基于策略路由的校园网出口建构与实践

缪元照，刘志南

（1.天津美术学院信息化工作办公室，天津300141；2.天津市嘉仕科技股份有限公司，天津300384）

0 引言

校园网双出口的研究和实践由来已久，最早是用于解决CERNET 高昂的国际流量费用，笔者也曾经在CISCO6509 交换机和2621 路由器上使用路由、策略路由以及地址转换技术实现了校园网的双出口优化解决方案[1]。随着网络带宽和网络技术的发展，校园网多出口的主要目的是提高网络可用性与冗余，提升校园网用户的使用体验[2-3]，天津美术学院作为拥有设计类和影视类专业的专业艺术院校，师生使用校园网对于设计素材和一些影视的下载和在线浏览观看是专业学习和提升的重要组成部分，因此提升校园网的可用性、可靠性、冗余性、通达性是现在校园网建设和管理的重要工作。

天津美术学院校园网出口拥有CERNET、联通、电信、移动四个运营商的网络连接，如图1 所示。本文使用策略路由技术，最大程度发挥边界路由设备性能，满足校园网用户对于网络需求，提高用户的满意度。

1 校园网出口的策略路由需求

路由器进行包转发决策过程中，一般是根据所接收的数据包的目的地址进行的。路由器根据目的地址查找路由表，从而做出相应的最优路由转发决策。要使数据包不是明确的最短路径路由，而是由其他路径转发时，需要应用策略路由技术，也就是按照具体需要来决定数据包的路由。

基于策略路由有如下几种方式：①基于源IP 地址的策略路由；②基于目的IP 地址的策略路由；③基于数据包大小的策略路由；④基于应用的策略路由。

对于校园网出口来说，一般应用基于目的IP 地址的策略路由技术来实现。

图1 天津美术学院校园网多出口拓扑

根据天津美术学院校园网的实际应用，在核心交换机上只做VLAN 的定义、ARP 表及缺省路由，和相应的安全策略配置，策略路由是由边界路由设备来专门完成的[4]，需要满足以下目标：

（1）校园网用户不需要关心网络出口连接，不用做任何操作即可正常工作。

（2）校园网的服务器原则上在教育网发布服务，服务器区的各种服务，原则上使用教育网真实地址，路由选择CERNET 线路。

（3）CERNET 免费列表需要进行梳理，凡是CERNET 直连地址，校园网用户访问需要路由选择CERNET 线路，凡是学校图书馆购买的数据库资源，校园网用户访问原则上路由选择CERNET 线路，对于CERNET 免费地址列表中其他运营商的地址（CERNET 非直连地址），校园网用户访问时路由选择相关运营商线路。

（4）按照联通、电信、移动运营商的地址列表，校园网用户访问根据目的地址的归属，路由选择相关运营商线路。

2 天津美术学院校园网多出口方案配置

如图1 所示，天津美术学院校园网采用锐捷核心交换机及EG2000 网关作为校园网核心和边界路由设备，由于策略路由对于路由设备性能消耗比较大，因此选择一台高性能边界路由设备是策略路由成功实施运行的重要因素，EG2000 拥有专业出口设备高效的NAT 转发性能，还具有流控、智能选路、上网行为管理、安全防护等功能，而且可以提供Web 页面配置，是比较适合中等以下规模网络出口的设备。

EG2000 可以采用网关模式和网桥模式，天津美术学院校园网将EG2000 部署在边界路由的位置，因此采用网关模式，主要需要进行以下配置[5]。

2.1 地址库的维护

按照确定的策略路由目的地址原则，对于特征地址库进行维护，需要注意的是学校订购的主要数据库资源的目的IP地址原则上应该修正到CERNET 地址库：

CERNET 地址库如下：

CERNET route db info:

1.5 1.0.0 255.255.0.0

1.18 4.0.0 255.254.0.0

42.24 4.0.0 255.252.0.0

……

202.11 2.0.0 255.248.0.0

……

223.2.0.0 255.254.0.0

223.12 8.0.0 255.254.0.0

联通地址库如下：

cnc route db info:

1.2 4.0.0 255.248.0.0

1.5 6.0.0 255.248.0.0

1.11 9.192.0 255.255.248.0

……

202.11 1.128.0 255.255.192.0

……

222.16 0.0.0 255.252.0.0

223.16 6.0.0 255.254.0.0

电信地址库如下：

CNII route db info:

1.0.1.0 255.255.255.0

1.0.2.0 255.255.254.0

1.0.8.0 255.255.248.0

……

203.1 2.24.0 255.255.255.0

……

223.24 0.0.0 255.248.0.0

223.25 5.252.0 255.255.254.0

移动地址库如下：

CMCC route db info:

36.12 8.0.0 255.192.0.0

36.19 2.0.0 255.224.0.0

39.12 8.0.0 255.192.0.0

……

202.9 6.123.172 255.255.255.252

……

223.11 6.0.0 255.252.0.0

223.12 0.0.0 255.248.0.0

2.2 相关接口配置，并启用NAT功能

首先在EG 设备开启多链路负载均衡mllb enable，然后启用各运营商IP 地址组，以192.168.0.0 网段地址代表，隐藏真实IP，CERNET、电信、移动地址相同，不再说明：

ip-group 1

description 联通

ip-range 192.168.10.49 192.168.10.51

route-db cnc

ip-group 2

description 电信

ip-range 192.168.148.51 192.168.148.53

route-db cnii

ip-group 3

description 移动

route-db cmcc

ip-range 192.168.56.195 192.168.56.196

ip-group 4

description 教育

route-db cernet

ip-subnet 192.168.216.0 24

ip-subnet 192.168.217.0 24

ip-subnet 192.168.218.0 24

在CERNET、联通、电信、移动的光纤接口配置如下：

interface GigabitEthernet 0/1

medium-type fiber 设置为光纤接口

description 联通

bandwidth 240000 设置带宽阈值

nexthop 192.168.6.73 设置下一跳地址

reverse-path 设置反向路径过滤

ip address 192.168.69.6.74 255.255.255.252 设置接口地址

ip nat outside 设置地址NAT 转换

flow-policy Gi0/1

interface GigabitEthernet 0/3

medium-type fiber 设置为光纤接口

description 电信

bandwidth 240000

nexthop 192.168.148.49

reverse-path

ip address 192.168.148.50 255.255.255.240

ip nat outside

flow-policy Gi0/3

interface GigabitEthernet 0/5

medium-type fiber

description 移动

bandwidth 200000

nexthop 192.168.56.193

reverse-path

ip address 192.168.56.194 255.255.255.224

ip nat outside

flow-policy Gi0/5

interface GigabitEthernet 0/7

medium-type fiber

description 教育-200M

bandwidth 200000

nexthop 192.168..216.254

reverse-path

ip address 192.168.216.253 255.255.255.252

ip name-server 192.168.216.11 track 1 设置主DNS服务器

ip name-server 192.168.216.10 track 2 设置备用DNS 服务器

ip nat outside

flow-policy Gi0/7

四个运营商的带宽接口都采用光纤接入接口，需要说明的是进行带宽阈值配置是方便进行负载均衡，可以启用相关配置，当某个运营商的接口流量超过一定阈值后，自动首选其他带宽，由于策略路由选择是根据我们维护的优化过的地址库进行的，因此这种负载均衡虽然可以使得网络带宽利用率提高，但是在带宽没有冲到极限造成比较大延时和丢包的情况下，并不会提高校园网用户的网络使用感受。因此我们并没有进一步启用相关配置。

2.3 配置NAT地址池

在相关接口上配置NAT 使用的地址池ip nat pool nat_pool prefix-length 24

address 192.168.6.74 192.168.6.74 match interface GigabitEthernet 0/1

address 192.168.148.50 192.168.148.50 match interface GigabitEthernet 0/3 address 192.168.56.194 192.168.56.194 match interface GigabitEthernet 0/5

address 192.168.1.30 192.168.1.30 match interface GigabitEthernet 0/7

这就是以各接口已经配置了CERNET、联通、电信、移动各运营商的IP 地址作为NAT 地址转换的地址池。

2.4 配置地址库

route-auto-choose cnc GigabitEthernet 0/1 192.168.6.73 配置应用地址库，并指下一跳地址

route-auto-choose cnii GigabitEthernet 0/3 192.168.148.49

route-auto-choose cernet GigabitEthernet 0/7 192.168.216.254

route-auto-choose cmcc GigabitEthernet 0/5 192.168.56.193

2.5 静态路由设置

在相关接口配置静态默认路由，启用整体策略路由。

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/1 192.168.6.73

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/3 192.168.148.49

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/5 192.168.56.193

ip route 0.0.0.0 0.0.0.0 GigabitEthernet

0/7 192.168.216.254

2.6 服务器访问相关配置

需要启用访问控制列表将内网和服务器地址及端口进行配置如下：

ip access-list standard 10

10 permit 10.16.192.0 0.0.31.255 内网地址

20 permit 10.16.0.0 0.0.31.255 内网地址

……

190 permit 192.168.216.0 0.0.0.255 服务器地址，以192.168.0.0 网段地址代表，隐藏真实IP

200 permit 192.168.218.0 0.0.0.255 服务器地址

……

360 permit 172.18.18.0 0.0.0.255

需要说明的是，配置服务器静态路由地址就是为了保证校园网的服务器原则上在教育网发布服务，服务器区的各种服务，原则上使用教育网真实地址，路由选择CERNET 线路。

3 结语

在校园网多出口构建实践中，有的学校会让用户自主选择路由[2]，这种模式灵活方便，运行稳定，但是并不适合天津美术学院这类校园网用户普遍计算机网络应用水平较低的环境，对于天津美术学院校园网用户来说，一个不需要更多干预的，开机联网就可以使用的网络更为适合，因此天津美术学院校园网建设一直是秉着用户最小干预的原则进行建设。

天津美术学院校园网建设从2005 年采用CISCO Catalyst 6506 核心交换机及虚拟防火墙技术完成校园网双出口建构[6]，但是CISCO Catalyst 6506 的Catalyst 6500 Firewall Service Module 防火墙板卡的处理能力有限，在校园网用户大量带宽和并发连接剧增的情况下，交换机和防火墙负载消耗很大，性能会受到严重影响，本文所述采用锐捷EG 网关的策略路由技术架构的多出口模式，自2014 年开始实施以来，运行稳定，提高了校园网用户上网的体验。

需要说明的是，为了提高校园网用户的上网体验，网络管理维护人员是需要根据用户主要访问的网站和应用的通达性和响应延时，定期对于CERNET、联通、电信和移动四家运营商的地址库进行维护，以保证主要的应用可用性和可通达性是相对最佳的，提高上网体验。

在外购的数据库访问问题上，一方面是尽可能将主要数据库提供商的IP 地址列表归入CERNET 地址库，尽可能保证校园网用户访问外购数据库是通过教育网链路，但是由于各数据库的IP 地址很多是其他运营商的通达性更佳，因此是需要图书馆将学校各运营商地址均提供数据库提供商，以保证校园网用户无论是策略路由选择哪条链路，均可以无缝通达使用数据库。

限于本文篇幅，未对于锐捷EG 网关相关流量控制及安全策略进行讨论，在锐捷EG 网关上进行访问控制列表等安全策略是必要的，但是相比专业的网络安全设备来说，锐捷EG 网关是一台边界路由设备，如图1所示，服务器区域的安全防范是由防火墙来进行保障的。现代校园网建设来说，设备专业化程度越来越高，因此不推荐锐捷EG 网关作为流量控制及行为管理设备来使用，锐捷EG 网关的优点是路由功能，策略路由性能较好。

本方案的最大缺点是在校园网和CERNET 城域网以及各运营商的网络连接之间，没有专业的防火墙设备，虽然校园网用户使用DHCP 获取地址，并且在接口完成了NAT 地址转换，外网IP 对于校园网用户直接访问是不可达的，但是毕竟锐捷EG 网关不是专业安全设备，因此校园网用户安全性尚有改进空间。