多出口校園網(wǎng)絡(luò)路由策略的優(yōu)化的研究

袁高龍

摘 要

文章從多出口校園網(wǎng)PBR的優(yōu)化選擇、實(shí)際應(yīng)用、應(yīng)用過(guò)程中的問(wèn)題處理措施、進(jìn)一步優(yōu)化建議等方面開(kāi)展研究，提出加強(qiáng)防火墻設(shè)置、網(wǎng)址轉(zhuǎn)換（NAT）等優(yōu)化校園網(wǎng)多出口網(wǎng)絡(luò)路由策略的方法。旨在為各地多出口校園網(wǎng)絡(luò)路由的優(yōu)化提出可參考性建議。

【關(guān)鍵詞】PBR 多出口防火墻 高速訪(fǎng)問(wèn)

策略路由（policy-based routing，簡(jiǎn)稱(chēng)PBR），我國(guó)大部分的高校校園網(wǎng)采取的方案為：經(jīng)由一條線(xiàn)路接入教育網(wǎng)，因?yàn)榻逃W(wǎng)中的地址資源相對(duì)充足，所以校園網(wǎng)的個(gè)人計(jì)算機(jī)與服務(wù)器均可采用真實(shí)的IP地址。但寬帶問(wèn)題導(dǎo)致校園網(wǎng)訪(fǎng)問(wèn)速度慢，加上高校將校園網(wǎng)接入鐵通、網(wǎng)通等服務(wù)供應(yīng)商，所獲得的地址資源減少。如此一來(lái)，需要在接入服務(wù)供應(yīng)商的網(wǎng)絡(luò)時(shí)進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換，即NAT，并部署多出口的防火墻以提高網(wǎng)絡(luò)安全性。

1 PBR的優(yōu)化研究

1.1 校園網(wǎng) PBR方案的選擇及其應(yīng)用

從 PBR的選擇能夠?yàn)槎喑隹谛@網(wǎng)絡(luò)優(yōu)化提供良好的基礎(chǔ)，并將其方案應(yīng)用到實(shí)際校園網(wǎng)中。

1.1.1 PBR優(yōu)化選擇

PBR能夠進(jìn)行靈活的路由與數(shù)據(jù)包轉(zhuǎn)換，并根據(jù)所提供的相關(guān)信息選擇轉(zhuǎn)發(fā)路徑。例如基于目的地址的路由方式，主要根據(jù)目的信息選擇轉(zhuǎn)發(fā)路徑。

基于NAT的校園網(wǎng)多出口路由策略：

（1）有效利用三條線(xiàn)路資源：因?yàn)镮Pv4的公用網(wǎng)站有效，因此大部分的高校采用基于NAT的多出口路由策略方案，提高訪(fǎng)問(wèn)速度。多個(gè)出口路由策略方案需要建立在“有效利用三條線(xiàn)路資源”的基礎(chǔ)上。

（2）合理設(shè)置兩條公網(wǎng)線(xiàn)路：為了實(shí)現(xiàn)路由器的動(dòng)態(tài)網(wǎng)絡(luò)分配，需要合理設(shè)置兩條公網(wǎng)線(xiàn)路，將其線(xiàn)路分別置于端口。

（3）劃分IP地址：根據(jù)教育網(wǎng)、電信、網(wǎng)通的不同，劃分IP地址，目的地址（電信網(wǎng)絡(luò)擁有）為教育網(wǎng)的報(bào)文通過(guò)教育網(wǎng)出口進(jìn)行傳輸。

（4）安裝流量監(jiān)控設(shè)備：顧名思義，流量監(jiān)控設(shè)備的主要作用是監(jiān)控網(wǎng)絡(luò)線(xiàn)路端口的流量，還能夠適當(dāng)?shù)恼{(diào)整流量。

1.1.2 PBR的在校園網(wǎng)中的實(shí)際應(yīng)用

PBR的靈活運(yùn)用能夠最大程度滿(mǎn)足校園網(wǎng)路由需要求，還能夠?qū)崿F(xiàn)網(wǎng)絡(luò)中的信息互換，優(yōu)化基于NAT校園多出口路由策略。

以實(shí)現(xiàn)網(wǎng)站便捷訪(fǎng)問(wèn)為例：校園網(wǎng)的服務(wù)器采用 PBR，并于核心交換機(jī)上安裝源IP地址路由設(shè)備。步驟為：借助ACD區(qū)分服務(wù)器的IP——設(shè)置對(duì)應(yīng)的策略使用路由圖——將方案應(yīng)用在連接服務(wù)器接口上。

2 常見(jiàn)的路由問(wèn)題與措施

針對(duì)多出口校園網(wǎng)絡(luò)路由常見(jiàn)問(wèn)題（以地址轉(zhuǎn)換引發(fā)的問(wèn)題、狀態(tài)防火墻引發(fā)的問(wèn)題為例），探討有效的解決措施，以此改變當(dāng)前多出口校園網(wǎng)網(wǎng)絡(luò)路由現(xiàn)狀，實(shí)現(xiàn)優(yōu)化目標(biāo)。

2.1 解決地址轉(zhuǎn)換問(wèn)題

因?yàn)樾@網(wǎng)中同時(shí)使用的計(jì)算機(jī)設(shè)備數(shù)量較大，計(jì)算機(jī)設(shè)備通過(guò)路由進(jìn)行NAT，對(duì)路由造成的壓力增加。由于UDP報(bào)文對(duì)NAT形成穿透能力，所以，許多的P2P軟件利用該功能實(shí)現(xiàn)最大化的數(shù)據(jù)流量共享。因此，在校園網(wǎng)中常常會(huì)出現(xiàn)這樣一個(gè)問(wèn)題，路由器的CPU長(zhǎng)期處于最大化的工作狀態(tài)。

針對(duì)地址轉(zhuǎn)換帶來(lái)的問(wèn)題，進(jìn)行解決對(duì)策的研研究，得出以下幾點(diǎn)改進(jìn)建議：應(yīng)用 PBR，確保一定的路由服務(wù)需求與服務(wù)的優(yōu)先級(jí)；應(yīng)用流量監(jiān)控設(shè)備，監(jiān)控并合理調(diào)整流量；應(yīng)用NAT設(shè)備，確保地址轉(zhuǎn)換的安全，例如路由器NAT板、硬件防火墻等。

2.2 解決路由防火墻問(wèn)題

校園網(wǎng)應(yīng)用大量的教育網(wǎng)IP地址，一旦互聯(lián)網(wǎng)上有用戶(hù)訪(fǎng)問(wèn)這些地址時(shí)，SYN報(bào)文經(jīng)由防火墻深入校園網(wǎng)，在多出口網(wǎng)絡(luò)系統(tǒng)中，該訪(fǎng)問(wèn)SYN報(bào)文會(huì)被公網(wǎng)出口丟棄。不這些報(bào)文的丟棄會(huì)多網(wǎng)絡(luò)安全造成影響，大量損耗防火墻資源，長(zhǎng)期的積累網(wǎng)絡(luò)安全性能低、同時(shí)防火墻的功能也難以發(fā)揮。

對(duì)此，需要在校園網(wǎng)的路由防火墻上安裝訪(fǎng)問(wèn)策略，用以阻止來(lái)自互聯(lián)網(wǎng)的非服務(wù)器訪(fǎng)問(wèn)，實(shí)現(xiàn)校園網(wǎng)對(duì)外網(wǎng)的訪(fǎng)問(wèn)。值得注意的是，并非所有的防火墻都能夠運(yùn)用同一方式設(shè)置其策略，應(yīng)當(dāng)根據(jù)其性質(zhì)進(jìn)行路由策略設(shè)置。

3 進(jìn)一步優(yōu)化建議

由于校園網(wǎng)中的基本網(wǎng)絡(luò)服務(wù)（例如WWW）需要從外界獲取信息服務(wù)，會(huì)形成一定的CERNET流量花費(fèi)。對(duì)此，設(shè)置路由器將該類(lèi)服務(wù)器的IP地址規(guī)定在CERNET免費(fèi)地址里，達(dá)到降低流量花費(fèi)的作用。設(shè)置步驟如下：

一方面，在DNS服務(wù)器中，為該類(lèi)服務(wù)器解剖兩個(gè)主機(jī)記錄，服務(wù)器則使用CERNET地址。比如：wwwACHINANET地址。

另一方面，在防火墻里，采用反向網(wǎng)絡(luò)地址轉(zhuǎn)換，將全部的訪(fǎng)問(wèn)服務(wù)器CHINANET地址映射與服務(wù)器的CERNET地址。

4 結(jié)束語(yǔ)

從上文的論述中得知，我國(guó)大部分高校校園網(wǎng)訪(fǎng)問(wèn)速度較慢。此外，除了部分免費(fèi)網(wǎng)站的訪(fǎng)問(wèn)外，其它國(guó)家教育網(wǎng)付費(fèi)網(wǎng)址與國(guó)外資料網(wǎng)址的訪(fǎng)問(wèn)需要支付高昂的費(fèi)用。本文針對(duì)這些問(wèn)題提出的多出口校園網(wǎng)絡(luò)路由策略?xún)?yōu)化措施，從路由器的優(yōu)化選擇、整合防火墻功能等方面提高訪(fǎng)問(wèn)速度，減少網(wǎng)絡(luò)費(fèi)用。

參考文獻(xiàn)

[1]宋淑艷.中小城市寬帶IP城域網(wǎng)網(wǎng)絡(luò)優(yōu)化技術(shù)的研究[J].河北建筑工程學(xué)院學(xué)報(bào)，2011（01）：109-112.

[2]李嵐，齊楚煥，劉新禹，葛莉，金雪松.電子商務(wù)系統(tǒng)中移動(dòng)Agent動(dòng)態(tài)路由策略的研究[J].哈爾濱商業(yè)大學(xué)學(xué)報(bào)（自然科學(xué)版），2011（01）：89-91.

[3]陳業(yè)斌.基于二叉樹(shù)的有向雙環(huán)網(wǎng)絡(luò)的最短路徑算法[J].華中科技大學(xué)學(xué)報(bào)（自然科學(xué)版），2009（04）：78-81.

作者單位

武漢電力職業(yè)技術(shù)學(xué)院 湖北省武漢市 430079endprint