江蘇廣電網站ＩＤＣ雙線路網絡方案淺析

2008-12-31 00:00:00張海勇

電腦知識與技術 2008年30期

摘要：新落成的江蘇廣電城將即將投入使用，江蘇廣電網站搬入大樓全新的IDC機房。與廣播、電視并列為江蘇廣電總臺三大宣傳陣地的廣電網站由于受困于中國南北方網絡瓶頸的限制，經常造成網絡視音頻節目傳播不暢，所以同時接入電信和網通成為解決問題的必要手段。此文首先對IDC雙線路關鍵技術進行了概述，然后著重介紹了根據防火墻接口地址制定策略路由、實現雙線路的方法。

關鍵詞：雙線路；智能DNS；基于鏈路接口的策略路由

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)30-0573-03

Brief Analysis of the IDC double Circuit Network plan of Jiangsu Broadcasting Website

ZHANG Hai-yong

(Jiangsu Broadcasting Corporation，Nanjing 210087，China)

Abstract: The newly constructed Jiangsu Radio City will be fully put into use， the Jiangsu Broadcasting Website have been moving into the new IDC room of the building. Because the website which is tied for the three media of Jiangsu Broadcasting Corporation with radio TV stalemated in Chinese North and South network bottleneck， it ofen caused the audio and video program to disseminate intermittently. It is necessary that the website links to the CHINA TELECOM and CNC Simultaneously for solving the problem. This article introduces the IDC double circuit technique firstly， then the realizing method according to the policy routing based on the firewall interface is emphasized.

Key words: double circuit; intelligent DNS; policy routing based on interface

1 引言

由于中國電信和中國網通分別運營南方21省及北方10省互聯網骨干網，運營商之間的網絡訪問瓶頸導致在南方和北方的網站互訪速度非常緩慢，地處中國電信的江蘇廣電網站一直深受此困擾。江蘇廣電網站以視頻新聞為主要宣傳特色，絕對唱響、名師高徒全國選秀類節目會讓網站訪問量突起，每逢此時中國北方網絡用戶訪問江蘇廣電網站就會遭受嚴重的網絡瓶頸制約。如果長此下去網站的事業傳播與發展必會受到影響，在這種情況下，采用IDC雙線路技術同時接入中國電信和中國網通已經成為解決問題的必要手段。

2 問題的分析和提出

雙線路技術就是通過特殊的技術手段把不同的網絡接入商（ISP）服務接入到一個服務器集群或某一臺服務器上面，使服務器所提供的網絡服務訪問用戶能盡可能以本地所屬ISP連接來進行訪問，從而解決或者減輕跨ISP用戶訪問網站的緩慢延遲(南北網絡瓶頸)問題。

傳統的做法采用雙線路雙網卡實現方式：在同一服務器上面配置雙網卡，分別連接兩個網絡服務提供商，在這兩塊網卡上設置一個網通IP和一個電信IP，在服務器上配置路由表實現訪問網通和電信的用戶各自走不同的通道。在網站上設置網通IP地址鏈接和電信IP地址鏈接，網通用戶和電信用戶分別點擊各自的IP訪問服務器。

此方式缺點：服務器接入的是雙網卡，需要由專業技術人員在服務器上設置路由表，在服務器數量很多是增加了維護量和維護的難度，而且所有數據包都要在服務上路由判斷后再發往網通或電信的網卡。若訪問量較大時，占用服務器的資源很大，導致網站性能降低。所以，此方式只能用于規模較小的網站。

江蘇廣電網站服務器有幾十臺之多，顯然不適合以上方案。結合自身特點，考慮接入雙線路后，首先解決南北運營商網絡瓶頸，提高網站訪問速度，使網通的用戶通過網通網絡訪問江蘇廣電網服務器，電信的用戶通過電信網絡訪問江蘇廣電網服務器。其次，能實現內部上網用戶分流。由此產生的具體需求如下：

1) 每臺服務器對外只提供唯一的域名，單域名雙線路。

2) 每臺服務器對外都具有合法的電信和網通IP地址，所有服務器如WWW、FTP以及SMTP等都能被外部網絡正常訪問。

3) 網通和電信用戶以本地所屬ISP連接來進行訪問。

4) 內部員工上網通過雙線路自動識別目的IP的歸屬，走最近的線路訪問INTERNET，提高訪問速度。

5) 建立VLAN策略和入侵防御安全方案。

3 關鍵技術介紹

3.1 智能DNS

DNS的主要功能是將難記的IP地址和容易記憶的域名進行轉換，當用戶在瀏覽器中輸入主機域名時，DNS服務器可以將此名稱解析為與之對應的IP地址。這種DNS上的域名解析一般是靜態的，即域名與IP地址是一一對應的。

智能DNS 指的是基于一種策略，服務器根據請求解析的客戶端所處在的網絡，返回相應的解析結果；或者是DNS 服務器根據客戶端所在網絡的不同，應用不同的安全策略，比如對內網用戶提供遞歸解析服務的同時忽略外網用戶的遞歸解析請求等。

3.2 策略路由

策略路由是基本路由功能的智能延伸，它不僅可以根據數據包目的地址、源地址、數據包大小等條件為依據來進行路由選擇，還可以根據設備鏈路接口來選擇路由。在外網訪問內網服務器（Inbound）中，多采用基于設備接口的策略路由；內網訪問外網（Outbound）多采用基于目的地址的策略路由。策略路由可通過路由器、防火墻實現，配置策略路由通常包括以下幾個步驟：

1) 定義路由映射來控制數據包的出口；

2) 為定義的路由映射設置匹配標準；

3) 為與給定標準相符的數據包設定路由處理行為（選擇路由路徑）；

4) 為需要進行策略路由的端口指定相應的策略路由；

5) 設置相應的訪問控制列表作為路由映射的匹配標準。

3.3 地址映射

地址映射（NAT）主要有兩種類型：動態映射及靜態映射，通常在路由器或網關上實現。其中靜態NAT是將內網的每個IP永久映射為外網中的某個合法IP地址。而動態NAT則是在公眾網定義了一系列的合法地址，采用動態分配的方法映射到內部網絡。本文采用靜態NAT方式讓內網的每一臺服務器擁有電信和網通的2個公網IP，采用動態NAT方式讓內網的上網用戶動態獲取電信（網通）地址池中的隨機地址。

4 關鍵配置與實現

此方案以防火墻為核心出口設備，采用4口的阿姆瑞特防火墻，一口接電信，一口接網通，一口接服務器區VLAN，一口接內網用戶區VLAN。在防火墻和服務器區之間串接入侵防御系統IPS。網絡布局主要是采用三層交換機CISCO3560建立VLAN的VTP域，劃分多個VLAN。一方面根據需要制定VLAN之間的訪問控制策略，隔離服務器區和內網區，于是連接服務器區的VLAN和連接內網區的VLAN被隔離開來。另一方面采用端口劃分VLAN的方式使得調整服務器和內網計算機數量變得非常便利，不會局限于某一臺交換機的物理位置和端口數量。如圖1所示。

4.1 防火墻的配置

防火墻作為核心出口設備，同時接入電信和網通兩路鏈路。上行和下行的網絡數據傳輸全部通過防火墻來路由，外網訪問服務器（Inbound）采用基于防火墻鏈路接口的策略路由，內網訪問公網（Outbound）采用基于目的地址的策略路由。此方案采用阿姆瑞特防火墻實現雙鏈路路由功能。服務器的內部地址為私有地址192.168.1.80-192.168.1.110，電信公網地址為218.94.74.1-32，網通公網地址為58.240.127.160-192。

1) 對于每一臺服務器，其電信和網通的兩個公網IP地址同時靜態映射到一個內部IP上，以WWW服務器為例，配置如下：

NAME sat_216_網通

SATanyall-nets any58.240.127.180 webmail SETDEST192.168.1.80

NAME sat_216_電信

SATanyall-nets any218.94.74.20 webmail SETDEST 192.168.1.80

（SAT為靜態映射命令，58.240.127.180、218.94.74.20為網通和電信的公網IP地址，ebmail為預定義的端口，SETDEST 192.168.1.80表示指向目的IP，其它的服務器以此類推．．．．．．）

2) 對于外網訪問服務器采用基于防火墻鏈路接口的策略路由制定回路路由。即對于從電信鏈路來的訪問請求，回路路由走防火墻的電信鏈路接口；對于從網通鏈路來的請求，回路路由走防火墻的網通鏈路接口。主要配置命令如下：

電信用戶訪問內部服務器的電信公網IP

NAME 電信_in ROUTE { RET tel_out }any all-nets any tel_net Standard；

ROUTES；

PBRTABLE tel_out ORDERING Default；

lan_電信接口all-nets218.94.74.1；（電信出口網關IP）

END．

（第1行命令通過RET tel_out指定回路路由為電信鏈路接口路由，tel_net表示被訪問的

電信IP網段，下面4行命令對電信鏈路接口路由進行了描述。）

網通用戶訪問內部服務器的網通公網IP

NAME 網通_in ROUTE { RET cnc_out } any all-nets any cnc_net Standard；

ROUTES；

PBRTABLE cnc_out ORDERING Default；

lan_網通接口all-nets58.240.127.165；（網通出口網關IP）

END．

（第1行命令通過RET cnc_out指定回路路由為網通鏈路接口路由，cnc_net表示被訪問

的網通IP網段，下面4行命令對網通鏈路接口路由進行了描述。）

3) 內部員工訪問外網采用基于目的地址的策略路由技術。在防火墻中設置電信和網通的IP地址表，對于目標地址屬于電信的IP則從電信的鏈路進行NAT后轉發；對于目標地址屬于網通的IP則從網通的鏈路進行NAT后轉發；對于目標地址既不屬于電信也不屬于網通的通過電信出口轉發。主要配置如下：

NAME lan-out-telnet

NAT lan_內網 any Standard ICMPRet {}SETSRC 218.94.74.8

NAME Lan-out-other

NAT lan_內網 any all-nets All ICMPRet {} SETSRC 58.240.127.169

（電信_net代表所有電信IP地址段，NAT為電信接口地址轉發；all-nets代表所有非電信IP地址段，NAT為網通接口地址轉發。）

4.2 智能DNS配置

基于策略DNS 的解決思路就是首先架設DNS 服務器，配置相應的策略：網通網絡所在的用戶請求域名解析，返回網通IP 的響應，其他的則返回電信的IP 解析。

DNS 服務器架設本系統在linux 平臺下塔建，在linux 下安裝DNS 服務器軟件Berkeley 的BIND(Berkeley Internet Name Domain)，版本是9.3.2，BIND9以下版本沒法實現策略域名的功能，在9 以上版本添加了VIEW選項，可以根據不同的Client提供給不同的解析地址。

安裝好DNS 服務器后，就可以對其進行配置，實現策略域名解析功能，以下為主要配置文件/etc/named.conf的主要內容。

1) 定義一個訪問控制列表，把網通的IP 添加到表里：

ACL \"CNC\"

{ 58.16.0.0/16;202.99.208.0/15;

202.99.232.0/21;58.18.0.0/16;．．．．．．;

202.99.240.0/20;58.19.0.0/16;．．．．．．

};

2) 配置網通、電信的VIEW選項

VIEW \"CNC\"

{ match- clients {CNC;};

zone \"jsbc.com\" {type master;file \"db1.jsbc.com\";}; //網通解析文件。

VIEW \"ANY\" //定義網通以外其他VIEW文件

{ match- clients {any;};

zone \"jsbc.com\"{type master;file \"db2.jsbc.com\";};//電信及其它解析文件

配置完named.conf 文件后，還要指定db1.jsbc.com、db2.jsbc.com的A記錄，把www、mail等對應不同的IP地址，配制才真正完成。

4.3 vlan配置

江蘇廣電網站服務器和員工辦公計算機數量眾多，考慮采用劃分VLAN的方式建立網絡安全架構。由于服務器分布位置和辦公計算機的分布位置無法完全分開，所以正好適合采用基于端口劃分的vlan：三層交換機之間采用VTP域，以一臺3層交換機建立VTP server，其他的為VTP client。根據部門行政劃分的需要確定員工工作計算機vlan的數量，根據服務器不同的應用類型確定服務器VLAN數量。VLAN使得服務器區和內網隔離，同時端口的調整使得服務器和內網計算機數量的調整變得非常便利，不會局限于某一臺交換機的端口數量。

1) 跨越多個交換機劃分VLAN，首先建立VTP域，一個交換機設置為VTP服務器，其余的設置為VTP客戶端，主要配置如下：

CISCO3560#vlan database//進入VLAN配置模式

CISCO3560(vlan)#vtp server (client)//設置為VTP SERVER(client)

CISCO3560(vlan)#vtp domain JSBC//設置vtp域名

2) 創建VLAN

CISCO3560(vlan)#vlan 3 name OFFICE //創建VLAN3，命名為OFFICE

3) 基于端口劃分VLAN，

CISCO3560(config)#interface fastethernet0/2 //設置F0/2口靜態VLAN訪問模式CISCO3560(config-if)#switchport mode access

CISCO3560(config-if)#switchport access vlan 3//此口分配給VLAN3

5 結束語

江蘇廣電網站IDC雙線路方案，服務器全部采用單網卡方式，基于智能域名解析，通過防火墻分別對應電信和網通

接入，由此減少了雙網卡方式帶來的麻煩，實現了安全高效的對外視音頻發布和內部用戶訪問INTERNET，從而解決了不同運營商造成的南北方網絡瓶頸問題。目前以江蘇廣電總臺《絕對唱響》海選節目和《抗震救災》的視頻傳播為測試，取得了良好的效果。