校园网多出口访问控制技术研究

2010-09-26 03:26高新成东北石油大学现代教育技术中心黑龙江大庆163318
长江大学学报(自科版) 2010年2期
关键词:教育网IP地址校园网

高新成 (东北石油大学现代教育技术中心,黑龙江 大庆 163318)

目前,随着高校信息化的发展和数字化校园的建设,校园网络应用日趋复杂化,普遍采用网络多出口方式。通常为中国教育和科研计算机网CERNET出口 (以下简称教育网)和本地互联网服务提供商ISP提供的出口 (一般为电信网TELECOM和新联通网UNICOM)。ISP提供的出口通常是包月形式,无论学校使用的流量有多大,每月固定收取一定出口费用。由于访问教育网的资源速度比较慢,而且教育网中有些资源对ISP提供的网络是屏蔽的,如果学校只使用ISP提供的出口,则会造成无法正常利用教育网资源。教育网出口可以免费访问一部分网络地址,对于其余地址的访问,是按照流量收费的,如果完全通过CERNET来对外访问,则会因为流量巨大造成网络资费过高。

下面笔者基于速度、资源利用情况和费用的综合因素考虑,根据高校校园网建设的实际情况,提出了一种在校园网多出口环境中实现不同源/目的网段的数据包由指定的出口进出的方案。

1 策略路由结合NAT和动态DNS技术的访问控制

1.1 策略路由 (Policy Based Routing)技术

策略路由提供了一种更复杂的包转发机制,通过定义适当的策略,不仅可以实现基于数据包目的IP地址的路由选择策略,而且可以实现基于数据包源IP地址、数据包大小、应用层协议、负载平衡等策略选择路由。在该技术方案的研究和应用中,主要考虑如何根据源IP地址和目的IP地址来选择路由。策略路由选择禁止内部局域网用户从教育网这条链路访问非免费网站,有效控制了国际流入量的费用,对所有需要使用教育网出口的内部用户制定源地址路由。所有对校园网资源的访问增加了相应的策略路由,同时制定了安全策略,增强了内部网络安全性,比较理想地解决了高校用户的需求。

1.2 NAT(Network Address Translation)技术

NAT是一种成熟的技术方案,用于解决因合法IP地址过少而引起的种种问题。其解决的方法是:在内部使用保留的IP地址,当内部与外部网络通信时,将内部保留地址翻译成合法的IP地址,使通信能正常进行。NAT分为3种类型:静态NAT(static NAT)、NAT池 (Pooled NAT)和端口 NAT(PAT)。静态NAT将内部网络中的每个主机都永久映射成外部网络中的某个合法的地址;而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络;端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。

在该技术方案的研究和应用中,主要采用NAT池 (Pooled NAT)方法,定义一个NAT池,全局地址在NAT池中列出,当内部与外部通信时,动态的从NAT池中选择全局地址进行转换。这样每个连接动态建立,当通信终止时全局地址被重新放回NAT池中,这样就可大大减少全局地址的数量。

2 访问控制策略的动态配置

2.1 防火墙的有关配置

根据校园网访问流量和本地ISP线路的带宽的大小,出口使用2个千兆防火墙,防火墙FireWall-RG1600A连接在网通出口,防火墙FireWall-RG1600连接电信出口和教育网出口[5]。并在2台防火墙上实现NAT地址转换。

1)网通出口防火墙 (FireWall-RG1600A)。①设置动态IP地址池:

序号 名称 地址 备 注1 Nat 60.218.184.0/255.255.255.128 联通出口

②设置和应用NAT规则:

序号 规则名 源地址 目的地址 服务 类型 备 注1 P3 Local-Cernet any any NAT规则 地址转换2 P2 Local any any 允许3 P1 any any any 禁止

2)电信和教育网出口防火墙 (FireWall-RG1600)。①设置动态IP地址池:

序号 名称 地址 备 注1 Nat1 210.46.137.0/255.255.255.128 教育出口2 Nat2 222.170.73.0/255.255.255.128 电信出口

②设置和应用NAT规则:

序号 规则名 源地址 目的地址 服务 类型 备 注1 P4 Local Telecom any NAT规则 地址转换2 P3 Local-Unicom any any NAT规则 地址转换3 P2 Local any any 允许4 P1 any any any 禁止

③配置静态路由策略路由:

类型 源地址 目的地址 下一跳 备 注路由 any 0.0.0.0/0.0.0.0 210.46.137.254 静态路由,默认走教育网出口路由 any 58.44.0.0/255.252.0.0 222.170.73.254 路由选择,优先走电信网出口路由 any 58.56.0.0/255.254.0.0 222.170.73.254 路由选择,优先走电信网出口路由 any ……………………… 222.170.73.254 省略路由 any 218.57.9.0/255.255.255.0 222.170.73.254 路由选择,优先走电信网出口

2.2 策略路由在路由器上的相关配置

考虑到较大的路由表在路由器上能够实现高速转发优点,选择在路由器上实现策略路由技术,根据数据包目的地址选择路由,网通防火墙地址为192.168.1.1,电信和教育网防火墙地址为192.168.1.5,数据包根据路由表优先选择电信和教育网出口防火墙,默认选择网通出口防火墙,具体配置如下:

2.3 动态DNS的有关配置

该技术方案是在Solaris 9操作系统环境下应用BIND 9中的View功能可以实现根据不同的来源IP地址在查询该DNS时,域名解析能有不同查询状态或回应信息。具体配置如下:

3 结 语

校园网通过在防火墙上应用NAT规则、在路由器上应用策略路由转发和动态DNS技术,很好的解决了以前在校园网多出口实施中存在的问题,实现了校园网与公众网的高速连接,降低了国际流量,节约了网络运行费用,同时利用双防火墙使校园网系统安全也得到了应有的保障。

[1]黄敏,张卫东.基于策略路由的网络设计与实践 [J].计算机应用,2002,22(5):72~73.

[2]Jeff Doyle.TCP/IP路由技术 [M].北京:人民邮电出版社,2003.

[3]赵颖.基于策略路由的多接口NAT实现 [J].西北民族大学学报 (自然科学版),2004,25(2):61~64.

[4]谭明佳.DNS技术的应用分析 [J].计算机工程与设计,2004,25(4):596~598.

[5]刘伟,崔永锋.基于防火墙和策略路由的校园网双出口实现[J].周口师范学院学报,2006,23(2):101~103.

猜你喜欢
教育网IP地址校园网
数字化校园网建设及运行的几点思考
铁路远动系统几种组网方式IP地址的申请和设置
试论最大匹配算法在校园网信息提取中的应用
IP地址切换器(IPCFG)
NAT技术在校园网中的应用
基于SNMP的IP地址管理系统开发与应用
公安网络中IP地址智能管理的研究与思考
VPN在校园网中的集成应用
中国省级教育信息综合网站排行榜
中国省级教育信息综合网站排行榜