基于核心交换机的网络双出口设计与实现.docx
《基于核心交换机的网络双出口设计与实现.docx》由会员分享,可在线阅读,更多相关《基于核心交换机的网络双出口设计与实现.docx(10页珍藏版)》请在冰豆网上搜索。
基于核心交换机的网络双出口设计与实现
基于核心交换机的网络双出口设计与实现
邹华荣;黄力
【摘要】本文对以前实现校园网双出口的方法进行了研究,针对目前许多高校采用双出口方式带来的服务器访问、路由器资源占用、双线路自动备份等一系列问题,提出了具体的解决方案.
【期刊名称】《柳州职业技术学院学报》
【年(卷),期】2006(006)003
【总页数】4页(P65-68)
【关键词】网络地址转换(NAT);策略路由;DNS
【作者】邹华荣;黄力
【作者单位】柳州职业技术学院,信息工程系,广西,柳州,545006;柳州职业技术学院,信息工程系,广西,柳州,545006
【正文语种】中文
【中图分类】教科文艺
第6卷第3期2006年9月柳州职业技术学院学报JOURNALOFLIUZHOUVOCATIONAL&TECHNICAlCOLLEGE是牛t寻良心文换机均月给只儿也协议均每实现占邹华荣,黄.力(柳州职业技术学院信息工程系,广西柳州545006)Vol.6N。
.3Sept.2006摘要:
本文对以前实现校园网双出口的方法进行了研究,针对目前许多高校采用双出口方式带来的服务器访问、路由器资源占用、双线路自动备份等一系列问题,提出了具体的解决方案。
关键词:
网络地址转换(NAT);策略略由;DNS中固分类号:
T凹93.03文献标识码:
A文章编号:
1671-1084(2006)03-0065-04目前,许多高校为了提高网络出口速度和提供出口冗余,相继采用了双出口,即教育网出口和本地互联网服务提供商(ISP)提供的出口。
该方式最明显的优势在于校内用户访问教育网和公众网的速度都明显加快。
但是这样的做法在实施校园网双出口的过程中会遇到以下几个问题:
问题一:
由于ISP提供的公网IP地址短缺须采用NAT技术,但校内服务器的IP地址被转换后无法被外部公网访问,同时虽然采用了双出口使得内网访问外网速度加快,但是无法加快外网的非教育网用户访问本校的服务器;问题二:
用路由器实现网络地址转换(NAT),当产生的NAT列表过大会造成路由器CPU资源占用率过高甚至产生死机;问题三:
用路由器实现策略路由,当策略列表较多时会使网络访问出现明显的延迟,并且路由器CPU资源占用率会提高;问题四:
双出口并没有实现双备份,当教育网线路中断、ISP提供的线路正常时,内网用户实际上仍然无法访问互联网的公众网资源。
我院校园网在网络升级改造过程中,出于访问公用网速度的需要,在原有教育网线路的基础上申请了一条本地ISP的线路,通过合理配置现有设备,较好地解决了上述问题,实现了校园网的双出口。
图1为改造后拓扑图。
涉及的IP地址均用私有地址代替,其中10.0.1.0/24表示校园网内部地址,10.0.2.0/24表示校园网原有服务器地址,192.168.0.1表示本地ISP提供的地址,172.16.0.1和172.16.1.1分别代表教育网线路和ISP线路的接口地址,下面具体分析上述问题并以图1的网络拓扑图为例提出解决方法。
1问题的分析与研究1.1公网访问校内服务器的问题分析及解决校园网采用了双出口后,原来使用的教育网地址不能被ISP路由只能在教育网内使用,同时ISP提供的公网IP地址又很有限,无法满足拥有众多用户的高校快速访问公众网的需求。
通常采用NAT(NetworkAd�dressTranslation)技术解决,NAT是一个IETF(Internet工程任务组)标准,允许一个整体机构以一个公用IP地址出现在Internet上,实质上是一种把内部私有IP地址翻译成合法IP地址的技术,即将访问公众网的校园网内部计算机IP地址翻译成公网地址,这样用户可自由访问公众网的站点;由于高校的域名和IP地址等资源依托教青网,当公众网用户访问校园网服务器时,发出的资源请求从公众网进入教育网,通过路由器到达服务器。
但按照默认的目的地址路由,服务器返回的数据包中目的地址是公众网的地址,返回的数据包会被路由到连接ISP的防火墙,然后通过NAT转换,改变了返回数据包的源地址,返回的数据包达到该客户机时,该客户机必然会丢弃此数据包,这样就会造成公众网用户无法访问校园网内部的服务器。
[收稿日期]2006-05-23[作者简介]邹华荣(1977-),男,广西桂林人,柳州罗、业技术学院信息工程系,助教,从事计算机教学;黄力(1968-),男,广西巴马人,柳州职业技术学院电子也气工程系,副教授,从事计算机网络安全研究。
第6卷第3期2006年9月柳州职业技术学院学报JOURNALOFLIUZHOUVOCATIONAL&TECHNICAlCOLLEGE是牛t寻良心文换机均月给Vol.6N。
.3Sept.2006文章编号:
1671-1084(2006)03-0065-04目前,许多高校为了提高网络出口速度和提供出口冗余,相继采用了双出口,即教育网出口和本地互联网服务提供商(ISP)提供的出口。
该方式最明显的优势在于校内用户访问教育网和公众网的速度都明显加快。
但是这样的做法在实施校园网双出口的过程中会遇到以下几个问题:
问题一:
由于ISP提供的公网IP地址短缺须采用NAT技术,但校内服务器的IP地址被转换后无法被外部公网访问,同时虽然采用了双出口使得内网访问外网速度加快,但是无法加快外网的非教育网用户访问本校的服务器;我院校园网在网络升级改造过程中,出于访问公用网速度的需要,在原有教育网线路的基础上申请了一条本地ISP的线路,通过合理配置现有设备,较好地解决了上述问题,实现了校园网的双出口。
图1为改造后拓扑图。
涉及的IP地址均用私有地址代替,其中10.0.1.0/24表示校园网内部地址,10.0.2.0/24表示校园网原有服务器地址,192.168.0.1表示本地ISP提供的地址,172.16.0.1和172.16.1.1分别代表教育网线路和ISP线路的接口地址,下面具体分析上述问题并以图1的网络拓扑图为例提出解决方法。
校园网采用了双出口后,原来使用的教育网地址不能被ISP路由只能在教育网内使用,同时ISP提供的公网IP地址又很有限,无法满足拥有众多用户的高校快速访问公众网的需求。
通常采用NAT(NetworkAd�dressTranslation)技术解决,NAT是一个IETF(Internet工程任务组)标准,允许一个整体机构以一个公用IP地址出现在Internet上,实质上是一种把内部私有IP地址翻译成合法IP地址的技术,即将访问公众网的校园网内部计算机IP地址翻译成公网地址,这样用户可自由访问公众网的站点;由于高校的域名和IP地址等资源依托教青网,当公众网用户访问校园网服务器时,发出的资源请求从公众网进入教育网,通过路由器到达服务器。
但按照默认的目的地址路由,服务器返回的数据包中目的地址是公众网的地址,返回的数据包会被路由到连接ISP的防火墙,然后通过NAT转换,改变了返回数据包的源地址,返回的数据包达到该客户机时,该客户机必然会丢弃此数据包,这样就会造成公众网用户无法访问校园网内部的服务器。
66出现上述问题,是由于服务器返回的数据包被路由到了防火墙去本地ISP,改变了数据包的源地址。
因此必须让服务器返回的数据包被路由到教育网,这样才不改变源地址,公众网用户才能访问校园网的服务器。
我们采用的方法是在核心交换机上对服务器作基于源地址的策略路由,使得源地址是特定服务器IP地址的数据包都经由教育网出去。
采用上述方法虽然解决了公众网用户访问校内服务器的问题,但由于公众网用户访问本校服务器时需通过公众网和教育网的交换中心进入教育网,然后通过教育网线路进入校园网,对于公众网用户来说,访问学校的服务器仍然是非常慢,不利于学校在招生等方面的宣传工作。
为了解决这个问题,可以为学校申请一个公众网的域名,公众网的域名解析指向新设的公众网域名服务器(10.0.3.1),设置专为公众网用户提供服务的Web服务器(10.0.3.2),在防火墙上配置向内基于端口的目的地址转换,同时向公众网用户宣传公众网的域名,这样就满足了公众网用户快速获取学校招生等相关信息的需要。
o0.l1,oO).,,,-...,,户飞\l蚀’11'1.,、-----1~·r'/图l拓扑图1.2路由器作NAT时CPU资源占用过高问题分析及解决以前有些文献所描述的双出口做法是利用路由器作NAT,由于路由器采用硬件技术进行数据包转发,具有转发速度快的特点,但路由器是靠软件来实现地址转换的,当地址转换列表大量产生时,会导致路由器的CPU的利用率过高甚至产生者机现象。
在路由器满负荷工作时,防火墙、核心交换机的负载却很低,还没有充分发挥这些设备的性能。
所以应将路由器的工作分散到防火墙和核心交换机上。
具体为:
把数据经过核心交换机后就分为两路,不让所有的数据都通过路由器,利用防火墙作NAT,核心交换机作策略路由。
防火墙在实现NAT的过程中,无论转换速度还是处理能力都比用路由器做NAT效果好得多,不会出现占用CPU资源过高的现象。
核心交换机作策略路由,进一步减轻路由器的负载。
l.3路由器作策略路由时网络延迟问题分析及解决在利用路由器作策略路由实现校园计算机网络双出口时,出于合理使用教育网及公众网资源的需要,往往“策略”非常多,造成网络访问延迟加大,同时路由器的CPU资源利用率升高,实际上,认真分析网络流量及类型,平衡双出口流量,合理改变“策略”的先后顺序,可以达到降低网络访问的延迟以及路由器CPU负载的目的。
1.4双向口互备的问题分析及解决虽然双出口使得内网用户访问教育网和公众网的速度都非常地快,理论上当一条线路中断后,访问另外一个出口的资源应该没有问题。
但是实际情况是根据以往文献所提供的双出口实现方法,当教育网线路中断后,即使公众网线路没有中断,内网用户也无法正常的访问公众网。
经分析,问题出在DNS上,为了满足外网用户正常访问服务器的需要,原有的DNS等服务器必须通过核心交换机作基于源地址的策略路由,使得源地址是原有服务器E地址的数据包都经由教育网出口去教育网。
当教育网出口中断时,原有的D,NS已经不能对内网用户正常提供域名的解析,使得内网用户无法获取域名所对应的IP地址。
我们可以通过图1中的公众网DNS来解决这个问题,策略路由使得公众网DNS只能走公众网出口,教育网出口的中断不会影响它。
在校园网用户的计算机上设置首选DNS为教育网DNS,备用DNS为公众网DNS,实现了双出口的互备问题。
出现上述问题,是由于服务器返回的数据包被路由到了防火墙去本地ISP,改变了数据包的源地址。
因此必须让服务器返回的数据包被路由到教育网,这样才不改变源地址,公众网用户才能访问校园网的服务器。
采用上述方法虽然解决了公众网用户访问校内服务器的问题,但由于公众网用户访问本校服务器时需通过公众网和教育网的交换中心进入教育网,然后通过教育网线路进入校园网,对于公众网用户来说,访问学校的服务器仍然是非常慢,不利于学校在招生等方面的宣传工作。
为了解决这个问题,可以为学校申请一个公众网的域名,公众网的域名解析指向新设的公众网域名服务器(10.0.3.1),设置专为公众网用户提供服务的Web服务器(10.0.3.2),在防火墙上配置向内基于端口的目的地址转换,同时向公众网用户宣传公众网的域名,这样就满足了公众网用户快速获取学校招生等相关信息的需要。
o0.l1O).,,,-...,,户飞\l蚀’11'1.,、-----1~·r'图拓扑以前有些文献所描述的双出口做法是利用路由器作NAT,由于路由器采用硬件技术进行数据包转发,具有转发速度快的特点,但路由器是靠软件来实现地址转换的,当地址转换列表大量产生时,会导致路由器的在路由器满负荷工作时,防火墙、核心交换机的负载却很低,还没有充分发挥这些设备的性能。
所以应将路由器的工作分散到防火墙和核心交换机上。
具体为:
把数据经过核心交换机后就分为两路,不让所有的数据都通过路由器,利用防火墙作NAT,核心交换机作策略路由。
防火墙在实现NAT的过程中,无论转换速度还是处理能力都比用路由器做NAT效果好得多,不会出现占用CPU资源过高的现象。
核心交换机作策略路由,进一步减轻路由器的负载。
在利用路由器作策略路由实现校园计算机网络双出口时,出于合理使用教育网及公众网资源的需要,往往“策略”非常多,造成网络访问延迟加大,同时路由器的CPU资源利用率升高,实际上,认真分析网络流量及类型,平衡双出口流量,合理改变“策略”的先后顺序,可以达到降低网络访问的延迟以及路由器CPU负载的目的。
虽然双出口使得内网用户访问教育网和公众网的速度都非常地快,理论上当一条线路中断后,访问另外一个出口的资源应该没有问题。
但是实际情况是根据以往文献所提供的双出口实现方法,当教育网线路中断后,即使公众网线路没有中断,内网用户也无法正常的访问公众网。
经分析,问题出在DNS上,为了满足外网用户正常访问服务器的需要,原有的DNS等服务器必须通过核心交换机作基于源地址的策略路由,使得源地址是原有服务器E地址的数据包都经由教育网出口去教育网。
当教育网出口中断时,原有的D,NS已经不能对内网用户正常提供域名的解析,使得内网用户无法获取域名所对应的IP地址。
我们可以通过图1中的公众网DNS来解决这个问题,策略路由使得公众网DNS只能走公众网出口,教育网出口的中断不会影响它。
在校园网用户的计算机上设置首选DNS为教育网DNS,备用DNS为公众网DNS,实现了双出口的互备问题。
第6卷第3期邹华荣,黄力:
基于核心交换机的网络双出口设计与实现2网络双出口实现过程2.1核心交换机Cisco6509的配置具体配置如下:
)配置默认路由iproute0.0.0.00.0.0.0172.16.0.1;默认路由走教育网)配置策略路由所需的访问控制列表(ACL)用于教育网出口的ACLaccess-list100permitip10.0.2.00.0.0.255any;服务器的IP地址走教育网access-list100permitipany61.28.0.00.0.15.255;教育网的IP地址走教育网(下同)access-list100permitipany219.244.0.00.3.255.255用于非教育网线路的ACLaccess-list101permitipanyany;允许所有的IP走ISP线路3)配置策略路由67策略路由为网管员提供了比传统路由协议对报文转发更强的控制能力。
传统上,路由器用从路由协议派生出来的路由表,按目的地址进行报文转发。
而策略路由不仅能够按目的地址而且能按报文大小,应用或IP源地址来选择转发路径。
route-mapceluepermit10;10代表优先级,数字越小优先级越高matchipaddress100;符合ACL100走默认路由(教育网)route-mapceluepermit20;优先级低于第一条策略matchipaddress101setipnext-hop172.16.1.1;符合ACL101走ISP线路的应用到端口interfacegl/1;应用策略路由到接口(接口很多,下略)ippolicyroute-mapcelueiproute-cachepolicy;启用快速转发,进一步提高转发速度2.2网络地址转换(NAT)在防火墙上的实现NAT有三种类型:
静态NAT、动态NAT、网络地址端口转换NAPT(Port-LevelNAT)。
其中静态NAT是将内网的每个IP永久映射为外网中的某个合法IP地址。
而动态NAT则是在公众网定义了一系列的合法地址,采用动态分配的方法映射到内部网络。
NAPT则是把内网一个IP地址映射到外网一个IP地址的不同端口上。
我们采用动态NAT方式,由防火墙实现网络地址转换。
将NAT从路由器或核心交换机上分开可以进一步降低路由器或核心交换机的负载,提高网络的出口速度。
同时用防火墙实现NAT既可以对访问作日志记录,又可以进行访问的控制,增强校园网的安全性。
防火墙做NAT配置比较简单,将内部所有地址在防火墙出口处转换为192.168.0.1,并向内作基于端口53、80的目的地址转换,具体配置不再赘述,参见表1和表2:
源地址源掩码0.0.0.0目的地址0.0.0.00.0.0.0192.168.0.10.0.0.00.0.0.0192.168.0.10.0.0.00.0.0.0192.168.0.1表1源地址转换目的地址。
.0.0.。
目的掩码表2目的地址转换目的掩码目的端口转换后目的地址255.255.255.2555310.0.3.18010.0.3.2转换后源地址192.168.0.1转换后端口协议UdpTcp邹华荣,黄力:
基于核心交换机的网络双出口设计与实现iproute0.0.0.00.0.0.0172.16.0.1access-list100permitip10.0.2.00.0.0.255any;服务器的IP地址走教育网access-list100permitipany61.28.0.00.0.15.255;教育网的IP地址走教育网(下同)access-list100permitipany219.244.0.00.3.255.255access-list101permitipanyany;允许所有的IP走ISP线路策略路由为网管员提供了比传统路由协议对报文转发更强的控制能力。
传统上,路由器用从路由协议派生出来的路由表,按目的地址进行报文转发。
而策略路由不仅能够按目的地址而且能按报文大小,应用或IProute-mapceluepermit10;10代表优先级,数字越小优先级越高matchipaddress100;符合ACL100走默认路由(教育网)route-mapceluepermit20;优先级低于第一条策略matchipaddress101setipnext-hop172.16.1.1;符合ACL101走ISP线路interfacegl/1;应用策略路由到接口(接口很多,下略)ippolicyroute-mapcelueiproute-cachepolicy;启用快速转发,进一步提高转发速度NAT有三种类型:
静态NAT、动态NAT、网络地址端口转换NAPT(Port-LevelNAT)。
其中静态NAT是将内网的每个IP永久映射为外网中的某个合法IP地址。
而动态NAT则是在公众网定义了一系列的合法地址,采用动态分配的方法映射到内部网络。
NAPT则是把内网一个IP地址映射到外网一个IP地址的不同端口上。
我们采用动态NAT方式,由防火墙实现网络地址转换。
将NAT从路由器或核心交换机上分开可以进一步降低路由器或核心交换机的负载,提高网络的出口速度。
同时用防火墙实现NAT既可以对访问作日志记录,又可以进行访问的控制,增强校园网的安全性。
53、80的目的地址转换,具体配置不再赘述,参见表1和表2:
0.0.0.00.0.0.0192.168.0.10.0.0.00.0.0.0192.168.0.10.0.0.00.0.0.0192.168.0.1表源地址转换。
.0.0.。
目的地址转换转换后源地址192.168.0.1转换后端口协议682α)6年9月2.3优化策略、平衡双线路负载为了提高网络出口速度,尽量减少因策略路由而产生的延迟,我们对核心交换机的访问控制列表进一步进行了优化。
根据需要将访问控制列表的长度压缩到最短,减少数据包被检查的时间。
策略路由使用一段时间后对ACL进行分析和统计,找出最常用的IP段,把常用的IP段检测放在访问控制列表的前面,不常用的段放在访问控制列表的后面,不使用的删去,以便数据包能够快速的通过检测。
showaccess-listsI00permitipany59.74.0.00.1.255.255(3389168matches)permitipany219.227.0.00.0.255.255(2136matches);此条使用较少,在ACL列表中向后移permitipany222.206.0.00.1.255.255(2294410matches)permitipany58.192.0.00.1.255.255;此条未曾使用,可以移至ACL的末尾或删去permitipany202.38.96.00.0.31.255(3925matches)另外,也可以让QQ、BT等流量大或占用NAT资源较多的访问走带宽较大、不作NAT的教青网线路,此方法只需在ACL100中加上QQ、BT等应用的端口访问控制语句即可。
这样可以平衡两个出口的负载,提高使用效率。
access-list100permittcpanyanyeq443access-list100permitudpanyanyeq4000access-list100permitudpanyanyeq6000access-list100permitudpanyanyeq80003结束语本文在核心交换机Cisco6509上作优化的策略路由,利用防火墙作网络地址转换,使得核心交换机的负载保持在7%左右,系统开销很少。
校园网按新的拓扑结构改造后,较好解决了按照以前的作法实施中存在的问题,运行半年以来效果很好。
[参考文献][IJ韩江,黄海,卫星译.思科网络技术学院教程(第二版)[M].北京t人民邮电出版社,2002.[2]程东.基于策略路由解决服务器对外访问的设计方案[J].微电子学与计算机,2005(6).[3]黄世权.校园网双出口方案的设计与实现[J].活陵师范学院学报,2005(9).[4]缪元照,孟中.校园网双出口方案探讨[J].计算机与现代化,2004
(1).TheDesignandImplementationofDoubleExport-LinksNetworkBasedonCoreSwitchboardZOUHua-rongHUANGLi(InformationEngineeringDepartmentofLiuzhouV侃ational&T配hnicalCollege,Liuzou545006,China)Abstract:
Thispaperanalyzesthepastimplementationofthedoubleexpo此-linkscampusnetworkandaseriesofproblemsitbrought,suchasvisitingserversandtakingup出erouterresources,automaticallysupporti
升级会员 