動態源地址路由在校園網管理中的應用

鐘锃光

（廈門大學經濟學院教學實驗中心，福建廈門361005）

動態源地址路由在校園網管理中的應用

鐘锃光

（廈門大學經濟學院教學實驗中心，福建廈門361005）

本文作者結合工作實踐，介紹了Router OS提供的動態策略路由在配置校園網中的應用，并特別介紹了幾種基于動態源地址路由的常見疑難問題解決方案。

Router OS；校園網配置；策略路由；源地址路由

一、典型的雙網環境

目前高校的校園網絡通常接入中國教育和科研計算機網（CERNET），但是基于網絡速度、互聯互通、城域網共享等因素，部分高校校園網絡還接入了本地的電信運營商網絡。

圖 典型的校園網雙網環境拓撲

這種雙網環境帶來了路由問題，經過路由器的數據包要發送到哪一個出口？這就需要用到策略路由。策略路由是一種基于路由表來決定如何對需要路由的數據包進行處理的機制，路由表決定了一個數據包的下一跳轉發路由器。

1.目的地址路由

一種策略路由是根據路由的目的地址來進行的，稱為目的地址路由，目的地址路由已經被廣泛支持，所以通常雙網環境的路由方案是根據CERNET的范圍，按照目標地址設定路由表：

/ip route

add dst-address=222.202.96.0/24 gateway=1.1.1.1 scope=255 target-scope=10

comment=""disabled=no

add dst-address=0.0.0.0/0 gateway=2.2.2.2 scope=255 target-scope=10

comment=""disabled=no

該配置設定：如果目標是222.202.96.0/24，數據包轉發給CERNET路由器1.1.1.1，否則一律轉發給電信網路由器2.2.2.2。

2.源地址路由

另一種策略路由是根據數據包源地址來進行策略實施的，稱為源地址路由。而支持源地址路由的軟硬件較少，只有部分昂貴的專業路由器才提供該項支持。而Router OS作為一種廉價路由器，基于強大的Linux內核，給用戶提供了一種實現源地址路由的方式，這大大方便了復雜環境下校園網的管理工作。

大多數高級路由器提供的源地址路由工作還只能按照源地址做簡單匹配判斷。然而Router OS提供了IPtables的mangle（標記）機制，可以在路由分配前根據數據包的各種性質加以標記，然后在路由分配時，根據路由表中對各種標記設置的下一跳路由進行轉發，這種方法極為強大和靈活。

二、校園網常見疑難問題的解決方案

1.按源地址分配出口

校園網管理中的一個常見需求就是按照地址來源分配出口。例如本文網絡拓撲中172.16.1.0/24為教師工作室，172.16.2.0/24為學生宿舍，要求教師工作室缺省路由改為2.2.2.2使用電信出口。

/ip firewallmangle

add chain=prerouting src-address=172.16.1.0/24 action=mark-routing

new-routing-mark=teacherStudio passthrough=yes comment=""disabled=no

在路由分配前給來自172.16.1.0/24的數據包加上標記teacherStudio

/ip route

add dst-address=0.0.0.0/0 prefsrc=0.0.0.0 gateway=2.2.2.2

check-gateway=ping distance=0 scope=255 targetscope=10

routing-mark=teacherStudio comment=""disabled=no

在路由分配時根據路由標記查詢路由表，把標記為teacherStudio的數據包送往電信路由器2.2.2.2。

2.在圖書館資源訪問控制中的應用

高校購買的學術數據庫資源一般是按照用戶IP授權的，這就要求管理員設定路由表，保證訪問數據庫資源的數據包通過CERNET路由器1.1.1.1。為了解決這個問題，筆者查詢了各數據庫資源的IP地址并編入了靜態路由表。但是隨著數據庫資源的增多、數據庫資源本身IP的變化等，導致靜態路由表的方法難以管理、經常失效，已不能滿足要求。經調查發現訪問數據庫資源前，用戶都要訪問圖書館首頁，筆者根據這種用戶行為模式設計了一種動態策略：

/ip firewall mangle

add chain=prerouting dst-address=3.3.3.0/24 action= add-src-to-address-list

address-list=lib address-list-timeout=1h comment="" disabled=no

把所有訪問圖書館網段3.3.3.0/24的IP地址加入address list(地址表)lib中

/ip firewallmangle

add chain=prerouting src-address-list=lib action= mark-routing

new-routing-mark=lib passthrough=yes comment="" disabled=no

把所有源地址來自地址表lib中的數據庫加上標記lib

/ip route

add dst-address=0.0.0.0/0 gateway=1.1.1.1 scope=255 target-scope=10

routing-mark=lib comment=""disabled=no設定策略路由把標記為lib的數據包送往CERNET路由器1.1.1.1。這樣一旦用戶訪問圖書館首頁，所有數據包在address-list-timeout指定的時間內都會自動被發送到CERNET路由，解決了數據庫訪問這個難題。

3.在P2P管制中的應用

根據調查，校園網中80%的帶寬被20%的P2P用戶所占用。Router OS提供多種途徑解決P2P控制問題，可以使用防火墻過濾，也可以使用總體流量控制。

/ip firewall filter

add chain=forward P2P=all-P2P time=8h-19h,fri,thu, wed,tue,mon action=drop

comment="P2P"disabled=no

該命令設定在周一到周五，8點到19點間不轉發P2P數據包。經過試驗，筆者發現防火墻配合基于標記和動態策略路由的方法最有效：

/ip firewallmangle

Add chain=prerouting src-address=172.16.0.0/16 P2P=all-P2P

time=8h-19h,fri,thu,wed,tue,mon action=add-srcto-address-list

address-list=P2P address-list-timeout=2h comment=""disabled=no

add chain=prerouting src-address-list=P2P action= mark-routing

new-routing-mark=P2P passthrough=yes comment=""disabled=no

周一到周五的8點到19點，使用任何P2P工具的IP被發現后會被記錄到address-list(地址池)P2P中,有效期2小時，來自地址池P2P的數據包被加上一個P2P路由標記。

/ip route

add dst-address=0.0.0.0/0 gateway=1.1.1.2 scope=255

target-scope=10

routing-mark=P2P comment=""disabled=no

在有效期內，所有來自P2P地址池的數據包將被轉發到一個不存在的下一跳路由。這樣對P2P使用者是一種警告。如果不使用這種完全阻斷的方式，也可以把下一跳路由設置為一個較慢的路由器。同時Router OS也提供帶寬限制的方式。

三、結語

對于多個網絡出口校園網的管理者來說，經常碰到各種難題，本文基于Router OS的動態路由管理機制，給出幾個常見問題的解決方案，希望能為高校網絡管理部門和技術人員提供參考。☉

[1]http://www.m ikrotik.com/[DB/OL]

[2]黎連業,張維,向東明.路由器及其應用技術[M].北京:清華大學出版社,2004.

[3]張新剛.淺析防火墻技術及其在高校校園網中的應用[J]. (中國)教育信息化,2006(5).

[4]張彬,苗軍民,王東方.高校校園網出口的管控策略設計[J]. (中國)教育信息化,2007(4).

[5]http://www.edu.cn/xin_xi_zi_xun_1625/20100226/ t20100226_451443.shtm l.[DB/OL].

（編輯：隗爽）

book=9,ebook=36

TP393.07

B

1673-8454（2010）13-0009-02