|
| 您当前的位置: HomePage >> 教育信息化 >> 大学校园网 >> 项目信息 >> |
策略路由在高校中的应用 | ||||
| 1. 概述 目前高校网络应用都比较复杂,普遍采用多网络出口方式。其中一个出口为国家教育网出口,另一个通常为电信出口。 ChinaNET通常是包月形式,无论学校使用的流量有多大,每月固定收取一定费用。但是由于通过ChinaNET访问CERNET的资源速度比较慢,而且教育网中有些资源是对ChinaNET屏蔽的,通过ChinaNET完全无法访问,所以如果学校只使用ChinaNET的出口,则会造成无法正常利用教育网资源 教育网出口可以免费访问一部分网络地址(该地址列表可由如下网址获得:http://www.cernic.net/,非会员用户可以参考此网址:http://www.edu.cn/20021107/3071773.shtml),对于其余地址的访问,是按照流量收费的。如果而完全通过教育网来对外访问,则会因为流量巨大造成网络资费过高(教育网资费可由如下网址查询http://www.edu.cn/20020405/3024422.shtml)。 基于速度,资源利用情况和费用的考虑,所以高校一般采用如下方式确定访问方式,访问赛尔网络提供的免费地址列表中的地址,通过CERNET出口访问,访问CERNET“免费”地址列表以外的地址,通过电信出口。 2. 现状分析 当学校使用两个或多个网络出口后,一般有如下需求: (1)在不修改任何客户端IP地址设置前提下,校园网用户能正常工作; (2)客户端用户访问教育科研网的网站时,线路出口为CERNET;访问其他网站包括国外站点时,走ISP提供的线路出口; (3)校园网用户可以通过ISP访问外部公众网如CHINANET,但外部公众网的用户要访问校园网的Web、FTP、Mail、DNS等其他服务器,只能按NIC的规定即通过CERNET入口再进入到校园网; (4)校园网络的邮件只能走CERNET线路; (5)尽可能地节约校园网调整、改造的投资。 由于以上需求,要求出口节点的网络设备必须能够根据源、目的IP地址或其它要求进行策略路由,选用合适的ISP接入不同的网络。 3. 阿姆瑞特F600+防火墙在某高校应用案例 Amaranten F系列防火墙提供了比传统源地址路由更加灵活的策略路由实现方案。一般的路由器策略路由实现只能根据单个IP包中的源地址进行判断,在使用时并不方便。而阿姆瑞特防火墙可以根据更多的因素进行决定,如可以根据数据包的发起方向来决定以后的路由,在使用时更加灵活。为了便于理解,我们举例说明,如下图所示,教育内部网络通过中心交换机连接到防火墙if1口,防火墙if3口接电信网关,if2口接教育网关。内部网络划分有多个VLAN,VLAN的网关为中心三层交换机,中心交换机的网关为防火墙,内部网络对Internet的访问经过防火墙,可以从教育网的网关202.112.11.1连接到中国教育网。同时,通过电信网关202.100.2.2,同样可以连接到Internet。
| ||||
| |||
