基于边界防火墙策略路由的校园网出口建设

2020-06-03 17:46缪元照刘志南
计算机时代 2020年4期
关键词:天津美术学院联通校园网

缪元照 刘志南

摘  要: 校园网多出口建设一直是校园网基础设施建设的研究热点,策略路由技术具有灵活的数据转发机制,选择特定的路由路径。天津美术学院校园网在边界防火墙应用策略路由技术和地址转换技术,完成了CERNET及联通、电信、移动四家运营商多出口校园网络的构建,完成了多出口的流量调度,实现了路由链路的冗余和容错,提高了校园网用户网络使用感受,该方案是适合中小型校园网的经济实用的校园网多出口建设方案。

关键词: 策略路由; 流量调度; 多出口; 地址转换; 防火墙

中图分类号:TP393.1          文献标识码:A     文章编号:1006-8228(2020)04-97-04

Constructing multi-export campus network with policy-based

routing of boundary firewall

Miao Yuanzhao1, Liu Zhinan2

(1. Information Office of Tianjin Academy of Fine Arts, Tianjin 300141, China; 2. Tianjin Jiashi Technology Co.,Ltd)

Abstract: The construction of multi-export in campus network has always been a research hotspot in the construction of campus network. The policy-based routing technology has a flexible data forwarding mechanism and selects a specific routing path. The campus network of Tianjin Academy of Fine Arts has completed the connection with four carriers of CERNET, Unicom, Telecom and Mobile by using the technologies of policy-based routing and NAT on boundary firewall, which realizes the multi-export traffic scheduling, and the redundancy and fault-tolerance of routing links, the experience of campus network users has been improved. This is an economic and practical campus network multi-export construction scheme suitable for small and medium campus network.

Key words: policy-based routing; traffic scheduling; multi-export; NAT; firewall

0 引言

校园网多出口建设源于解决CERNET高昂的国际流量费,天津商业大学2004年就在Cisco交换机和路由器上完成了校园网的双出口构建[1]。当时设备要求不高,对于网络可用性没有改观。随着网络技术的发展,校园网多出口建设的主要目的转化为提高网络可用性与冗余,提升校园网用户的使用感受[2],可以使用智能DNS技术,根据解析的目的IP地址所属不同的ISP,选择不同的出口路由,达到校园网多出口优化的目的[3-4],或者使用策略路由技术,选择不同的出口路由,达到校园网多出口优化的目的[5]。

天津美术学院校园网出口拥有CERNET、联通、电信、移动四个运营商的网络连接,其中CERNET与天津教育科研城域网实现1000M连接,联通带宽为1G,电信带宽为600M,移动带宽为400M,如图1所示。天津美术学院师生使用校园网对于高清素材和影视资源的浏览观看属于专业学习需求,提升校园网的可用性、可靠性、冗余性、通达性是校园网建设和管理的重要工作。天津美术学院使用校园网边界防火墙的策略路由技术,最大程度发挥设备性能,满足校园网用户对于网络需求,提高用户的满意度。

1 校园网多出口环境的建设目标

天津美术学院校园网使用两台锐捷RG-N18010交换机做虚拟化,两个校区的所有业务网关都设置两台虚拟化RG-N18010上。RG-N18010无线控制器板卡和MSC流量控制板卡同样做虚拟化[6]。策略路由是由校园网边界防火墙设备来专门完成的,需要满足以下目标。

⑴ 防火墙具备将校园网安全隔离的功能,校园网用户在安全保护下,不需要关心网络出口连接,认证后无需任何操作即可正常工作。

⑵ 服务器原则上在CERNET服务,特殊的需要在其他ISP网络进行镜像的单獨进行配置。

⑶ 只有CERNET直连地址和学校图书馆购买的数据库资源,校园网用户访问需要路由选择CERNET线路。

⑷ 校园网用户访问根据目的地址的归属,路由选择相应运营商线路,策略路由的设备开销不能影响设备的正常运行,设备负荷在合理的低水平运转。

2 天津美术学院校园网多出口方案配置

天津美术学院采用山石SG6000-T-5防火墙做边界安全及路由设备,策略路由对于设备性能消耗大,选择一台高性能边界设备是策略路由成功实施运行的重要因素,山石SG6000-T-5防火墙具有智能链路负载均衡功能,可以提升链路利用效率,增强用户网络访问体验。

山石SG6000-T-5防火墙用两路万兆接口做端口聚合连接两台锐捷RG-N18010交换机,CERNET及联通、电信、移动四家运营商均采用千兆光纤连接,关于多出口和策略路由主要需要进行以下配置[7]:

2.1 特征地址库的维护

按照确定的策略路由目的地址原则,对于特征地址库进行维护:

CERNET地址库如下(地址表非常长,因此用省略号替代,其他ISP地址略):

isp-network China-cernet

subnet 1.51.0.0/16

subnet 1.184.0.0/159

......

subnet 223.128.0.0/15

电信、联通、移动地址库如下:

isp-network ChinaTelcom

isp-network ChinaUnicom

isp-network ChinaMobile

2.2 启用相关接口

启用各运营商IP地址组,以192.168.0.0网段地址代表,隐藏真实IP,启用联通接口为ethernet0/2(192.168.6.74),电信接口为ethernet0/3(192.168.148.50),移动接口为ethernet0/4(192.168.56.194),CERNET接口为ethernet0/5(192.168.216.253),各运营商可以启用进行带宽阈值配置,当某个运营商的接口流量超过一定阈值后,自动切换其他带宽,达到负载均衡的效果,提高网络带宽利用率。

2.3 配置NAT地址池,并在相应接口启用NAT

配置NAT使用的内外网地址池:

address "电信-NAT"

range 192.168.148.51 192.168.148.53

address "联通-NAT-pool"

range 192.168.10.49 192.168.10.51

address "移动NAT"

range 192.168.56.195 192.168.56.196

各接口已经配置运营商的IP地址作为NAT地址转换的地址池,在各端口启用NAT,以ethernet0/2联通出口为例:

link-perf-monitor interface "ethernet0/2"

application on

snat-pool "联通出口"

address-book "Any"

2.4 配置与校园网虚拟化核心交换机互联

两台锐捷RG-N18010交换机做虚拟化后与防火墙连接,防火墙端口聚合配置如下:

link-perf-monitor interface "aggregate1"

application on

snat-pool "内网聚合口"

address-book "Any"

interface aggregate1

zone  "trust"

ip address 10.5.1.5 255.255.255.252

bind pbr-policy "内网聚合口"

2.5 静态路由设置

在相关接口配置静态默认路由,启用整体策略路由。

按照特征地址库匹配目的地址进行策略路由:

ip route "ChinaTelcom " 192.168.148.49 10 weight 6

description "电信600M"

ip route "ChinaUnicom" 192.168.6.73 10 weight 10

description "联通1G"

ip route "China-cernet" 192.168.216.254 10

description "教育100M"

ip route "ChinaMobile" 192.168.56.193 10 weight 4

description "移动400M"

各运营商地址的静态默认路由配置:

ip route 0.0.0.0/0 192.168.6.73 weight 10 description

"联通上网1G"

ip route 0.0.0.0/0 192.168.56.193 weight 4 description

"移动上网400M"

ip route 0.0.0.0/0 192.168.148.49 weight 6 description

"电信上网600M"

ip route 0.0.0.0/0 192.168.216.254 description

"教育上網100M"

内网地址路由配置略。

2.6 服务器访问相关配置

启用访问控制列表将内网和服务器地址及端口进行配置(从略),并进行服务器教育网发布的路由配置:

ip route source 192.168.216.0/24 "ethernet0/5"

192.168.216.254

配置服务器静态路由地址就是为了保证校园网的服务器原则上在教育网发布服务,服务器区的各种服务,原则上使用教育网真实地址,路由选择CERNET线路。

猜你喜欢
天津美术学院联通校园网
天津美术学院作品
天津美术学院2021届毕业生优秀中国画作品
风起轩辕——联通五千年民族血脉
数字化校园网建设及运行的几点思考
天津美术学院油画系作品选
一张图读懂联通两年混改
试论最大匹配算法在校园网信息提取中的应用
微信搭台“联通” 代表履职“移动”
NAT技术在校园网中的应用
5G:电信联通的生死攸关之时