ag盛.现代教育技术【M】.天津:天津科学技术出版社, 1999 总之.多媒体教学有许多优势和作用.同时也对教师 的教学活动提出了更高的要求 只有把多媒体教学纳入 f4j王寄鲁,杨兵,魏文忠,吕健.多媒体教学的评价体系tJ1.高 等理科教育.2oo6(3). china EducaloinInfo 19 网络建设 《中国教育信息化》编辑部:rr/s 这里提到的备案服务器就是由用户申请、主管部门批准 后.做了相应登记的服务器. 链路上是不可路由的.只能从CERNET出口链路转发出 去 显然,源地址是私有地址的,不论在哪条出口链路上 都是不可路由的 可见.配置了CERNET地址或私有地 址的客户机可以访问校园网内部,但要访问.可能还 要通过NAT设备处理 配置了C HlNANET地址的客户机可以直接从 在这种边界网络巾.汇聚路由器与核心网相连,由其 调度与边界网络相关的流量..边界路由器起着分隔内外 网的作用.外与CERNET和CHINANETf)相连.内 与校园网(内网)相连,并通过相关规则控制进出流量。因 为会遇到校园网地址在CERNET链路或CHINANET链 CHINANET出口链路去访问,不必经过NAT。实际 上.作为备案服务器的主机也有主动访问的时候,显 然.这些主机也不必经过NAT访问。除了这小部分 路不可路由的问题.所以借助NAT设备.使到这些地址 能用特定的可路由地址访问 为了使NAT设备能根据日的地址做相应的源地址 转换.以CERNET分担费用中定义的国内流量地址 客户机外.其他内网客户机主动访问服务器的请 求包都从汇聚路由器转发到NAT。NAT处理时,会根据 数据包的目的地址是否属于CERNET地址表进行源地 列表为基础.将其中与校园网连通性不理想的站点剔除 掉.并加入一些从CERNET链路访问效果不错的站点, 以此生成CERNET地址表.作为目的网络地址的判断条 件.访问属于该地址表的地址就使用CERNET出口链 址转换.属于的就转换成CERNET地址,否则转换成 CHINANET地址.再从边界路由器的相应出口链路转发 出去:服务器对内网客户机的回应包.按其目的地址 路.不属于该地址表的都算为公网地址.访问这部分地址 的就使用CHINANET出口链路 会从边界路由器或转发到汇聚路由器、或先转发到NAT 设备冉到汇聚路由器 显然.这些回应包除了对应来自内 网的CHINANET网段上的请求包.以及作为备案服务器 二、地址资源 本校园网的地址段可分为 部分:向CERNET申请 的地址段.由CHINANET提供的地址段.由于前面两部分 地址段不能满足需求.再选取RFC 1918规定的私有地址 的主机主动发起的请求包.其他的都对应着从NAT发送 出去的请求包 它们在NAT中还要做逆变换.用原来数 据包的源地址替换当前的目的地址.再转发到汇聚路由 段 地址分配的原则是.备案服务器使用CERNET地址和 CHINANET地址.客户机使用CERNET地址和私有地址。 三、路由分析 为了便于信息监管.规定已备案的服务器才能对校 外提供服务 这些已备案的服务器被放置在校园网中的 CERNET网段或CHINANET网段上.使用户能直接 访问 至于内网客户机则需根据其访问的目的地址来确 器 最后这些数据包经核心网转发到相应客户机所在的 网段。 内网访问的路由有两条:从CHIANET网段上的 或者作为服务器的主动发起的流量路由——汇聚路由器 到边界路由器:从CERNET网段和私有网段上的主机主 动发起的流量路由——汇聚路由器、NAT到边界路由器。 四、路由策略 实现前面讨论的路由分析结果.需要在相应的设备 上对流量转发做适当的控制处理 在边界网络上采用静 态路由,在核心网的相关设备(边界网汇聚路由器、核心 定到的出El链路 对于进出校园网的数据流量来说. 在边界网络中的转发路径是对称的.即流量的返回路径 与请求的原始路径相同.下面就来说明相关的路由情况 1.从客户机访问内网服务器的路由 内网服务器处于CERNET网段或CHINANET网段 路由器、各校区主交换机以及数据中心主交换机等)上建 立OSPF主干区域.从而建立边界网与校区园区网、数据 中心之间的路由 上,主动访问内网服务器的请求包只有从教育网转 发到CERNET和从公网转发到CHINANET两种情况.这 为了访问.在边界网汇聚路由器上还要根据源 地址来转发数据包到边界网中的相应设备 因为校园网 内地址的相互访问不会涉及边界网络.所以必须禁止目 些数据包按照路由转发机制.可以直接从边界路由器转 发到汇聚路由器 再经核心网转发到相应的服务器 对应 的请求包,来自校园网服务器的回应包.同理.也可 以直接经汇聚路由器转发到边界路由器.并从该请求包 的地址为校园网内地址的数据包转发到边界路由器或 NAT。即只允许目的地址为非校园网的数据包向外转发 的边界网人口链路返回 可见.主动访问内网的路由 只有一条:边界路由器到汇聚路由器 2.内网客户机访问服务器的路由 出于安全考虑.ISP只会转发自己客户的数据包.即 当数据包从内网转发到时.在该路由器上可按如下 步骤创建策略路由 1.不管是客户机请求包还是服务器回应包.只要其 源地址是CHINANET地址段的就转发到边界路由器: 2.客户机的请求包源地址是私有地址的都转发到NAT: 内网数据包的源地址是CERNET的.在CHINANET出口 20 中国教育信息化/2008 23(高教职教 《中国教育信息化》发行部:cyl 网络建设 3.经过前面的处理.到了这里的数据包.就只有源地 是在边界路由器上只能对TCP数据包进行标志位SYN 的检验来识别服务器的回应包。这种处理方法只适合限 制私开TCP服务.至于UDP包甚至其他IP包,其变通方 法可以是控制内网只能访问的特定IP地址.因为考 址都属于CERNET的服务器回应包和客户机请求包 允 许访问的内网服务器就是备案服务器.对应这些外 网的回应包应该是经CERNET出口链路转发回去的 对 于这些来自内网CERNET网段上备案服务器的数据包 都转发到边界路由器: 4.最后余下的都是来自校园网合法用户的客户机请 虑到这一台作为服务器的主机访问内网非备案服务 器的意义不大 但这些特定IP地址多了也不好操作,即 只能个别处理非TCP服务 求包和非备案服务器回应包.对于这些数据包统统转发 要实现这种处理效果.只需对边界路由器和汇聚路 到NAT 最后一步需要注意.如果是客户机请求包.那么转发 到NAT是合理的.否则就有问题.原因是没有住非 备案服务器回应包往外转发 访问内网的非备案服务器的方法是.在边 界路由器与连接汇聚路由器的接口出方向上.通过ACL 过滤掉所有与备案服务器无关的数据包 在边界路由器 与连接NAT的接口上不必做任何过滤处理.因为NAT 设备可使内网结构对是不可见的.从而防止主 机直接连接到内网主机 所以借助NAT可以使内网访问 .同时内网对外提供的非备案服务 经过这样处 理后.在最后一个步骤中.就不会再存在非备案服务器回 应包。 在边界路由器上.根据向外发送的数据包源地址是 CERNET还是CHINANET来创建策略路由.路由的下一 跳分别指向相应的ISP局端地址 五、优化处理 实际上.配置了CERNET地址的客户机在访问属于 CERNET地址表的服务器时.是没有必要都经过NAT处 理的.直接由汇聚路由器转发到边界路由器即可 这样一 来,无疑会减轻NAT设备的负载 但在前面已经提到过. 所有与备案服务器无关的数据包在边界路由器与连接汇 聚路由器的接口出方向上已通过ACL过滤掉.即这些客 户机假如有来自CERNET的返回包也会在该接口上被 过滤掉。如何才能既内网对外提供的非备案服务.又 能使配置了CERNET地址的客户机不通过NAT设备访 问属于CERNET地址表的服务器呢7 对于面向连接的TCP服务.可以检验标志位SYN来 确定是否已建立连接:但对于面向非连接的UDP服务. 只提供无连接数据包传输.无法确定该包是客户机的请 求包还是服务器的回应包。另外,客户机的请求包TCP/ UDP源端口一般都大于1023.故服务器的回应包TCP/ UDP目的端口一般也大于1023 然而可以设置服务器提 供高端口号的TCP/UDP服务.这使得检测TCP/UDP目 的端口号作为判断TCP/UDP回应包的条件没有意义.于 由器的配置做些改动 在边界路由器的ACL要加上对这 些TCP返回包做建立连接标志SYN的检测.检测通过的 才允许返回.还要指定允许来自一些特殊非TCP服务器 的回应包返回 在汇聚路由器上需将以上创建策略路由 的第4步,再细分为如下3步: 1.将访问CERNET地址表的TCP请求包转发到边界 路由器: 2.将访问CERNET地址表的一些特殊UDP或IP服 务请求包转发到边界路由器: 3.最后将余下的数据包统统转发到NAT。 如果需要严格访问内网非备案服务器,可 以只对TCP包作处理.其他包则一律转发到NAT设备。 因为目前主要的网络应用以TCP服务为主.这种优化处 理是有效果的 六、结束语 基于校园网的访问策略.对双出口边界网进行路由 规划.明确边界网进出流量的路径选择和控制规则.一 方面使主机既能直接访问内网备案服务器.又能限 制其访问内网非备案服务器 另一方面.经过NAT处理. 满足所有内网用户访问的需求.内网访问是根 据CERNET地址表白动选择出口 为了能尽量使用 CERNET链路.减轻CHINANET链路的压力.CERNET地 址表需及时更新.确保其有效性 在这里.NAT设备的性能是一个关键.我们采用负载 均衡器作为NAT设备 尽管两条出口链路所连接的网络 (CERNET和CHINANET等)之间的互联互通不理想.不 可能均衡地在这两条链路上传输数据.但至少还能在中 断一条链路时.仍能保持边界网与的连通能力.另 外.还能适应将来边界网多出口需求 ⑩ 参考文献: 『11梁广民,王隆生.思科网络实验室路由、交换实验指南 『M1.北京:电子工业出版社,2007. 『21F5 Networks公司.本地流量管理配置指南.1996—2004. 【3]CERNET分担费用中定义的国内流量地址列表. http://www.nic.edu.cn/RS/ipstat/intemalip/ China Education Info 2 1
