基于防火墙策略路由的校园网多出口解决方案

开篇：润墨网以专业的文秘视角，为您筛选了一篇基于防火墙策略路由的校园网多出口解决方案范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：由于不同ISP之间存在互连与互通问题，很多高校都采用同时接入Cernet和ChinaNet的方式，以提高校园网用户对公网的访问速度和降低网络使用费用，并利用出口的冗余，提高网络的稳定性。该文提出一个基于防火墙策略路由和动态DNS的校园网多出口解决方案，实现校园网环境中流量的双向分配控制，根据数据包的不同源或目的地址，由指定的接口进出，合理利用Cernet和ChinaNet的带宽资源，从而达到提高网络访问速度、降低网络费用的目的。

关键词：多链路；策略路由；链路负载均衡；网络地址转换

中图分类号：TP393 文献标识码：A 文章编号：1009-3044(2010)20-5439-03

The Solution for the Multi-Export of Campus Network Based on Firewall Strategy Routing

TIAN Gui-feng1, YIN Bang-zhi2

(1. College of Tianhe,Guangdong Polytechnic Normal University, Guangzhou 510540,China; 2.Heyuan Radio & TV University, Heyuan 517000, Guangdong, China)

Abstract： Due to the problem of interconnect and communication in the different ISP, many universities use Cernet and ChinaNet way access to internet, so as to improve the public network access speed and reduce costs in campus network users, and using the network of redundancy, so as to improve export network stability.This paper suggest a solution for the multi-export of campus network based on firewall strategy routing,realize two-way flow distribution control in the campus environment, according to the different source or destination address of data packet, and the interface, reasonable utilization bandwidth resources of Cernet and ChinaNet, so as to improve the network access speed and reduce network costs.

Key words: multi-link; strategy routing; link load balance; NAT

自中国网络市场被分割成南方电信和北方网通两个阵营以来，由于国内运营商间的互联带宽较窄，南北网络彼此之间相互访问比较缓慢。国内各高校一般都会接入Cernet，以访问中国教育科研网和互联网上的资源，由于中国教育科研网与一般的电信级运营网络不同，没有非常充裕的线路、设备冗余，有可能发生单点故障，对于校园网的稳定运行有一定的影响，同时，通过Cernet访问其他的公众网如Chinanet等速率缓慢，并且对于访问Cernet免费地址以外的内容可能需要支付额外的国际流量费用。为了提高校园网出口的稳定性和加快对公网的访问速度，降低网络费用，各高校通常会连接本地多个运营商的出口，例如：除了连接Cernet外，还可以连接电信、联通、铁通等网络出口，但这样就会出现新的问题：第一就是目前在中国不同ISP链路之间的互联互通问题，主要表现为在相同ISP（例如：电信）内相互访问比较快，当电信用户试图去访问位于另一个ISP（例如：联通）的网站内容时，访问速度就变慢了；第二就是当出口采用多链路时，如果有一条链路出现故障而中断时，如何自动将其所访问流量分配至其他尚在正常工作的链路上，避免ISP链路上的单点故障。

1 基于防火墙策略路由的校园网多出口解决方案解决方案实现原理

1.1策略路由和动态DNS的工作原理

传统的路由策略只能根据数据包的目的地址为用户提供比较单一的路由方式，主要解决网络数据包的转发问题，而不能提供有差别的服务。策略路由不仅能够根据目的地址，而且能够根据协议类型、报文大小、应用、IP源地址或者其它的策略来选择转发路径，策略可以根据实际应用进行多链路的负载均衡、单一链路上报文转发的QoS或者满足某种特定需求。当数据包经过路由器或防火墙转发时，路由器或防火墙根据预先设定的策略对数据包进行匹配，如果匹配到一条策略，就根据该条策略指定的路由进行转发；如果没有匹配到任何策略，就使用路由表中的条目按目的地址对报文进行路由。通过将教育科研网中的IP地址段在路由器或防火墙上按数据包的目的地址定义策略路由，即可实现内网用户访问教育科研网资源时，走教育科研网的出口，访问其它网络资源时走其它出口。策略路由工作流程如图1所示。

DNS（Domain Name System）的功能是实现域名和IP地址之间的相互转换。当用户在应用程序中输入主机域名时，DNS服务器可以将此名称解析为与之对应的IP地址。传统DNS上的域名解析一般是静态的，策略（动态）DNS可以根据客户端所在网络的不同，返回不同的解析结果。策略DNS可以实现公网或教育科研网用户访问校园网资源时分别走不同的线路。实现外网用户快速访问校园网资源。策略DNS工作原理如图2所示。

1.2需求分析

许多高校通过单一的线路Cernet接入Internet，访问公网的速度比较慢，并且对访问Cernet免费地址以外的资源可以需要支付额外的费用，随着校园网用户数量增加和基于校园网各种网络应用的展开，为了弥补单一链路的不足，提高内网用户访问互联网资源的速度，通常会连接本地多个运营商的出口（比如电信、联通）。为了更好了发挥校园网多出口的优势，必须调整原有网络系统的配置，以满足以下三方面的要求：

1）校园网用户访问教育科研网的资源时，出口线路走Cernet，访问其它互联网资源时，走Chinanet线路出口。

2）当Cernet或Chinanet出口中有一条链路出现故障而中断时，可以自动将其所访问流量分配至其他尚在正常工作的链路上，避免ISP链路上的单点故障。

3）解决外部公众网的用户访问我校校园网主页的速度过慢的问题。

1.3 实现过程

为了解决以上需求，下面以广东技术师范学院天河学院校园网为例，校园网拓扑结构如图3所示，说明如何在fortigate防火墙上采用策略路由等配置，根据所接收数据包的目的地址进行数据包的转发，来实现校园网环境中流量双向分配控制的解决方案，以提高校园网对公网的访问速度和提高校园网出口的稳定性，降低网络使用费用，具体实现过程：

1）配置多条默认路由：为了使多条链路同时转发数据，提高校园网出口速度，我们需要给每条链路都需要配置一条默认路由，且每条链路的管理距离相同，这样在路由表中存在多条链路的默认路由，配置命令如下：

config route static

edit 1

set device “port1” (默认路由的出口是“port1”接口)

set dst 0.0.0.0 0.0.0.0

set gateway 219.213.136.254(其中219.213.136.254为教育科研网网关地址)

set weight 50 (设置管理距离为50)

next

edit 2

set device “port2”

set dst 0.0.0.0 0.0.0.0

set gateway 58.62.220.14 (其中58.62.220.14为中国电信的网关地址)

set weight 50

2）链路失效检测（Ping服务器）：为了避免ISP链路上的单点故障．可以通过配置链路失效检测达到这一目的。链路失效检测可以检测到对端的链路是否正常，Ping服务器的地址一般是下一跳或网关地址，配置命令如下：

config system interface

edit "port1"

set ip 219.223.136.1 255.255.255.0

set gwdetect enable (开启链路失效检测)

set detectserver "219.223.136.254" (检测服务器IP为教科网的网关地址)

set detectprotocol ping (检测协议为ping的方式)

next

edit "port2"

set ip 58.62.220.1 255.255.255.240

set gwdetect enable

set detectserver "58.62.220.14"

set detectprotocol ping

3）配置策略路由：为了解决多出口不同ISP之间的互联互通的问题，可以通过配置策略路由实现。当数据包匹配策略路由时，策略路由就会比路由表中其他所有路由都优先（包括直连和默认路由）。当配置策略路由时，最好只选择流出接口而不填写网关地址。这样做可以确保在链路断掉时策略路由就不会有效。具体配置命令如下：

config router policy

edit 1

set input-device "port3"(设置数据入的端口为连接校园网内部的端口“port3”)

set src 0.0.0.0 0.0.0.0(设置数据的源地址为所有地址)

set dst 58.154.0.0 255.254.0.0 (设置数据的目的地址为教育科网地址段58.154.0.0/15)

set output-device "port1" (设置数据的出口为教育科研网接口“port1”)

next

edit 2

set input-device "port3"

set src 0.0.0.0 0.0.0.0

set dst 58.192.0.0 255.240.0.0

set output-device "port1"

…(将教育科研的地址段按以上格式一一写出)

edit 200

set input-device "port3"

set src 0.0.0.0 0.0.0.0

set dst 0.0.0.0 0.0.0.0(除教育科研网地址段以外的目标地址)

set output-device "port2" (设置数据的出口为中国电信的接口)

set gateway 58.62.220.14 (设置网关地址为电信的网关58.62.220.14)

此处设置网关地址的作用是避免中国电信的链路出现故障，将所有流量自动切换到教育科研网的出口，因为部分高校利用Cernet访问除免费地址外的流量是需要收费的，可以根据实际情况设置该参数。

4）配置防火墙策略：为了保障一条链路断掉后另一条会正常工作。我们必须配置多条防火墙策略，在以上校园网拓扑图中，我们必须要配置以下两种类型的防火墙策略，设置”port3” ―>“port 1” 的策略和”port3” ―>” port2” 的策略。

2 结论

通过上述配置，校园网的内部用户访问互联网时都按其访问的目的走相应的策略路由，提高内网用户访问教育网和公众网的速度。由于公网用户仍然通过教育网访问学校主页，存在访问速度较慢的问题。为了解决这个问题，我们可以在DNS服务器上做一个“基于策略解析”的DNS，针对外网用户的IP分布将学院域名分别解析为教育网IP和公网IP，然后在防火墙上将WWW服务器的内网IP地址做静态网络地址转换（NAT），分别映射为电信的公共IP地址和教育科研网的公共IP地址。即可实现多出口的校园网环境中流量双向分配控制。

参考文献：

[1] 孟中,缪元照.校园网双出口方案探讨[J].计算机与现代化,2004(1).

[2] 刘伟,崔永锋.基于防火墙和策略路由的校园网双出口实现[J].周口师范学院学报,2006(3).

[3] 王世恭,李文化.基于双出口校园网WEB访问策略[J].农业网络信息,2007(5).

[4] 沈江玮,O伍,王清水.基于校园网的链路负载均衡测试和实现[J].中国教育信息化,2007(10).