高等校園網(wǎng)絡(luò)雙出口解決方案與實(shí)現(xiàn)

摘要多年來，我國(guó)高校在基礎(chǔ)設(shè)施建設(shè)和應(yīng)用提升方面做出了巨大努力，使校園網(wǎng)已經(jīng)具備了相對(duì)豐富的應(yīng)用平臺(tái)和較為穩(wěn)定的基礎(chǔ)架構(gòu)。然而，隨著教學(xué)、辦公、科研等對(duì)于校園網(wǎng)平臺(tái)表現(xiàn)出越來越強(qiáng)的依賴性，網(wǎng)絡(luò)出口的重要性日益突出，對(duì)于校園網(wǎng)出口的重構(gòu)與優(yōu)化成為當(dāng)前亟待解決的問題。本文以校園網(wǎng)為研究對(duì)象，結(jié)合校園網(wǎng)改造工程，來對(duì)校園網(wǎng)出口問題進(jìn)行分析，并提出一種在保留中國(guó)教育科研網(wǎng)接入的基礎(chǔ)上，選擇本地電信運(yùn)營(yíng)商，并行兩條出口的雙出口方案，以為校園網(wǎng)出口的重構(gòu)和優(yōu)化提供借鑒。關(guān)鍵詞：校園網(wǎng)；系統(tǒng)優(yōu)化；問題解決AbstractOvertheyears,ouruniversitieshavemadegreateffortsininfrastructureconstructionandapplicationpromotion,sothatthecampusnetworkalreadyhasarelativelyrichapplicationplatformandarelativelystableinfrastructure.However,suchasteaching,office,researchshowedgrowingdependenceforcampusnetworkplatform,theimportanceofthenetworkexportincreasinglyprominent,forthereconstructionandoptimizationofthecampusnetexportsbecomeanurgentproblemtobesolved.Basedoncampusnetworkastheresearchobject,thispapercombinedwiththecampusnetworkreconstructionproject,toanalyzetheproblemsofthecampusnetworkexport,andputforwardareservedChinaeducationresearch,onthebasisofnetworkaccess,selectthelocaltelecomoperators,theexportoftwoparalleldoubleexportpackage,thoughtreconstructionandoptimizationofcampusnetexports.Keywords:Ccampusnetwork;Systemoptimization;Problemsolving

目錄TOC\o"1-3"\h\u24036摘要 I31437Abstract II17366第1章緒論 4105261.1研究背景 464131.2研究意義 518211.3研究方法 527584第2章相關(guān)理論綜述 6143552.1使用代理服務(wù)器技術(shù) 641872.2使用路由選擇進(jìn)行調(diào)控 630542.3使用策略路由技術(shù) 759862.4NAT技術(shù) 86193第3章校園網(wǎng)雙出口解決方案 949083.1解決方案 9136163.2具體方案配置 1013495參考文獻(xiàn) 1427166致謝 15-PAGE10-緒論研究背景校園網(wǎng)的典型應(yīng)用包括以下四個(gè)方面：第一，校園網(wǎng)是學(xué)校對(duì)外展示校園文化信息最便捷的形式，也是從外界獲取信息的重要渠道；第二，校園網(wǎng)是一種學(xué)習(xí)輔助工具，為學(xué)生網(wǎng)上學(xué)習(xí)提供了環(huán)境。校園網(wǎng)上有著大量的校內(nèi)資源，通過校園網(wǎng)對(duì)各自領(lǐng)域內(nèi)的前沿知識(shí)進(jìn)行即時(shí)的學(xué)習(xí)，利于學(xué)生協(xié)作學(xué)習(xí)和探索學(xué)習(xí)；第三，校園網(wǎng)能夠?yàn)榻虒W(xué)和科研活動(dòng)提供服務(wù)，如輔助教師備課、提供教學(xué)資源、支持教師再學(xué)習(xí)、參與課堂教學(xué)等。通過校園網(wǎng)，教師可即時(shí)掌握最新科研成果，實(shí)現(xiàn)師生間的信息交互；第四，校園網(wǎng)服務(wù)于學(xué)校教育管理，依托于校園網(wǎng)傳輸線路，數(shù)據(jù)中心可為學(xué)校的人事管理、學(xué)籍管理、校園一卡通、財(cái)務(wù)管理等應(yīng)用提供服務(wù)。由此可以看出，校園網(wǎng)是構(gòu)建在現(xiàn)代網(wǎng)絡(luò)技術(shù)和多媒體技術(shù)之上，為學(xué)校教學(xué)活動(dòng)、學(xué)習(xí)活動(dòng)、管理活動(dòng)、科研活動(dòng)服務(wù)的校園網(wǎng)絡(luò)環(huán)境。將光纖專線接入中國(guó)教育科研網(wǎng)，可使對(duì)域內(nèi)站點(diǎn)的訪問得到明顯提高。但因CERNET跨網(wǎng)寬帶較為狹窄，故在訪問域外站點(diǎn)時(shí)的提速并不明顯。從成本方面考慮，域內(nèi)訪問為包月制，域外訪問則依據(jù)流量進(jìn)行收費(fèi)。因此，這一出口方案不但難以節(jié)約信息費(fèi)用，還可能會(huì)使流量費(fèi)用增加。

相關(guān)調(diào)查顯示，中國(guó)教育科研網(wǎng)的國(guó)際出口寬帶仍停留在200M左右，而中國(guó)公用計(jì)算機(jī)已經(jīng)上升至6000M左右。典型寬帶實(shí)施零費(fèi)用接入、包月制的信息費(fèi)收取方式，對(duì)于集團(tuán)用戶還可優(yōu)惠價(jià)格，故能夠被廣大學(xué)校所接受。

放棄中國(guó)教育科研網(wǎng)的接入，而選擇典型運(yùn)營(yíng)商寬帶接入方式，實(shí)現(xiàn)了對(duì)信息費(fèi)用的有效控制。但是，放棄中國(guó)教育科研網(wǎng)的接入，意味著放棄了其網(wǎng)絡(luò)帶給學(xué)校的FTP服務(wù)、合法域名解析、豐富的IP地址等資源，這些都是非常珍貴的。雖然在中國(guó)公用計(jì)算機(jī)互聯(lián)網(wǎng)上也可以通過建立學(xué)校主頁(yè)鏡像站點(diǎn)的形式來獲取上述資源，但因其網(wǎng)內(nèi)資源只部分開放，故很大程度上限制了校園網(wǎng)內(nèi)資源的共享程度。

保留中國(guó)教育科研網(wǎng)接入，選擇本地電信運(yùn)營(yíng)商，并行兩條出口，雖然成本增加了，但性能得到了大幅度提升，通過計(jì)費(fèi)策略，對(duì)資源進(jìn)行科學(xué)配置，還可使域外流量實(shí)現(xiàn)零計(jì)費(fèi)，有效節(jié)約信息費(fèi)。雙出口的方案還可彼此備份，避免了因線路問題導(dǎo)致的網(wǎng)絡(luò)中斷，進(jìn)一步提升了系統(tǒng)的可靠安全性。通過這一部分內(nèi)容的論述，可以看出，雙出口方案的應(yīng)用更為合理，應(yīng)當(dāng)成為今后校園網(wǎng)發(fā)展努力的方向研究意義雙出口校園網(wǎng)是近年來校園網(wǎng)發(fā)展的大方向，它綜合運(yùn)用了策略路由、網(wǎng)絡(luò)地址轉(zhuǎn)換、靜態(tài)路由等技術(shù)，充分整合了本地ISP和CERNET的資源優(yōu)勢(shì)，在解決校園網(wǎng)出口問題上具有很好的效果。當(dāng)前，校園網(wǎng)雙出口解決方案已被應(yīng)用于多所高校校園網(wǎng)改造。實(shí)踐表明，校園網(wǎng)的網(wǎng)絡(luò)穩(wěn)定性、訪問速度得到了明顯的提高，網(wǎng)絡(luò)安全性進(jìn)一步增強(qiáng)，網(wǎng)絡(luò)運(yùn)行和管理成本得到有效降低。研究方法選擇科學(xué)的出口方案，是解決出口問題、規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)的關(guān)鍵。相關(guān)理論綜述使用代理服務(wù)器技術(shù)代理服務(wù)器技術(shù)是指在兩個(gè)網(wǎng)絡(luò)之間運(yùn)行這樣一個(gè)程序體系，相對(duì)于客戶來講，相當(dāng)于一臺(tái)服務(wù)器，相對(duì)于外界服務(wù)器來講，它又是一臺(tái)客戶機(jī)。當(dāng)代理服務(wù)器得到一個(gè)客戶的連接訪問某站點(diǎn)請(qǐng)求時(shí)，會(huì)檢查這種請(qǐng)求是否符合規(guī)定，如果相關(guān)規(guī)則允許這種連接訪問、代理服務(wù)器就從這個(gè)站點(diǎn)取回信息再轉(zhuǎn)發(fā)給用戶。代理服務(wù)器在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)提出服務(wù)請(qǐng)求時(shí)，起著中間轉(zhuǎn)接和隔離內(nèi)、外層網(wǎng)絡(luò)的作用，所以叫代理服務(wù)器（promysener)。代理服務(wù)器在內(nèi)部用戶和外界之間，相當(dāng)于一堵墻，外界要訪問內(nèi)部網(wǎng)絡(luò)，必須要通過它進(jìn)行，無法連接訪問內(nèi)部網(wǎng)絡(luò)的資源。代理服務(wù)器本身就是一種防火墻，該技術(shù)將跨越防火墻的鏈通信路進(jìn)行了分段隔離，防火墻內(nèi)外的計(jì)算機(jī)網(wǎng)絡(luò)的連接只能通過代理服務(wù)器進(jìn)行。代理服務(wù)器一端接入Internet,另一端接入中心路由器，通過代理服務(wù)軟件實(shí)現(xiàn)客戶端上網(wǎng)。這種方式配置簡(jiǎn)單，設(shè)備費(fèi)用低廉，并且不需要大規(guī)模改變?cè)械脑O(shè)備連接和配置。但是相對(duì)來說，由于是通過代理軟件實(shí)現(xiàn)共享上網(wǎng)，訪問速度容易受到影響。使用路由選擇進(jìn)行調(diào)控各類業(yè)務(wù)日驅(qū)IP化和網(wǎng)絡(luò)化，企業(yè)對(duì)廣域網(wǎng)的要求正在達(dá)到一個(gè)新的水平。關(guān)鍵性應(yīng)用的廣域訪問隨著企業(yè)進(jìn)一步整合數(shù)據(jù)中心的趨勢(shì)而穩(wěn)步增長(zhǎng)。但是，這些最初為高速局域網(wǎng)設(shè)計(jì)的應(yīng)用，在廣域遠(yuǎn)程用戶訪問時(shí)對(duì)廣域網(wǎng)帶寬嚴(yán)重消耗，對(duì)網(wǎng)絡(luò)性能造成不可預(yù)測(cè)的影響。同時(shí)，VoIP和視頻會(huì)議可為企業(yè)節(jié)省大筆的費(fèi)用，企業(yè)正在考慮部署這些應(yīng)用，但它們對(duì)廣域網(wǎng)上的延時(shí)高度敏感，對(duì)廣域網(wǎng)上的帶寬大量占用。此外，業(yè)務(wù)連續(xù)性所要求的頻繁的遠(yuǎn)程備份和復(fù)制，給已經(jīng)過度利用的廣域網(wǎng)進(jìn)一步增加了壓力。正當(dāng)用戶試圖突破廣域網(wǎng)帶寬和地理距離造成的更高延時(shí)的雙重制約時(shí)，第三個(gè)問題出現(xiàn)了：減少對(duì)不同位置之間單一鏈路依賴的風(fēng)險(xiǎn)的需要。在全網(wǎng)中建立全面冗余的廣域網(wǎng)是非常奢侈的選擇。網(wǎng)絡(luò)技術(shù)日新月異，發(fā)展得如火如荼。在網(wǎng)絡(luò)建設(shè)的時(shí)候，可供選擇的技術(shù)多種多樣，用戶可以構(gòu)建自己的專網(wǎng)，依靠專網(wǎng)帶寬的專屬性來保證網(wǎng)絡(luò)業(yè)務(wù)的開展；用戶可以租用第三方運(yùn)營(yíng)商的VPN網(wǎng)絡(luò)，由第三方運(yùn)營(yíng)商提供網(wǎng)絡(luò)帶寬的保證；用戶也可以在公共網(wǎng)絡(luò)平臺(tái)上自己構(gòu)建VPN網(wǎng)絡(luò)等。因此，用戶現(xiàn)在建設(shè)的是公共/專用混合廣域網(wǎng)，這樣的廣域網(wǎng)可以更好地保障業(yè)務(wù)開展，同時(shí)降低成本。靜態(tài)路由是在路由器中設(shè)置的固定的路由表。除非網(wǎng)絡(luò)管理員干預(yù)，否則靜態(tài)路由不會(huì)發(fā)生變化。由于靜態(tài)路由不能對(duì)網(wǎng)絡(luò)的改變作出反映，一般用于網(wǎng)絡(luò)規(guī)模不大、拓?fù)浣Y(jié)構(gòu)固定的網(wǎng)絡(luò)中。靜態(tài)路由的優(yōu)點(diǎn)是簡(jiǎn)單、高效、可靠。在所有的路由中，靜態(tài)路由優(yōu)先級(jí)最高。當(dāng)動(dòng)態(tài)路由與靜態(tài)路由發(fā)生沖突時(shí)，以靜態(tài)路由為準(zhǔn)。這種方式對(duì)于設(shè)備的要求較高，配置相對(duì)繁瑣，但是上網(wǎng)的路由選擇與用戶無關(guān)，用戶的上網(wǎng)方式無需進(jìn)行任何改動(dòng)，可操作性較好。同時(shí)，網(wǎng)絡(luò)管理人員可以根據(jù)兩個(gè)出口的帶寬和流量情況，調(diào)整路由指向使用策略路由技術(shù)應(yīng)用策略路由，必須要指定策略路由使用的路由圖，并且要?jiǎng)?chuàng)建路由圖。一個(gè)路由圖由很多條策略組成，每個(gè)策略都定義了1個(gè)或多個(gè)的匹配規(guī)則和對(duì)應(yīng)操作。一個(gè)接口應(yīng)用策略路由后，將對(duì)該接口接收到的所有包進(jìn)行檢查，不符合路由圖任何策略的數(shù)據(jù)包將按照通常的路由轉(zhuǎn)發(fā)進(jìn)行處理，符合路由圖中某個(gè)策略的數(shù)據(jù)包就按照該策略中定義的操作進(jìn)行處理。策略路由可以使數(shù)據(jù)包按照用戶指定的策略進(jìn)行轉(zhuǎn)發(fā)。對(duì)于某些管理目的，如QoS需求或VPN拓?fù)浣Y(jié)構(gòu)，要求某些路由必須經(jīng)過特定的路徑，就可以使用策略路由。例如，一個(gè)策略可以指定從某個(gè)網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包只能轉(zhuǎn)發(fā)到某個(gè)特定的接口。策略路由在中國(guó)最大的應(yīng)用莫過于用于電信網(wǎng)通的互聯(lián)互通的問題了，電信網(wǎng)通分家之后出現(xiàn)了中國(guó)特色的網(wǎng)絡(luò)環(huán)境，就是南電信，北網(wǎng)通，電信的訪問網(wǎng)通的線路較慢，網(wǎng)通訪問電信的也較慢！人們就想到了接入電信網(wǎng)通雙線路，這種情況下雙線路的普及就使得策略路由就有了大的用武之地了！通過在路由設(shè)備上添加策略路由包的方式，成功的實(shí)現(xiàn)了電信數(shù)據(jù)走電信，網(wǎng)通數(shù)據(jù)走網(wǎng)通，這種應(yīng)用一般都屬于目的地址路由！在路由器進(jìn)行包轉(zhuǎn)發(fā)決策過程中，通常是根據(jù)所接受的包的目的地址進(jìn)行的。路由器根據(jù)包的目的地址查找路由表，從而作出相應(yīng)的最優(yōu)路由轉(zhuǎn)發(fā)決策。當(dāng)欲使某些包由其他路徑而不是明確的最短路徑路由時(shí)，就可以啟用策略路由，即按照我們具體需要來決定數(shù)據(jù)包的路由?；诓呗月酚捎腥缦聨追N方式，即：基于源IP地址的策略路由；基于數(shù)據(jù)包大小的策略路由；基于應(yīng)用的策略路由；通過缺省路由平衡負(fù)載。根據(jù)實(shí)際情況我們需要特定如郵件等服務(wù)器接受和發(fā)送包的路徑是通過CERNET，所以選擇的是基于源IP地址的策略路由。這種方式是最佳選擇，但是設(shè)備要求比較高。NAT技術(shù)NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是1994年提出的。當(dāng)在專用網(wǎng)內(nèi)部的一些主機(jī)本來已經(jīng)分配到了本地IP地址（即僅在本專用網(wǎng)內(nèi)使用的專用地址），但現(xiàn)在又想和因特網(wǎng)上的主機(jī)通信（并不需要加密）時(shí)，可使用NAT方法。在使用路由選擇時(shí)，一般采用NAT——地址轉(zhuǎn)換技術(shù)解決內(nèi)外網(wǎng)地址的轉(zhuǎn)換問題。NAT就是在內(nèi)部專用網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點(diǎn)要與外界網(wǎng)絡(luò)發(fā)生聯(lián)系時(shí)，就在邊緣路由器或者防火墻處，將內(nèi)部地址替換成全局地址合法地址，從而在外部公共網(wǎng)上正常使用。目前NAT功能通常被集成到路由器、防火墻等設(shè)備中。NAT設(shè)備維護(hù)一個(gè)NAT表，用它來實(shí)現(xiàn)全局到本地和本地到全局地址的映射。NAT設(shè)置可以分為靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換和端口地址轉(zhuǎn)換。（1）靜態(tài)地址轉(zhuǎn)換靜態(tài)NAT是這三種中最容易實(shí)現(xiàn)的一種，它在NAT表中為每一個(gè)需要轉(zhuǎn)換的內(nèi)部地址創(chuàng)建了固定的轉(zhuǎn)換條目，映射了唯一的全局地址。內(nèi)部地址與全局地址一一對(duì)應(yīng)。每當(dāng)內(nèi)部節(jié)點(diǎn)與外界通信時(shí)，內(nèi)部地址就會(huì)轉(zhuǎn)化為對(duì)應(yīng)的全局地址。這種方式主要用于服務(wù)器，以確保外部對(duì)服務(wù)器的正確訪問。（2）動(dòng)態(tài)地址轉(zhuǎn)換增加了網(wǎng)絡(luò)管理的復(fù)雜性，但也提供了很大的靈活性。它將可用的全局地址地址集定義成NAT池（NATPool）。對(duì)于要與外界進(jìn)行通信的內(nèi)部節(jié)點(diǎn)，如果還沒有建立轉(zhuǎn)換映射，邊緣路由器或者防火墻將會(huì)動(dòng)態(tài)地從NAT池中選擇全局地址對(duì)內(nèi)部地址進(jìn)行轉(zhuǎn)化。每個(gè)轉(zhuǎn)換條目在連接建立時(shí)動(dòng)態(tài)建立，而在連接終止時(shí)會(huì)被回收。這樣，網(wǎng)絡(luò)的靈活性大大增強(qiáng)了，所需要的全局地址進(jìn)一步地減少。需要注意的是，在地址池中的可用地址被耗盡后，后續(xù)的連接請(qǐng)求將會(huì)失敗，會(huì)造成網(wǎng)絡(luò)連通性的問題。所以應(yīng)該使用超時(shí)操作選項(xiàng)來回收NAT池的全局地址。另外，由于每次的地址轉(zhuǎn)換是動(dòng)態(tài)的，所以同一個(gè)節(jié)點(diǎn)在不同的連接中的全局地址是不同的，這會(huì)使SNMP的操作復(fù)雜化。（3）端口地址轉(zhuǎn)換端口地址轉(zhuǎn)換首先是一種動(dòng)態(tài)地址轉(zhuǎn)換，但是它可以允許多個(gè)內(nèi)部本地地址共用一個(gè)內(nèi)部合法地址。對(duì)只申請(qǐng)到少量IP地址但卻經(jīng)常同時(shí)有多個(gè)用戶上外部網(wǎng)絡(luò)的情況，這種轉(zhuǎn)換極為有用。校園網(wǎng)雙出口解決方案解決方案從上述內(nèi)容，我們可以知道，所謂校園網(wǎng)雙出口，指的是同時(shí)具備中國(guó)公共計(jì)算機(jī)互聯(lián)網(wǎng)和中國(guó)教育科研網(wǎng)兩個(gè)出口的校園網(wǎng)。因此，校園網(wǎng)雙出口的實(shí)踐應(yīng)用協(xié)調(diào)工作就成為當(dāng)前亟待解決的問題。本文以河北工程大學(xué)為例，就雙出口方案在其校園網(wǎng)內(nèi)的實(shí)踐應(yīng)用進(jìn)行分析。

校園網(wǎng)雙接口方案的應(yīng)用，首先就是進(jìn)行校園網(wǎng)的結(jié)構(gòu)改造。如圖1所示，應(yīng)用教育科研網(wǎng)所分配的IP地址，并劃分其他計(jì)算機(jī)于一個(gè)網(wǎng)段，使私有IP地址成為使用的形式，從而保證DNS域名解析的完成。

路由設(shè)計(jì)指的是在因特網(wǎng)接入以太網(wǎng)的端口上設(shè)置策略路由，使校園網(wǎng)所有節(jié)點(diǎn)擁有中國(guó)教育科研網(wǎng)的合法IP。在進(jìn)行域外訪問時(shí)，校內(nèi)其他用戶可通過電信網(wǎng)接入路由器，并在翻譯地址后傳送回來。當(dāng)前，河北工程大學(xué)已具有信息點(diǎn)5000多個(gè)，其中，辦公區(qū)主機(jī)使用由中國(guó)教育科研網(wǎng)分配的靜態(tài)IP地址，學(xué)生宿舍、學(xué)生實(shí)驗(yàn)室分配固定的私有IP地址，家屬區(qū)分配固定的私有IP地址。辦公區(qū)可對(duì)教育科研網(wǎng)進(jìn)行直接訪問，學(xué)生宿舍、實(shí)驗(yàn)室通過代理服務(wù)器來對(duì)教育科研網(wǎng)進(jìn)行訪問，家屬區(qū)則通過NAT轉(zhuǎn)換來對(duì)教育科研網(wǎng)進(jìn)行訪問。校園網(wǎng)全部用戶通過公網(wǎng)IP來對(duì)教育科研網(wǎng)之外的互聯(lián)網(wǎng)資源進(jìn)行訪問。學(xué)校之外的如WWW、DNS等服務(wù)器置于校園網(wǎng)中心，來完成同互聯(lián)網(wǎng)直接的相互訪問，而圖書館管理系統(tǒng)、教學(xué)管理系統(tǒng)等對(duì)內(nèi)服務(wù)器只能由內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問。

這一設(shè)計(jì)中，應(yīng)用了具有高性能處理能力的防火墻，實(shí)現(xiàn)了教育網(wǎng)和校園網(wǎng)出口的路由功能。將單出口的路由器和防火墻，合并到防火墻中，減輕了教育網(wǎng)的線路負(fù)載，分擔(dān)了防火墻負(fù)載，降低了設(shè)備運(yùn)行延遲，提升教育網(wǎng)的訪問速度。

NAT即網(wǎng)絡(luò)轉(zhuǎn)換技術(shù)，當(dāng)前這一技術(shù)的發(fā)展已經(jīng)日趨成熟，被用于因合法IP地址缺乏所導(dǎo)致各種問題的解決。在進(jìn)行互聯(lián)網(wǎng)訪問時(shí)，可將內(nèi)部地址同另一合法地址封裝，在收回?cái)?shù)據(jù)包時(shí)，再將其打開，以還原實(shí)際地址。河北工程大學(xué)內(nèi)采用的是私有IP地址段和教育科研網(wǎng)IP地址段混合使用的方式，由教育網(wǎng)負(fù)責(zé)提供。其中，學(xué)生區(qū)內(nèi)一律應(yīng)用squid代理，以實(shí)現(xiàn)從私有IP地址段向中國(guó)教育科研網(wǎng)IP地址段的轉(zhuǎn)換，從而形成類似于應(yīng)用教育網(wǎng)IP地址段對(duì)互聯(lián)網(wǎng)進(jìn)行訪問的形式。而辦公區(qū)私有IP地址段則不應(yīng)用squid代理。因此，無論是學(xué)生區(qū)，還是辦公區(qū)，均要開展NAT轉(zhuǎn)換。在設(shè)計(jì)方案中，我們對(duì)教育網(wǎng)所提供的全部私有IP地址段在防火墻上開展NAT。但因校園網(wǎng)有著較大的用戶數(shù)量，在公網(wǎng)的訪問過程當(dāng)中，需要巨大數(shù)量的NAT，為使防火墻負(fù)荷得到降低，在電信出口和電信服務(wù)器上增加路由器，來對(duì)NAT數(shù)據(jù)進(jìn)行分流，從而有效提升整個(gè)校園網(wǎng)的訪問速度和效率。

域名系統(tǒng)由域名服務(wù)器和解析器組成，其中，解析器作為客戶方，同應(yīng)用程序相連接，來承擔(dān)對(duì)域名服務(wù)器訪問的責(zé)任，不但負(fù)責(zé)對(duì)域名服務(wù)器的返回應(yīng)答，還需要完成對(duì)應(yīng)用程序的信息傳送。DNS技術(shù)的動(dòng)態(tài)實(shí)現(xiàn)依賴于自身服務(wù)器中BIND軟件View功能的發(fā)揮，其基本查詢過程如下圖2所示。

河北工程大學(xué)的注冊(cè)域名為hebeu.省略，中國(guó)教育科研網(wǎng)為其注冊(cè)機(jī)構(gòu)，因其DNS服務(wù)器地址均由教育網(wǎng)提供，故其服務(wù)器應(yīng)當(dāng)走教育網(wǎng)的出口。但因公網(wǎng)同教育網(wǎng)之間存在一定程度的互聯(lián)互通寬帶限制，降低了教育網(wǎng)服務(wù)器被公網(wǎng)用戶訪問的速度。為應(yīng)對(duì)這一問題，河北工程大學(xué)另外設(shè)置了電信服務(wù)器，這些服務(wù)器使用的地址均由電信提供，從而便利公網(wǎng)用戶的訪問。兩種類型服務(wù)器均以hebeu.省略作為域名的擴(kuò)展，主輔DNS服務(wù)器來負(fù)責(zé)對(duì)其解析，且要求DNS服務(wù)器能夠以請(qǐng)求地址為依據(jù)實(shí)施區(qū)分，從而實(shí)現(xiàn)了對(duì)河北工程大學(xué)電信服務(wù)器和教育網(wǎng)服務(wù)器的訪問，不但域名得到了統(tǒng)一，訪問速度也進(jìn)一步提升。

可控性方面，雙出口形式的校園網(wǎng)，雖不能對(duì)每個(gè)計(jì)算機(jī)進(jìn)行公網(wǎng)IP地址的分配，但可完成一個(gè)私有IP地址的分配。這表示可跳過NAT環(huán)節(jié)，將校內(nèi)計(jì)算機(jī)直接連接于校園網(wǎng)內(nèi)，并由學(xué)校網(wǎng)絡(luò)中心實(shí)施統(tǒng)一的NAT處理。這樣極大便利了對(duì)網(wǎng)內(nèi)計(jì)算機(jī)的管理，保障了校園網(wǎng)絡(luò)的可控性。安全性方面，雙出口形式的校園網(wǎng)，使網(wǎng)內(nèi)所有計(jì)算機(jī)都透明化，脫離了NAT設(shè)備的隱藏，當(dāng)發(fā)生內(nèi)部攻擊時(shí)，校園網(wǎng)管理員可對(duì)實(shí)施攻擊的計(jì)算機(jī)直接定位。機(jī)房管理方面，雙出口形式的校園網(wǎng)分配給校內(nèi)機(jī)房一些私網(wǎng)IP地址，進(jìn)行統(tǒng)一的NAT處理，這樣，機(jī)房管理員可將其看做公網(wǎng)IP地址進(jìn)行使用，大大降低了機(jī)房管理員的工作量。具體方案配置我校校園網(wǎng)通過H3C—R6616路由器進(jìn)行出口配置，網(wǎng)絡(luò)出口有兩條鏈路教育網(wǎng)和聯(lián)通，由于教育網(wǎng)丟包現(xiàn)象嚴(yán)重，訪問外網(wǎng)速度比較慢等原因，我校采取靜態(tài)路由表和策略路由的方式進(jìn)行分流，教育網(wǎng)所有免費(fèi)的站點(diǎn)通過靜態(tài)路由表走教育網(wǎng)出口，默認(rèn)網(wǎng)關(guān)指向聯(lián)通網(wǎng)關(guān)，所有外網(wǎng)和教育網(wǎng)收費(fèi)站點(diǎn)通過默認(rèn)網(wǎng)關(guān)出口，通過以上配置，校內(nèi)用戶訪問外網(wǎng)速度明顯加快。校園網(wǎng)的兩個(gè)外網(wǎng)接口地址，54表示教育網(wǎng)出口地址，53表示聯(lián)通出口地址。通過以上設(shè)置，雖優(yōu)化了我校的網(wǎng)絡(luò)，對(duì)數(shù)據(jù)流量進(jìn)行了有效的分流，但是目前出現(xiàn)的問題是，一旦聯(lián)通線路出現(xiàn)故障，所有的外網(wǎng)基本都無法訪問，無法做到雙鏈路備份，如何解決當(dāng)外部通信的其中一條線路斷掉后能自動(dòng)切換到另外一條線路，從而達(dá)到校園網(wǎng)的安全傳輸，是我校遇到的一個(gè)問題。NQA（NetworkQualityAnalyzer）網(wǎng)絡(luò)質(zhì)量分析是一種實(shí)時(shí)的網(wǎng)絡(luò)性能探測(cè)和統(tǒng)計(jì)技術(shù)，可以對(duì)響應(yīng)時(shí)間、網(wǎng)絡(luò)抖動(dòng)、丟包率等網(wǎng)絡(luò)信息進(jìn)行統(tǒng)計(jì)。NQA還提供了與Track和應(yīng)用模塊聯(lián)動(dòng)的功能，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)狀態(tài)的變化。為用戶提供網(wǎng)絡(luò)性能參數(shù)，如時(shí)延抖動(dòng)、HTTP的總時(shí)延、通過DHCP獲取IP地址的時(shí)延、TCP連接時(shí)延、FTP連接時(shí)延和文件傳輸速率等。配置兩個(gè)自動(dòng)偵測(cè)組（wan1）和（wan2），配置默認(rèn)路由，當(dāng)任意WAN鏈路出現(xiàn)故障時(shí)，流量可以在另外一條鏈路上進(jìn)行轉(zhuǎn)發(fā)通過以上設(shè)置，即解決了雙出口問題，又做到兩條線路的互相備份，當(dāng)一條鏈路出現(xiàn)線路故障，校園內(nèi)網(wǎng)絡(luò)用戶即可通過另外一條出口進(jìn)行訪問外網(wǎng)資源，從而實(shí)現(xiàn)校園網(wǎng)對(duì)外訪問的真正的冗余備份，優(yōu)化了校園網(wǎng)網(wǎng)絡(luò)，保證了校園網(wǎng)安全穩(wěn)定的運(yùn)行。還有一種方法是通過CISCOcatalyst6509交換機(jī)的具體配置。具體配置中由于涉及到網(wǎng)絡(luò)安全機(jī)密，校園網(wǎng)的各個(gè)接口地址，包括校園網(wǎng)的地址、服務(wù)器的地址和電信的地址均由其他地址代替。其中：/24和/24表示校園網(wǎng)內(nèi)部的地址，/24表示校園網(wǎng)內(nèi)部服務(wù)器的地址，/24表示電信的地址。Ssr2路由器的ip地址為54，ssr1的ip地址為54。1．設(shè)置默認(rèn)路由指向ssr2路由器：iproute542．對(duì)于所有教育網(wǎng)的國(guó)內(nèi)站點(diǎn)（免費(fèi)流量）設(shè)置靜態(tài)路由，指向ssr1路由器。iproute54iproute54……iproute54iproute54iproute54iproute543．為了保證校園網(wǎng)中各院系的服務(wù)器流量都走教育網(wǎng)，需要配置策略路由。（1）配置服務(wù)器的訪問控制列表（假設(shè)服務(wù)器的地址為，，0）：access-list110permitiphostanyaccess-list110permitiphostanyaccess-list110permitiphost0any（2）配置基于所有教育網(wǎng)的國(guó)內(nèi)站點(diǎn)（免費(fèi)流量）的訪問控制列表：access-list112permitiphostanyaccess-list112permitiphostanyaccess-list112permitiphost0anyaccess-list112permitipany55access-list112permitipany55……access-list112permitipany55access-list112permitipany55access-list112permitipany55access-list112permitipany55access–list112denyipanyany（3）配置策略路由，特定的服務(wù)器所有流量都經(jīng)由ssr1到教育網(wǎng)，其它的流量經(jīng)ssr2到電信出口：route–mapserverpermit10matchipaddress110setipnext–hop54route–maptodianxinpermit10matchipaddress112setipnext–hop54（4）完全保證沒有非授權(quán)流量從教育網(wǎng)流出，應(yīng)當(dāng)把中國(guó)教育科研網(wǎng)的免費(fèi)地址訪問控制列表（即上文中的access–list112訪問控制列表）應(yīng)用連接到ssr1路由器的端口。這樣，就保證了正常的路由指向。4、進(jìn)行ssr2的NAT配置。配置ssr2路由器快速以太網(wǎng)接口fastethernet0/0連接6509交換機(jī)，快速以太網(wǎng)接口fastethernet0/1連接DDN專線，其中0/0端口為NAT內(nèi)部接口，0/1端口為NAT的外部接口。配置如下：interfacefastethernet0/0ipaddress5452ipnatinsideinterfacefastethernet0/1ipaddress5452ipnatoutsideipnatpooldianxin50netmask24//設(shè)置對(duì)外訪問地址iproute53//配置默認(rèn)路由iproute53//配置靜態(tài)路由access–list100permitip55any//指定NAT范