宝安区教育网IDC服务器群全部采用CERNET的对外IP，高速接入教育网。目前区政府信息中心通过GE级的Firewall作访问路由策略的划分，区政府信息网与区教育城域网用户群访问CHINANET与CERNET资源已作分流，城域网内部用户访问两大ISP所辖资源网站的速度不受影响。宝安区教育网IDC CHINANET与CERNET两条出口链路的接入设备都是通过防火墙Netscreen500，CERNET是以GE端口接入，CHINANET是以FE端口接入；dns-server采用CERNET的外部IP对baoan.net.cn作二级域名解析。目前宝安区教育网IDC已有10Mb的CHINANET专线接入，32个IP外部地址。

　　为解决CHINANET和CERNET用户群对深圳宝安区教育城域网IDC服务器群的高速访问，网络中心对多路由接入研究了一整套的解决方案。

　　主要配置文件如下：

　　named.conf

　　options {

　　directory "/var/named";

　　query-source address * port 53;

　　};

　　controls {

　　inet 127.0.0.1 allow { localhost; } keys { rndckey; };

　　};

　　view  "cernet" {

　　match-clients { cernet; };

　　zone "." IN {

　　type hint;

　　file "named.ca";

　　};

　　zone "localhost" IN {

　　type master;

　　file "localhost.zone";

　　allow-update { none; };

　　};

　　zone "0.0.127.in-addr.arpa" IN {

　　type master;

　　file "named.local";

　　allow-update { none; };

　　};

　　zone "baoan.net.cn" IN {

　　type master;

　　file "baoan.net.cn-cernet";

　　allow-update { none; };

　　allow-transfer { none; };

　　};

　　};

　　view "chinanet" {

　　match-clients { any; };

　　zone "." IN {

　　type hint;

　　file "named.ca";

　　};

　　zone "localhost" IN {

　　type master;

　　file "localhost.zone";

　　allow-update { none; };

　　};

　　zone "0.0.127.in-addr.arpa" IN {

　　type master;

　　file "named.local";

　　allow-update { none; };

　　};

　　zone "baoan.net.cn" IN {

　　type master;

　　file "baoan.net.cn-chinanet";

　　allow-update { none; };

　　allow-transfer { none; };

　　};

　　};

　　include "/etc/rndc.key";

　　acl cernet {

　　162.105/16;

　　166.111/16;

　　202.4.128/19;

　　202.38.64/18;

　　202.38.140/23;

　　202.38.184/21;

　　202.38.192/18;

　　202.112/13;

　　202.120/15;

　　202.192/12;

　　202.127.216/21;

　　202.127.224/19;

　　210.25.128/18;

　　210.26/15;

　　210.28/14;

　　210.32/12;

　　211.64/12;

　　211.80/13;

　　218.192/13;

　　219.216/13;

　　219.224/13;

　　219.242/15;

　　219.244/15;

　　};

　　baoan.net.cn-cernet记录文件

　　$TTL  86400

　　@  1D IN SOA @ root (

　　42; serial (d. adams)           3H; refresh            15M; retry                    1W; expiry

　　1D ); minimum

　　1D IN NS      ns.baoan.net.cn.

　　ns  1D IN A      210.39.43.137

　　www 1D IN A      210.39.43.138

　　...

　　baoan.net.cn-chinanet记录文件

　　$TTL  86400

　　@ 1D IN SOA   @ root (

　　42; serial (d. adams)

　　3H; refresh                   15M; retry                       1W; expiry

　　1D ); minimum

　　1D IN NS      ns.baoan.net.cn.

　　ns  1D IN A      210.39.43.137

　　www  1D IN A      219.134.88.148

　　...

　　探究方向

　　这一方案的探究结合NAT和策略路由方式，通过Netscreen500配置CHINANET和CERNET的访问路由表，实现不同ISP用户群高速访问IDC机房内服务器的可行性（包括衡量两者路由表配置的复杂性）。

　　宝安区教育网络中心边界防火墙Netscreen500不存在解决出口流量负载均衡的问题，即不用考虑用户群outside的线路冗余与负载均衡，只探究不同ISP用户群对IDC服务器群inside时两者路由表的互为备份的可行性（即某一ISP提供的线路中断时，其用户群通过另一ISP线路访问站点服务器）。城域网用户群已经过区信息中心的Netscreen500作了负载均衡和分流。

　　另外，针对目标IP探究智能解析的可行性及顶级域名与二级域名UPR转发的实效性。

　　方法与步骤

　　DNS智能解析的配置

　　该方案避开传统的DNS动态轮询，采用根据用户源IP智能解析最佳服务IP的方法，实现DNS智能解析，方法如下：

　　宝安区教育城域网中心拥有baoan.net.cn域的二级管理权限，可以自行管理域内主机记录的分配。现使用Linux8.0＋BIND9实现，在BIND9的配置文件中通过VIEW和ACL协同工作实现根据用户源IP智能解析对应的服务器IP。如www.baoan.net.cn（宝安教育在线）在baoan.net.cn-cernet记录文件中有记录指向210.39.43.138（CERNET网段），在baoan.net.cn-chinanet记录文件中有记录指向219.134.88.148（CHINANET网段）。当用户处于CERNET网段访问www.baoan.net.cn时，则会智能解析到210.39.43.138，处于其他网段的用户则会智能解析到219.134.88.148，实现了DNS的智能解析功能。

　　多路由选择策略配置

　　通过宝安区教育城域IDC的边界Netscreen500防火墙，在路由策略配置上使用了和BIND的ACL相同的路由策略规则，并结合来自CERNET和CHINANET的流量分析，对应接口设置相应的权值，从一定程度上预防了路由不对称问题。

　　Netscreen500中路由配置如下，主要配置CERNET的路由表（gateway：210.39.43.129），CERNET以外用户从默认路由接口219.134.88.158（chinanet－gateway）通信。

　　...

　　set route  0.0.0.0/0 interface ethernet1/2 gateway 219.134.88.158

　　set route  162.105.0.0/16 interface ethernet3/1 gateway 210.39.43.129

　　set route  166.111.0.0/16 interface ethernet3/1 gateway 210.39.43.129

　　set route  202.4.128.0/19 interface ethernet3/1 gateway 210.39.43.129

　　set route  202.38.64.0/18 interface ethernet3/1 gateway 210.39.43.129

　　set route  202.38.140.0/23 interface ethernet3/1 gateway 210.39.43.129

　　set route  202.38.184.0/21 interface ethernet3/1 gateway 210.39.43.129

　　set route  202.38.192.0/18 interface ethernet3/1 gateway 210.39.43.129

　　set route  202.112.0.0/13 interface ethernet3/1 gateway 210.39.43.129

　　...

　　方案测试

　　以www.baedu.net站点测试，设定www.baedu.net的ip为ceernet的IP:210.39.43.136,chinanet的IP：218.134.88.146(目前我们IDC采用了firewall的vip功能，服务器实际使用的是私有保留IP)，在DNS－server添加www.baedu.net的二级域名baedu.baoan.net.cn并对www.baedu.net作URL转发到baedu.baoan.net.cn。

　　CHINANET用户测试：

　　.cmd

　　.netsh interface dump>d:old-ip1.txt

　　.netsh exec d:chinanet-ip.txt

　　.ipconfig /all

　　.nslookup

　　.server 202.96.134.133

　　.baedu.baoan.net.cn

　　.server 210.39.43.137 :换cernet的DNS服务器进行解析

　　.baedu.baoan.net.cn

　　CERNET用户测试

　　.cmd

　　.ipconfig /all

　　.netsh interface dump>d:old-ip2.txt

　　.netsh exec d:cernet-ip.txt

　　.nslookup

　　.server 210.39.43.137

　　.baedu.baoan.net.cn

　　对于现有域名并托管在的宝安区教育网络中心机房的服务器，建议用户通过原有的顶级域名做URL转发到二级域名上，宝安区教育网络中心将在baoan.net.cn域中为其建立新的主机，实现了机房原有用户的整合。

　　网络中心这一方案有效使用了Netsceen的VIP功能，服务器实际使用私有保留IP，从CERNET或CHINANET过来的访问都是相同的服务器，避免了镜像服务器之间的数据同步问题。

　　系统运行至今，稳定可靠，CHINANET和CERNET用户群对站点的访问速度得到保证。