基于策略路由的校園網出口建構與實踐

繆元照，劉志南

（1.天津美術學院信息化工作辦公室，天津300141；2.天津市嘉仕科技股份有限公司，天津300384）

0 引言

校園網雙出口的研究和實踐由來已久，最早是用于解決CERNET 高昂的國際流量費用，筆者也曾經在CISCO6509 交換機和2621 路由器上使用路由、策略路由以及地址轉換技術實現了校園網的雙出口優化解決方案[1]。隨著網絡帶寬和網絡技術的發展，校園網多出口的主要目的是提高網絡可用性與冗余，提升校園網用戶的使用體驗[2-3]，天津美術學院作為擁有設計類和影視類專業的專業藝術院校，師生使用校園網對于設計素材和一些影視的下載和在線瀏覽觀看是專業學習和提升的重要組成部分，因此提升校園網的可用性、可靠性、冗余性、通達性是現在校園網建設和管理的重要工作。

天津美術學院校園網出口擁有CERNET、聯通、電信、移動四個運營商的網絡連接，如圖1 所示。本文使用策略路由技術，最大程度發揮邊界路由設備性能，滿足校園網用戶對于網絡需求，提高用戶的滿意度。

1 校園網出口的策略路由需求

路由器進行包轉發決策過程中，一般是根據所接收的數據包的目的地址進行的。路由器根據目的地址查找路由表，從而做出相應的最優路由轉發決策。要使數據包不是明確的最短路徑路由，而是由其他路徑轉發時，需要應用策略路由技術，也就是按照具體需要來決定數據包的路由。

基于策略路由有如下幾種方式：①基于源IP 地址的策略路由；②基于目的IP 地址的策略路由；③基于數據包大小的策略路由；④基于應用的策略路由。

對于校園網出口來說，一般應用基于目的IP 地址的策略路由技術來實現。

圖1 天津美術學院校園網多出口拓撲

根據天津美術學院校園網的實際應用，在核心交換機上只做VLAN 的定義、ARP 表及缺省路由，和相應的安全策略配置，策略路由是由邊界路由設備來專門完成的[4]，需要滿足以下目標：

（1）校園網用戶不需要關心網絡出口連接，不用做任何操作即可正常工作。

（2）校園網的服務器原則上在教育網發布服務，服務器區的各種服務，原則上使用教育網真實地址，路由選擇CERNET 線路。

（3）CERNET 免費列表需要進行梳理，凡是CERNET 直連地址，校園網用戶訪問需要路由選擇CERNET 線路，凡是學校圖書館購買的數據庫資源，校園網用戶訪問原則上路由選擇CERNET 線路，對于CERNET 免費地址列表中其他運營商的地址（CERNET 非直連地址），校園網用戶訪問時路由選擇相關運營商線路。

（4）按照聯通、電信、移動運營商的地址列表，校園網用戶訪問根據目的地址的歸屬，路由選擇相關運營商線路。

2 天津美術學院校園網多出口方案配置

如圖1 所示，天津美術學院校園網采用銳捷核心交換機及EG2000 網關作為校園網核心和邊界路由設備，由于策略路由對于路由設備性能消耗比較大，因此選擇一臺高性能邊界路由設備是策略路由成功實施運行的重要因素，EG2000 擁有專業出口設備高效的NAT 轉發性能，還具有流控、智能選路、上網行為管理、安全防護等功能，而且可以提供Web 頁面配置，是比較適合中等以下規模網絡出口的設備。

EG2000 可以采用網關模式和網橋模式，天津美術學院校園網將EG2000 部署在邊界路由的位置，因此采用網關模式，主要需要進行以下配置[5]。

2.1 地址庫的維護

按照確定的策略路由目的地址原則，對于特征地址庫進行維護，需要注意的是學校訂購的主要數據庫資源的目的IP地址原則上應該修正到CERNET 地址庫：

CERNET 地址庫如下：

CERNET route db info:

1.5 1.0.0 255.255.0.0

1.18 4.0.0 255.254.0.0

42.24 4.0.0 255.252.0.0

……

202.11 2.0.0 255.248.0.0

……

223.2.0.0 255.254.0.0

223.12 8.0.0 255.254.0.0

聯通地址庫如下：

cnc route db info:

1.2 4.0.0 255.248.0.0

1.5 6.0.0 255.248.0.0

1.11 9.192.0 255.255.248.0

……

202.11 1.128.0 255.255.192.0

……

222.16 0.0.0 255.252.0.0

223.16 6.0.0 255.254.0.0

電信地址庫如下：

CNII route db info:

1.0.1.0 255.255.255.0

1.0.2.0 255.255.254.0

1.0.8.0 255.255.248.0

……

203.1 2.24.0 255.255.255.0

……

223.24 0.0.0 255.248.0.0

223.25 5.252.0 255.255.254.0

移動地址庫如下：

CMCC route db info:

36.12 8.0.0 255.192.0.0

36.19 2.0.0 255.224.0.0

39.12 8.0.0 255.192.0.0

……

202.9 6.123.172 255.255.255.252

……

223.11 6.0.0 255.252.0.0

223.12 0.0.0 255.248.0.0

2.2 相關接口配置，并啟用NAT功能

首先在EG 設備開啟多鏈路負載均衡mllb enable，然后啟用各運營商IP 地址組，以192.168.0.0 網段地址代表，隱藏真實IP，CERNET、電信、移動地址相同，不再說明：

ip-group 1

description 聯通

ip-range 192.168.10.49 192.168.10.51

route-db cnc

ip-group 2

description 電信

ip-range 192.168.148.51 192.168.148.53

route-db cnii

ip-group 3

description 移動

route-db cmcc

ip-range 192.168.56.195 192.168.56.196

ip-group 4

description 教育

route-db cernet

ip-subnet 192.168.216.0 24

ip-subnet 192.168.217.0 24

ip-subnet 192.168.218.0 24

在CERNET、聯通、電信、移動的光纖接口配置如下：

interface GigabitEthernet 0/1

medium-type fiber 設置為光纖接口

description 聯通

bandwidth 240000 設置帶寬閾值

nexthop 192.168.6.73 設置下一跳地址

reverse-path 設置反向路徑過濾

ip address 192.168.69.6.74 255.255.255.252 設置接口地址

ip nat outside 設置地址NAT 轉換

flow-policy Gi0/1

interface GigabitEthernet 0/3

medium-type fiber 設置為光纖接口

description 電信

bandwidth 240000

nexthop 192.168.148.49

reverse-path

ip address 192.168.148.50 255.255.255.240

ip nat outside

flow-policy Gi0/3

interface GigabitEthernet 0/5

medium-type fiber

description 移動

bandwidth 200000

nexthop 192.168.56.193

reverse-path

ip address 192.168.56.194 255.255.255.224

ip nat outside

flow-policy Gi0/5

interface GigabitEthernet 0/7

medium-type fiber

description 教育-200M

bandwidth 200000

nexthop 192.168..216.254

reverse-path

ip address 192.168.216.253 255.255.255.252

ip name-server 192.168.216.11 track 1 設置主DNS服務器

ip name-server 192.168.216.10 track 2 設置備用DNS 服務器

ip nat outside

flow-policy Gi0/7

四個運營商的帶寬接口都采用光纖接入接口，需要說明的是進行帶寬閾值配置是方便進行負載均衡，可以啟用相關配置，當某個運營商的接口流量超過一定閾值后，自動首選其他帶寬，由于策略路由選擇是根據我們維護的優化過的地址庫進行的，因此這種負載均衡雖然可以使得網絡帶寬利用率提高，但是在帶寬沒有沖到極限造成比較大延時和丟包的情況下，并不會提高校園網用戶的網絡使用感受。因此我們并沒有進一步啟用相關配置。

2.3 配置NAT地址池

在相關接口上配置NAT 使用的地址池ip nat pool nat_pool prefix-length 24

address 192.168.6.74 192.168.6.74 match interface GigabitEthernet 0/1

address 192.168.148.50 192.168.148.50 match interface GigabitEthernet 0/3 address 192.168.56.194 192.168.56.194 match interface GigabitEthernet 0/5

address 192.168.1.30 192.168.1.30 match interface GigabitEthernet 0/7

這就是以各接口已經配置了CERNET、聯通、電信、移動各運營商的IP 地址作為NAT 地址轉換的地址池。

2.4 配置地址庫

route-auto-choose cnc GigabitEthernet 0/1 192.168.6.73 配置應用地址庫，并指下一跳地址

route-auto-choose cnii GigabitEthernet 0/3 192.168.148.49

route-auto-choose cernet GigabitEthernet 0/7 192.168.216.254

route-auto-choose cmcc GigabitEthernet 0/5 192.168.56.193

2.5 靜態路由設置

在相關接口配置靜態默認路由，啟用整體策略路由。

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/1 192.168.6.73

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/3 192.168.148.49

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/5 192.168.56.193

ip route 0.0.0.0 0.0.0.0 GigabitEthernet

0/7 192.168.216.254

2.6 服務器訪問相關配置

需要啟用訪問控制列表將內網和服務器地址及端口進行配置如下：

ip access-list standard 10

10 permit 10.16.192.0 0.0.31.255 內網地址

20 permit 10.16.0.0 0.0.31.255 內網地址

……

190 permit 192.168.216.0 0.0.0.255 服務器地址，以192.168.0.0 網段地址代表，隱藏真實IP

200 permit 192.168.218.0 0.0.0.255 服務器地址

……

360 permit 172.18.18.0 0.0.0.255

需要說明的是，配置服務器靜態路由地址就是為了保證校園網的服務器原則上在教育網發布服務，服務器區的各種服務，原則上使用教育網真實地址，路由選擇CERNET 線路。

3 結語

在校園網多出口構建實踐中，有的學校會讓用戶自主選擇路由[2]，這種模式靈活方便，運行穩定，但是并不適合天津美術學院這類校園網用戶普遍計算機網絡應用水平較低的環境，對于天津美術學院校園網用戶來說，一個不需要更多干預的，開機聯網就可以使用的網絡更為適合，因此天津美術學院校園網建設一直是秉著用戶最小干預的原則進行建設。

天津美術學院校園網建設從2005 年采用CISCO Catalyst 6506 核心交換機及虛擬防火墻技術完成校園網雙出口建構[6]，但是CISCO Catalyst 6506 的Catalyst 6500 Firewall Service Module 防火墻板卡的處理能力有限，在校園網用戶大量帶寬和并發連接劇增的情況下，交換機和防火墻負載消耗很大，性能會受到嚴重影響，本文所述采用銳捷EG 網關的策略路由技術架構的多出口模式，自2014 年開始實施以來，運行穩定，提高了校園網用戶上網的體驗。

需要說明的是，為了提高校園網用戶的上網體驗，網絡管理維護人員是需要根據用戶主要訪問的網站和應用的通達性和響應延時，定期對于CERNET、聯通、電信和移動四家運營商的地址庫進行維護，以保證主要的應用可用性和可通達性是相對最佳的，提高上網體驗。

在外購的數據庫訪問問題上，一方面是盡可能將主要數據庫提供商的IP 地址列表歸入CERNET 地址庫，盡可能保證校園網用戶訪問外購數據庫是通過教育網鏈路，但是由于各數據庫的IP 地址很多是其他運營商的通達性更佳，因此是需要圖書館將學校各運營商地址均提供數據庫提供商，以保證校園網用戶無論是策略路由選擇哪條鏈路，均可以無縫通達使用數據庫。

限于本文篇幅，未對于銳捷EG 網關相關流量控制及安全策略進行討論，在銳捷EG 網關上進行訪問控制列表等安全策略是必要的，但是相比專業的網絡安全設備來說，銳捷EG 網關是一臺邊界路由設備，如圖1所示，服務器區域的安全防范是由防火墻來進行保障的。現代校園網建設來說，設備專業化程度越來越高，因此不推薦銳捷EG 網關作為流量控制及行為管理設備來使用，銳捷EG 網關的優點是路由功能，策略路由性能較好。

本方案的最大缺點是在校園網和CERNET 城域網以及各運營商的網絡連接之間，沒有專業的防火墻設備，雖然校園網用戶使用DHCP 獲取地址，并且在接口完成了NAT 地址轉換，外網IP 對于校園網用戶直接訪問是不可達的，但是畢竟銳捷EG 網關不是專業安全設備，因此校園網用戶安全性尚有改進空間。