校園網快速訪問多出口技術研究

摘要：討論了校園網快速訪問建立多出口的關鍵技術，介紹了配置GLBP協議實現多出口網關冗余和負載均衡。

關鍵詞：策略路由 NAT 虛擬路由器 網關冗余 負載均衡

中圖分類號：TP393.18 文獻標識碼： A 文章編號：1002－2422(2008)03－0045－03

1 校園網多出口要達到的目標

(1)盡量不修改客戶端參數配置，使得用戶機器能正常工作。(2)用戶訪問CERNET免費站點時，網絡出口為CERNET；而訪問其他網站時，走本地ISP網絡出口。(3)校園網內外的用戶都能快速訪問校園網的WEB、MAIL等服務器。(4)盡量使用戶獲得一個快速、安全的訪問出口，盡可能地節約校園網的運營費用。

2 校園網多出口技術

2.1 PROXY SERVER技術

使用Proxy Server技術增加校園網出口，就是增加一臺既運行Server程序又運行Client程序的計算機，成為C/S模式下的一個中間服務代理機構，接入本地ISP。

Proxy Server處于客戶機與服務器之間，相對于遠程服務器，是客戶機，要向服務器提出各種服務請求；而相對于客戶機，又是一臺服務器，接收客戶機提出的各種申請并提供相應的服務。

從Client端通過TCP/IP向Server發出各種請求，到遠程Server響應請求后向Client回送所需信息都要經過ProxyServer。Proxy Server是網絡信息的中轉站，可在內網與外網之間充當防火墻，提高了內部網絡安全性能；同時也節省I－P開銷，可解決IP地址不足問題。但是，客戶機需要做一定的設置，校園網對外服務器不能通過本地ISP實現快速訪問。

2.2 NAT與策略路由技術

解決高校校園網直通本地ISP的辦法是NAT技術。NAT(NETWORK ADDRESS TRANSLATION)允許一個In－side網絡以一個Internet注冊IP連接到外部世界，其功能就是在Inside網絡的IP地址需要與Outside網絡通信時，把內部IP地址轉換成外部合法的IP地址。NAT設備維護一個NAT映射表，用來實現Outside網絡到Inside網絡和Inside網絡到Outside網絡的地址轉換。校園網NAT轉換有3種用法：(1)靜態NAT轉換：在NAT表中為Inside網絡和Out-side網絡之間建立一個固定的、一對一的IP地址映射。這種映射主要用于WWW、MAIL等對外服務器，以確保公眾網對校園網服務器的快速訪問。(2)動態NAT轉換，在Inside網絡和Outside網絡之間建立一個動態的IP地址映射，這時需要建立一個外部IP地址池，由路由器從外部IP地址池中選擇一個未使用的地址對內部IP地址進行轉換。每個轉換條目在連接建立時動態建立，而在連接終止時被回收。外部IP地址池最少可以設定一個。這種映射主要用在校園網用戶與本地ISP之間建立快速訪問通道。(3)PAT端口地址轉換：把多個內部IP地址映射到外部網絡同一個IP地址的不同端口號上，從而實現多對一的映射。PAT對于節省IP地址是最為有效的。

NAT通常在出口防火墻上設定，由出口防火墻承擔NAT轉換工作。

校園網在多出口環境下，為了實現校園網用戶快速訪問外部網絡，同時外部網絡又能快速訪問校園網對外服務器，必須進行策略路由配置。策略路由(FFR，POLICY-BASED ROUTING)不僅可以根據目的地址選擇路由，還可以根據數據包源IP地址、數據包大小、網絡應用等參數來選擇路由。

2.3虛擬路由器與策略路由技術

通過虛擬路由器，大的通信突發數據流只會對本路由器產生影響，而不會影響到其他的路由器，從而為終端用戶能夠得到穩定的網絡性能提供了保障。

為了實現以下分流目標：①教學辦公區教育網流量從Cemet出口走，其他流量從公眾網出口走：②學生宿舍區的所有免費地址列表流量從Cemet出口走，國際出口流量從公眾網出口走；③保證服務器對外正常服務。為此在出口設備(防火墻或路由器)上建立3個虛擬路由器：Str－TeleVR、Office VR、Cemet VR。Stu－Tele VR包含公眾網出口、內網學生宿舍區流量連接口：Office VR包含內網教學辦公區流量連接口；Cemet VR包含教育網出口。在校園網核心路由交換機上將校園網數據流分為學生宿舍區數據流和教學辦公區數據流，學生宿舍區數據流通過鏈路A流向出口路由器，教學辦公區數據流通過鏈路B流向出口路由器，如圖l所示。

2.4網關冗余與負載均衡技術

隨著網絡的發展和高校自身的需要，校園網出口往往會超過2個達到3個甚至4個，充分利用各出口鏈路做到網關冗余和負載均衡技術，這就要使用網關冗余和負載均衡技術。HSRP和VRRP是最常見的網關冗余技術。HSRP是Ciseo專有協議，而VRRP是Intemet標準。HSRP和VRRP類似，由多個路由器配置成一個組，創建出一個虛擬路由器，虛擬出一個網關來，客戶端指向虛擬網關。

GLBP和HRSP、VRRP不同的是，GLBP不僅提供冗余網關，還在各網關之間提供負載均衡。GLBP也是由多個路由器組成一個組，虛擬出一個網關來。這個虛擬IP分配給GLBP組中的所有路由器，實現路由熱備份。GLBP按一定機制選舉出一個AVG，AVG不是負責數據轉發的。非AVG被稱作AVF，其真正負責數據的轉發。AVG分配最多四個MAC地址給一個虛擬網關，GLBP組中的所有路由器都轉發包，但是各路由器只負責轉發與自己的虛擬MAC地址的相關的數據包。在計算機進行ARP請求時，用不同的MAC進行響應，這樣計算機實際就把數據發送給不同的路由器了，從而實現負載均衡。一個GLBP組只能有一個AVG和一個備份AVG，主AVG失敗，備份AVG頂上。一臺路由器可以同時是AVG和AVF。AVF是某些MAC的活動路由器，也就是說，如果計算機把數據發往這個MAC，它將接收。當某一MAC的活動路由器有故障時，其他AVF將成為這個MAC的新的活動路由器，從而實現冗余功能。

教育網、電信、網通路由器配置到一個GLBP組，并根據Weight值的不同按1：10：2分配流量。GLBP配置示例：

R_C(config－if)glbp 11 authentication rod5 key－string cisco

3 結束語

為了避免單一出口的脆弱性，不會因為單一ISP發生故障而造成全網中斷，同時為了實現出口的冗余備份和負載均衡，為用戶提供7×24小時優質網絡服務，校園網多出口建設是網絡發展的必然趨勢。