校園網(wǎng)多出口訪問控制技術(shù)研究

高新成 (東北石油大學(xué)現(xiàn)代教育技術(shù)中心,黑龍江 大慶 163318)

目前,隨著高校信息化的發(fā)展和數(shù)字化校園的建設(shè),校園網(wǎng)絡(luò)應(yīng)用日趨復(fù)雜化,普遍采用網(wǎng)絡(luò)多出口方式。通常為中國教育和科研計(jì)算機(jī)網(wǎng)CERNET出口 (以下簡稱教育網(wǎng))和本地互聯(lián)網(wǎng)服務(wù)提供商ISP提供的出口 (一般為電信網(wǎng)TELECOM和新聯(lián)通網(wǎng)UNICOM)。ISP提供的出口通常是包月形式,無論學(xué)校使用的流量有多大,每月固定收取一定出口費(fèi)用。由于訪問教育網(wǎng)的資源速度比較慢,而且教育網(wǎng)中有些資源對ISP提供的網(wǎng)絡(luò)是屏蔽的,如果學(xué)校只使用ISP提供的出口,則會造成無法正常利用教育網(wǎng)資源。教育網(wǎng)出口可以免費(fèi)訪問一部分網(wǎng)絡(luò)地址,對于其余地址的訪問,是按照流量收費(fèi)的,如果完全通過CERNET來對外訪問,則會因?yàn)榱髁烤薮笤斐删W(wǎng)絡(luò)資費(fèi)過高。

下面筆者基于速度、資源利用情況和費(fèi)用的綜合因素考慮,根據(jù)高校校園網(wǎng)建設(shè)的實(shí)際情況,提出了一種在校園網(wǎng)多出口環(huán)境中實(shí)現(xiàn)不同源/目的網(wǎng)段的數(shù)據(jù)包由指定的出口進(jìn)出的方案。

1 策略路由結(jié)合NAT和動態(tài)DNS技術(shù)的訪問控制

1.1 策略路由 (Policy Based Routing)技術(shù)

策略路由提供了一種更復(fù)雜的包轉(zhuǎn)發(fā)機(jī)制,通過定義適當(dāng)?shù)牟呗?不僅可以實(shí)現(xiàn)基于數(shù)據(jù)包目的IP地址的路由選擇策略,而且可以實(shí)現(xiàn)基于數(shù)據(jù)包源IP地址、數(shù)據(jù)包大小、應(yīng)用層協(xié)議、負(fù)載平衡等策略選擇路由。在該技術(shù)方案的研究和應(yīng)用中,主要考慮如何根據(jù)源IP地址和目的IP地址來選擇路由。策略路由選擇禁止內(nèi)部局域網(wǎng)用戶從教育網(wǎng)這條鏈路訪問非免費(fèi)網(wǎng)站,有效控制了國際流入量的費(fèi)用,對所有需要使用教育網(wǎng)出口的內(nèi)部用戶制定源地址路由。所有對校園網(wǎng)資源的訪問增加了相應(yīng)的策略路由,同時制定了安全策略,增強(qiáng)了內(nèi)部網(wǎng)絡(luò)安全性,比較理想地解決了高校用戶的需求。

1.2 NAT(Network Address Translation)技術(shù)

NAT是一種成熟的技術(shù)方案,用于解決因合法IP地址過少而引起的種種問題。其解決的方法是:在內(nèi)部使用保留的IP地址,當(dāng)內(nèi)部與外部網(wǎng)絡(luò)通信時,將內(nèi)部保留地址翻譯成合法的IP地址,使通信能正常進(jìn)行。NAT分為3種類型:靜態(tài)NAT(static NAT)、NAT池 (Pooled NAT)和端口 NAT(PAT)。靜態(tài)NAT將內(nèi)部網(wǎng)絡(luò)中的每個主機(jī)都永久映射成外部網(wǎng)絡(luò)中的某個合法的地址;而NAT池則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址,采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò);端口NAT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。

在該技術(shù)方案的研究和應(yīng)用中,主要采用NAT池 (Pooled NAT)方法,定義一個NAT池,全局地址在NAT池中列出,當(dāng)內(nèi)部與外部通信時,動態(tài)的從NAT池中選擇全局地址進(jìn)行轉(zhuǎn)換。這樣每個連接動態(tài)建立,當(dāng)通信終止時全局地址被重新放回NAT池中,這樣就可大大減少全局地址的數(shù)量。

2 訪問控制策略的動態(tài)配置

2.1 防火墻的有關(guān)配置

根據(jù)校園網(wǎng)訪問流量和本地ISP線路的帶寬的大小,出口使用2個千兆防火墻,防火墻FireWall-RG1600A連接在網(wǎng)通出口,防火墻FireWall-RG1600連接電信出口和教育網(wǎng)出口[5]。并在2臺防火墻上實(shí)現(xiàn)NAT地址轉(zhuǎn)換。

1)網(wǎng)通出口防火墻 (FireWall-RG1600A)。①設(shè)置動態(tài)IP地址池:

序號 名稱 地址 備 注1 Nat 60.218.184.0/255.255.255.128 聯(lián)通出口

②設(shè)置和應(yīng)用NAT規(guī)則:

序號 規(guī)則名 源地址 目的地址 服務(wù) 類型 備 注1 P3 Local-Cernet any any NAT規(guī)則 地址轉(zhuǎn)換2 P2 Local any any 允許3 P1 any any any 禁止

2)電信和教育網(wǎng)出口防火墻 (FireWall-RG1600)。①設(shè)置動態(tài)IP地址池:

序號 名稱 地址 備 注1 Nat1 210.46.137.0/255.255.255.128 教育出口2 Nat2 222.170.73.0/255.255.255.128 電信出口

②設(shè)置和應(yīng)用NAT規(guī)則:

序號 規(guī)則名 源地址 目的地址 服務(wù) 類型 備 注1 P4 Local Telecom any NAT規(guī)則 地址轉(zhuǎn)換2 P3 Local-Unicom any any NAT規(guī)則 地址轉(zhuǎn)換3 P2 Local any any 允許4 P1 any any any 禁止

③配置靜態(tài)路由策略路由:

類型 源地址 目的地址 下一跳 備 注路由 any 0.0.0.0/0.0.0.0 210.46.137.254 靜態(tài)路由,默認(rèn)走教育網(wǎng)出口路由 any 58.44.0.0/255.252.0.0 222.170.73.254 路由選擇,優(yōu)先走電信網(wǎng)出口路由 any 58.56.0.0/255.254.0.0 222.170.73.254 路由選擇,優(yōu)先走電信網(wǎng)出口路由 any ……………………… 222.170.73.254 省略路由 any 218.57.9.0/255.255.255.0 222.170.73.254 路由選擇,優(yōu)先走電信網(wǎng)出口

2.2 策略路由在路由器上的相關(guān)配置

考慮到較大的路由表在路由器上能夠?qū)崿F(xiàn)高速轉(zhuǎn)發(fā)優(yōu)點(diǎn),選擇在路由器上實(shí)現(xiàn)策略路由技術(shù),根據(jù)數(shù)據(jù)包目的地址選擇路由,網(wǎng)通防火墻地址為192.168.1.1,電信和教育網(wǎng)防火墻地址為192.168.1.5,數(shù)據(jù)包根據(jù)路由表優(yōu)先選擇電信和教育網(wǎng)出口防火墻,默認(rèn)選擇網(wǎng)通出口防火墻,具體配置如下:

2.3 動態(tài)DNS的有關(guān)配置

該技術(shù)方案是在Solaris 9操作系統(tǒng)環(huán)境下應(yīng)用BIND 9中的View功能可以實(shí)現(xiàn)根據(jù)不同的來源IP地址在查詢該DNS時,域名解析能有不同查詢狀態(tài)或回應(yīng)信息。具體配置如下:

3 結(jié) 語

校園網(wǎng)通過在防火墻上應(yīng)用NAT規(guī)則、在路由器上應(yīng)用策略路由轉(zhuǎn)發(fā)和動態(tài)DNS技術(shù),很好的解決了以前在校園網(wǎng)多出口實(shí)施中存在的問題,實(shí)現(xiàn)了校園網(wǎng)與公眾網(wǎng)的高速連接,降低了國際流量,節(jié)約了網(wǎng)絡(luò)運(yùn)行費(fèi)用,同時利用雙防火墻使校園網(wǎng)系統(tǒng)安全也得到了應(yīng)有的保障。

[1]黃敏,張衛(wèi)東.基于策略路由的網(wǎng)絡(luò)設(shè)計(jì)與實(shí)踐 [J].計(jì)算機(jī)應(yīng)用,2002,22(5):72～73.

[2]Jeff Doyle.TCP/IP路由技術(shù) [M].北京:人民郵電出版社,2003.

[3]趙穎.基于策略路由的多接口NAT實(shí)現(xiàn) [J].西北民族大學(xué)學(xué)報 (自然科學(xué)版),2004,25(2):61～64.

[4]譚明佳.DNS技術(shù)的應(yīng)用分析 [J].計(jì)算機(jī)工程與設(shè)計(jì),2004,25(4):596～598.

[5]劉偉,崔永鋒.基于防火墻和策略路由的校園網(wǎng)雙出口實(shí)現(xiàn)[J].周口師范學(xué)院學(xué)報,2006,23(2):101～103.