校园网多出口服务体系设计分析

第３１卷增刊　广西大学学报（自然科学版）　Ｖｏ１．３１，Ｓｕｐ．　２００６年６月　Ｊｏｕｒｎａｌ　ｏｆ　Ｇｕａｎｇｘｉ　Ｕｎｉｖｅｒｓｉｔｙ（Ｎａｔ　Ｓｅｉ　Ｅｄ）　Ｊｕｎｅ，２００６　文章编号：１００１—７４４５（２００６）增一０２９２—０４　校园网多出口服务体系设计分析　蒋华，邱伟迪　（广西大学信息网络中心，广西南宁５３０００４）　摘要：伴随校园网络的快速发展，校园网络出现了两个瓶颈，一是校内用户数的快速增长造成校内可用公网１Ｐ　地址的短缺，二是原有教科网出１３带宽不能满足校内用户的需求．面对这样的问题，许多校园网都采用了接人　多个ＩＳＰ和ＮＡＴ技术相结合或者升级原有链路带宽的方式来解决．本文结合本人的工程经验，介绍了校园网　多出口服务体系的设计思路和方法．　关键词：地址转换，策略路由，多出口服务体系　中图分类号：ＴＰ３９３．１８　文献识别码：Ａ　随着Ｉｎｔｅｒｎｅｔ的日益普及和飞速发展，校园网络用户数快速增长，一方面造成校内可用公网ＩＰ地址　严重短缺，另一方面造成了校园网络出口的带宽瓶颈．　为解决ＩＰ地址短缺的问题，Ｉｎｔｅｒｎｅｔ国际组织提出了下一代ＩＰ标准，将现有３２位的ＩＰｖ４地址编码　扩展至１２８位的ＩＰｖ６地址编码，极大地拓展了ＩＰ地址空间．但是，要完成从ＩＰｖ４到ＩＰｖ６的过渡，以至完　全淘汰ＩＰｖ４网络，中间需要一个相当长的过程．发掘现有ＩＰｖ４体系的地址扩展潜力成为我们解决当前　ＩＰ地址短缺问题的一个现实选择．因此，校园网络开始大量使用私有地址，通过ＮＡＴ技术完成私有地　址与公网地址的相互转化，实现内部用户与公共网络的通信．　此外，出于对网络出口带宽的需求和线路保障的原因，许多校园网开始采用接人多条ＩＳＰ线路的方　式来连接Ｉｎｔｅｒｎｅｔ．但是ＩＳＰ一般只提供有限的公网ＩＰ地址空间，无法满足校园网的应用需求，利用　ＮＡＴ技术解决与ＩＳＰ之间的互联问题是常见的解决方式．　基于上述原因，利用多个ＩＳＰ线路结合ＮＡＴ技术的多出口服务体系便成为了当前校园网中解决ＩＰ　地址短缺和出口带宽瓶颈问题的一种行之有效的解决方案．　１　分析规划　多出口服务体系是一套完整的校园基础网络服务体系，包括了校园网路由规划、出口拓扑设计和对　外服务规划等内容．它的目标是要解决内部网络ＩＰ地址短缺及校园网出口带宽问题，增强校园网络出　Ｅｌ的可靠性，提高内部用户对外访问和外部用户访问校内资源的带宽和速度，降低运营费用．为达到这　样的目标，我们需要对校园网的实际情况进行深入的分析，以便做出合理的规划．　１．１用户分析规划　校园网内部用户按使用网络ＩＰ地址类型的不同基本上可分为两类：　第一类是特殊用户，此类用户一般对网络有特殊的应用需求，常见的是对外提供网络服务的对外服　务器，使用特殊安全技术的网络应用等．根据这类用户的特征，我们可以使用静态公网ＩＰ地址以满足其　特定网络应用需求．　第二类是普通用户，这类用户数量多，他们产生的网络流量主要集中在Ｐ２Ｐ软件的使用和对外部　ＨＴＴＰ、ＦＴＰ服务的访问上，并且他们不需要对外部网络提供网络服务．对于这类用户，可以使用私有地　址，通过ＮＡＴ处理来完成与外部网络的通信．　收稿日期：２００６—０２—２１；修订日期：２００６一Ｏ５—１８　作者简介：蒋华（１９７＂８一），男，广西贺州人，广西大学信息网络中心助理工程师．　维普资讯 http://www.cqvip.com

增刊　蒋华：校园网多出口服务体系设计分析　２９３　校园网络的应用，一方面，用户众多，需求不一样，服务要求也不一样；另一方面，校内可用的公网ＩＰ　地址空间有限，造成了有的校内用户使用公网ＩＰ地址，有的则是使用私网ＩＰ地址．这种不同类型ＩＰ地　址混用的情况，影响了多出口服务体系的实施．以ＣＥＲＮＥＴ线路上流量为例，校内使用教科网公网ＩＰ　地址的用户流量可以直接通过网络实现与教科网资源的通信，但是校内使用内部ＩＰ地址的用户流量则　需要先经过ＮＡＴ处理，转换成公网地址后，才能与教科网资源通信．因此，在校园网出口必须先区分两　部分流量，然后按照不同的情况，分别进行转发处理或者ＮＡＴ处理．　基于上述考虑，在校园网出口位置可利用策略路由和静态路由相结合的方式实现流量区分和流量　负载均衡．区分不同用户的流量可以是基于源地址的，也可以是基于目的地址的．如果是基于源地址的　区分流量，需要用到策略路由功能来处理这部分工作，因为静态路由只能按照目的地址进行区分，而策　略路由可以根据源地址、目的地址、协议等条件灵活区分不同用户的流量．　１．２流量分析规划　校园网出口流量按照是否对外提供网络服务可以分成服务流量和用户流量．　服务流量是指由校外用户主动发起的连接，与校内资源之间产生的通信流量．在这部分流量规划　中，主要考虑的问题是如何为用户提供小延时的快速服务．方案中常用多线路访问措施，结合ＤＮＳ系　统，实现不同ＩＳＰ的网内服务．以ｗｗｗ服务为例，教科网用户通过教科网线路访问校内ｗｗｗ服务，电　信网用户通过电信线路访问校内ｗｗｗ服务．具体思路是，利用ＢＩＮＤ　９的Ｖｉｅｗ功能来实现策略ＤＮＳ，　根据客户端不同的ＩＰ地址来返回给客户端不同的服务器ＩＰ地址．教科网用户通过ＤＮＳ系统获取到服　务器使用的教科网ＩＰ．其他ＩＳＰ网络的用户获取到出口ＮＡＴ设备上的由相应ＩＳＰ提供的ＩＰ，利用ＮＡＴ　设备的反向指定功能将这个ＩＰ与校内服务器建立映射关系．多出１２１服务体系在校园网络出１２１一般会涉　及到策略路由，在进行服务流量规划时，还应注意避免不对称路由的产生．一旦产生了不对称路由，当外　部用户通过教科网访问校内服务器时，由校内服务器响应的流量如果在校园网出１２１指向了非教科网线　路时，由于同一流数据的进出ＩＰ包源、目的地址的不同，会造成通信失败．　用户流量是指由校内用户主动发起的连接，与校外资源之间产生的通信流量．这部分流量规划有两　个问题需要着重考虑：一是费用问题；二是访问速度问题．　教科网的收费策略包括两部分——国内带宽包月费用和国际流量费用．对于教科网免费ＩＰ地址列　表里的地址，使用国内带宽包月方式，一旦租用线路的大小确定，这部分费用相应也就确定了．但是对于　免费ＩＰ地址列表之外的地址，则会收取国际流量费用，这部分费用有两种收费策略，一种是计量，一种　是包月．国内主要的ＩＳＰ如电信、网通对于专线用户的常见收费策略是带宽包月制，不对国内和国际流　量分别收费．因此，教科网与电信、网通等国内主要ＩＳＰ在收费策略上的最大区别就是是否对国内和国　际流量分别收费．　此外，各个管理组织所管理的网络之间，如教科网与电信、教科网与网通、电信与网通之间，由于一　些经济利益的原因，造成了用户跨网访问时速度慢．因而，即使在校园网络的教科网出１２１线路带宽还有　富余的时候，校内用户也会时常抱怨通过教科网访问电信、网通等非教科网的速度慢．　基于费用和速度的考虑，在有多条出１２１线路情况下，可将校园网出１２１流量作如下规划：　（１）服务流量根据所服务的外部网络，利用策略路由分别指向不同的出口线路．　（２）访问教科网网内资源的用户流量使用教科网出１２１．在教科网的免费地址列表里虽然包括有电　信、网通等非教科网地址，但是用户通过教科网访问这类地址速度较慢，所以在分流时只有访问教科网　的内部资源才走ＣＥＲＮＥＴ线路；而不在免费地址列表里地址如果使用ＣＥＲＮＥＴ线路，将会产生国际流　量费用，这部分流量可以考虑使用其它包月出１２１线路．　（３）用户访问非教科网资源产生的流量，按照实际接入的ＩＳＰ进行负载均衡，访问电信资源的流量　使用电信线路，访问网通资源的流量使用网通线路；或者按不同出１２１线路的带宽大小进行负载均衡，带　宽大的出１２１负担多点的流量，带宽小的出１２１负担小点的流量；或者根据目的地址，视出１２１线路的实际访　问速度快慢调整相应的路由信息．不管以哪一种方式进行负载均衡，都有一个基本原则——在费用一定　的情况下，尽可能地提高网络的访问速度．　维普资讯 http://www.cqvip.com

２９４　广西大学学报（自然科学版）　第３１卷　２　实施方案　在设计多出口服务体系实施方案时，需要注意两个问题，第一，地址转换效率问题，第二，如何区分　对待不同的数据流量．对于第一个问题，要考虑ＮＡＴ设备的处理能力能否满足需要处理的数据量，即设　备的并发数是否能够满足出Ｅｌ的一般情况下的流量和突发流量要求，影响设备的并发数的因素主要有　设备本身处理能力和转换地址池的容量大小．对于第二个问题，一方面是要区分哪些流量需要进行　ＮＡＴ地址转换，哪些流量不需要，各类流量在总流量中各自占有多大比例；另一方面就是要考虑在现有　设备和线路资源条件下，如何分担负载，提高效率．根据ＮＡＴ设备所完成的功能不同，有以下两种比较　常见的布局方式：　２．１　ＮＡＴ链路式布局　链路式布局是常见的多出口服务体系实施布局（见图１），一般是使用防火墙或者带ＮＡＴ服务功能　的路由器在校园网总出口处实现．其优点是结构简单，实施快速方便．但是缺点也很明显，存在单点故　障，一旦ＮＡＴ设备出现故障将会影响到整个校园网络；在大流量下对ＮＡＴ设备的性能有很高的要求．　图１　ＮＡＴ链路式布局　实际应用中，对这种布局方式常见的改进方法是在多条链路上分别安装ＮＡＴ设备（见图２），一台　ＮＡＴ设备服务于一路出口线路，降低了对ＮＡＴ设备的性能要求．在多条链路情况下，这样的改进提高　了网络的可靠性，如果其中某一路出口出现故障，利用其他线路依然可以保障校园网络的正常使用．　２．２　ＮＡＴ旁路式布局　这类布局方式（见图３）是利用三层交换机或路由器的策略路由功能实现的，首先利用策略路由将需　要进行地址转换的流量指向ＮＡＴ设备，经ＮＡＴ设备处理后，重新进入三层交换机或路由器进行数据转　发．这样的实施布局，可以依照用户分类进行流量处理，降低对ＮＡＴ设备的性能要求，也可以避免ＮＡＴ　设备故障对主链路的影响；但是三层设备上的策略路由比较复杂．实际应用中，部分设备厂商对ＮＡＴ做　了专门的硬件加速形成了独立的功能模块，作为三层设备的可选件，但从内部结构考虑还是属于旁路布　局方式．　维普资讯 http://www.cqvip.com

增刊　蒋华：校园网多出口服务体系设计分析　２９５　３　方案比较　在多出口服务体系中，出口网络设备主要完成三大功能——存储转发、策略路由和ＮＡＴ地址转换．　策略路由功能需要对相关的ＩＰ数据包进行拆包检查，然后按预先设定的规则对该数据包作相应操作，　这个过程要求设备有较强处理功能．ＮＡＴ地址转换功能在进行包重组，链接表维护和查找链接信息的　过程中也需要消耗设备资源．一般来说，作为出口的三层设备存储转发和路由处理能力强．但是，提供　ＮＡＴ的设备，在存储转发和路由处理能力方面往往达不到出口三层设备的处理能力．因此，在方案设计　时需要注意这些设备性能的差别，利用不同的拓扑结构合理有效地利用设备资源．　在设备性能一定的条件下，一般链路式布局在ＮＡＴ设备上需要完成三部分存储转发、策略路由和　ＮＡＴ地址转换功能，负荷较重．随着出口流量的增大，瓶颈往往会首先出现在ＮＡＴ设备上，一旦网络流　量超过设备的处理能力，就会出现丢包，时延，以至设备死机现象，从而影响整个校园网的使用．在改进　过的链路式布局和旁路式布局方式里，ＮＡＴ设备只需要完成存储转发和ＮＡＴ地址转换两个功能．相对　于一般的链路式布局，这两种方式不需要作策略路由，可以降低ＮＡＴ设备的负荷，提高ＮＡＴ服务的效　率．但是改进的链路式布局需要用到多台ＮＡＴ设备，投资较大．　４　结束语　综上所述，一个良好的多出口服务体系的建立，有利于增强校园网络的可靠性，提高校园网络的访　问速度，于降低运营费用．　参考文献：　［１］蔡昭权．策略路由和动态ＤＮＳ在校园网中的应用［Ｊ］．计算机工程与设计，２００５，２６（５）：１　３９６　［２３黄敏，张卫东．基于策略路由的网络设计与实践［Ｊ］．计算机应用，２００２，（５）：７２—７３．　Ａｎａｌｙｓｉｓ　ａｎｄ　ｄｅｓｉｇｎｉｎｇ　ｏｆ　ｃａｍｐｕｓ　ｍｕｌｔｉ—ｅｘｐｏｒｔ　ｓｅｒｖｅｒ　ｓｙｓｔｅｍ　ＪＩＡＮＧ　Ｈｕａ，ＱＩＵ　Ｗｅｉ—ｄｉ　（Ｉｎｆｏｒｍａｔｉｏｎ　Ｎｅｔｗｏｒｋ　Ｃｅｎｔｅｒ，Ｇｕａｎｇｘｉ　Ｕｎｉｖｅｒｓｉｔｙ　Ｎａｎｎｉｎｇ　５３０００４，Ｃｈｉｎａ）　Ａｂｓｔｒａｃｔ：Ｗｉｔｈ　ｔｈｅ　ｒａｐｉｄ　ｄｅｖｅｌｏｐｍｅｎｔ　ｏｆ　ｃａｍｐｕｓ　ｎｅｔｗｏｒｋ，ｔｗｏ　ｂｏｔｔｌｅｎｅｃｋｓ　ａｐｐｅａｒ．Ｏｎｅ　ｉｓ　ｔｈｅ　ｓｈｏｒｔａｇｅ　ｏｆ　ａｖａｉｌａｂｌｅ　ＩＰ　ａｄｄｒｅｓｓ　ｂｅｃａｕｓｅ　ｏｆ　ｔｈｅ　ｒａｐｉｄ　ｇｒｏｗｔｈ　ｏｆ　ｃａｍｐｕｓ　ｕｓｅｒｓ．Ｔｈｅ　ｏｔｈｅｒ　ｂｏｔｔｌｅｎｅｃｋ　ｉｓ　ｔｈａｔ　ｔｈｅ　ｏｌｄ　ＣＥＲＮＥＴ　ｂａｎｄｗｉｄｔｈ　ｃａｎ’ｔ　ｍｅｅｔ　ｗｉｔｈ　ｔｈｅ　ｎｅｅｄ　ｏｆ　ｃａｍｐｕｓ　ｕｓｅｒｓ．Ｔｏ　ｓｏｌｖｅ　ｔｈｅｓｅ　ｐｒｏｂｌｅｍｓ，　ｓｏｍｅ　ｃａｍｐｕｓ　ｎｅｔｗｏｒｋｓ　ａｄｏｐｔ　ｔｈｅ　ｍｅａｎｓ　ｏｆ　ｃｏｍｂｉｎｅ　ｓｅｖｅｒａｌ　ＩＳＰ　ｗｉｔｈ　ＮＡＴ　ｔｅｃｈｎｏｌｏｇｙ　ｏｒ　ｉｎｃｒｅａｓｅ　ｔｈｅ　ｏｌｄ　ｌｉｎｋ　ｂａｎｄｗｉｄｔｈ．Ｂａｓｅｄ　ｏｎ　ｔｈｅ　ａｕｔｈｏｒ’Ｓ　ｅｎｇｉｎｅｅｒ　ｐｒａｃｔｉｃｅ，ｔｈｅ　ｄｅｓｉｇｎｉｎｇ　ｉｄｅａ　ａｎｄ　ｍｅｔｈｏｄ　ｏｆ　ｃａｍｐｕｓ　ｍｕｌｔｉ—ｅｘｐｏｒｔ　ｓｅｒｖｅ　ｓｙｓｔｅｍ　ｉｓ　ｍａｉｎｌｙ　ｄｉｓｃｕｓｓｅｄ　ｉｎ　ｔｈｉｓ　ｐａｐｅｒ．