基于防火墙和核心交换机的校园网双出口解决方案

开篇：润墨网以专业的文秘视角，为您筛选了一篇基于防火墙和核心交换机的校园网双出口解决方案范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：采用默认路由，静态路由，网络地址转换等技术实现校园网双出口的设计及配置，是两出口协调工作，合理的分担了进出校园网的流量，提高了校园网双出口的利用率。

关键词：双出口 校园网解决方案 静态路由

一、问题分析与提出

校园网是高校的信息化建设的基础设施，是教学科研管理信息化和现代化的重要平台。大部分高校校园网从初建至今已有几年的历史。我院于2005年申请一条10M的网通线路接入Internet，用于日常办公和教学使用。网络拓扑图如图1：

由于学院的发展和招生、评估等需求，我院于2007年又接入一条100M教育网。众所周知，教育网内部访问速度是非常快的，但是由于教育网与其他非教育网络如CHINANET之间存在瓶颈，所以从教育网访问新浪、搜狐等非教育网站点时速度相对较慢。在网络改造时我们同时保留网通10M线路，这样做的好处是可以同时高速访问教育网资源和非教育网资源，满足师生学习和办公的需求。

接入教育网后，校园网应满足如下需求：

（1）客户端IP地址设置不受影响，即不用重新设置地址就可以正常上网；

（2）客户端访问教育科研网的网站时，走教育网线路，访问其他站点时，走网通线路。

（3）尽可能的节约校园网调整、改造的投资。

校园网改造后结构如图2：

二、基本技术介绍

目前解决网络双出口的方案通常会使用默认路由、静态路由、NAT转换等技术。

1.静态路由

静态路由是在路由器中设置的固定的路由表。除非网络管理员干预，否则静态路由不会发生变化。静态路由的优点是简单、高效、可靠。在所有的路由中，静态路由优先级最高。当动态路由与静态路由发生冲突时，以静态路由为准。这种方式对于上网的路由选择与用户无关，用户的上网方式无需进行任何改动，可操作性较好。同时，网络管理人员可以根据两个出口的带宽和流量情况，调整路由指向。

建立静态路由的命令为：

ip route 目的地址网络 目的网络子网掩码 下一跳地址

2.默认路由

默认路由是一种特殊的静态路由,指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择。默认路由在某些时候非常有效,当存在末梢网络时,默认路由会大大简化路由器的配置,减轻管理员的工作负担,提高网络性能.

3.NAT技术

NAT(Network Address Translation)顾名思义就是网络IP地址的转换。NAT的出现是为了解决IP日益短缺的问题，将多个内部地址映射为少数几个甚至一个公网地址。这样，就可以让我们内部网中的计算机通过伪IP访问INTERNET的资源。目前NAT功能通常被集成到路由器、防火墙等设备中。NAT设置可以分为静态地址转换、动态地址转换和端口地址转换。

（1）静态地址转换

静态地址转换将内部本地地址与内部合法地址进行一对一地转换，且需要指定和哪个合法地址进行转换。如果内部网络有WWW服务器或FTP服务器等可以为外部用户提供服务，则这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。

（2）动态地址转换

动态地址转换也是将内部本地地址与内部合法地址一对一地转换，但是动态地址转换是从内部合法地址池中动态地选择一个未使用的地址来对内部本地地址进行转换的。

（3）端口地址转换

端口地址转换首先是一种动态地址转换，但是它可以允许多个内部本地地址共用一个内部合法地址。对只申请到少量IP地址但却经常同时有多个用户上外部网络的情况，这种转换极为有用。

三、具体解决方案

此技术方案采用策略路由结合网络地址转换和访问控制列表来具体实现，在本校出口采用NAT和策略路由技术，对于访问目标地址不在CERNET范围之内的，或属于公众网的地址，首先通过NAT进行网络地址转换，然后将请求通过网通出口路由出去，将计算机与CERNET及其联网单位的通信通过CERNET出口进行。

由于涉及到网络安全机密，校园网的各个接口地址均由其他地址代替。其中：校园网内部地址为59.68.0.0/24，10.0.0.0/24表示校园网内部服务器的地址，192.168.0.0/24表示网通地址。连接网通防火墙的ip地址为172.16.0.254，教育网路由器的ip地址为59.68.0.254。配置方案如下（以下配置均以思科产品为准）：

1．核心交换机的配置

（1）设置默认路由指向连接网通路由器：

ip route 0.0.0.0 0.0.0.0 10.0.0.254

（2）对于所有走教育网流量设置静态路由，指向连接教育网的路由器。

ip route 4.17.184.59 255.255.255.255 59.68.0.254

ip route 12.130.28.213 255.255.255.255 59.68.0.254

ip route 58.116.0.0 255.252.0.0 59.68.0.254

……

ip route 222.204.0.0 255.254.0.0 59.68.0.254

ip route 222.206.0.0 255.254.0.0 59.68.0.254

ip route 222.248.0.0 255.254.0.0 59.68.0.254

由于教育网上经常会增删一些IP地址，未免IP地址有变化或者教育网站点不全面，可从教育科研网（www.省略）下载最新地址列表。同时为避免静态路由条目太多，可使用超网技术合并一些相似的IP地址。

2.在防火墙上进行NAT配置

通常的做法是将NAT放在路由器上，由于路由器采用硬件技术进行数据包转发，具有转发速度快的特点，但路由器是靠软件来实现地址转换的，当地址转换列表大量产生时，会导致路由器的CPU的利用率过高甚至产生宕机现象。

在路由器满负荷工作时，防火墙、核心交换机的负荷却很低，还没有充分发挥这些设备的性能，所以将路由器的工作分散到防火墙上。利用防火墙作NAT，无论转换速度还是处理能力都比用路由器做NAT效果好得多，不会出现占用CPU资源过高的现象。

ip address outside 172.16.0.254 255.255.255.0

ip address inside 172.16.100.1 255.255.252.0

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

四、结束语

校园网按新的拓扑结构改造后，很好的解决了以前在校园网双出口实施中存在的问题，运行以来效果很好，由于在核心交换机上作优化的策略路由，利用防火墙作网络地址转换，校园网用户既可以高速地访问教育网上的资源，本地ISP出口也不显得拥挤不堪。校园网的双出口已为越来越多的学校所采纳，解决方案亦是仁者见仁、智者见智。在确定方案的时候，应根据所选用的设备和设计要求，合理的进行设计。

参考文献

[1]徐宏，程代伟，池亚平译CCNA学习指南第2版电子工业出版社2005

[2]刘伟，崔永峰基于防火墙和策略路由的校园网双出口实现周口师范学院学报2006

[3]黄世权校田网双出口方案的设计与实现涪陵师范学院学报2005

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文