史向兵

星海音乐学院 广东广州 510006

校园网优化的整体策略研究

史向兵

星海音乐学院 广东广州 510006

本文就校园网应用和用户数量持续增长，上网用户体验差的现状，提出了出口优化、流量应用管理和用户安全管理优化为主要内容的整体策略，并阐述了优化策略技术方法，以达到提升网络性能的目的。

校园网；优化；整体策略

校园网是学校在教学、科研、办公管理的重要基础设施，随着网络规模的不断扩大、用户数的不断增多、业务量的增加和应用流量的复杂化，安全隐患的不确定性等因素，使得校园网负担沉重，管理难度不断加大。如何进一步优化校园网，提升网络速度，保障校园网的稳定、可靠、高效，尽可能满足日益增长的网络需求是我们面临的新课题。

一、出口优化策略

我们采用将策略路由技术、NAT技术和策略DNS技术3种关键技术相结合。

1.策略路由技术

策略路由技术主要应用到出口路由器上，实现地址的路由，其机制是根据网络管理者制定的标准进行报文转发，这种标准根据实际的应用需求指定，可以依据协议类型、应用、报文大小，或者IP源地址中的1个或者多个的组合。综合基于源地址、基于目的地址和静态路由3种策略来实现路由转发。以中兴路由器ZXR10作为边界路由器，实现策略路由：先在路由器端口上配置两个本地端IP地址分别连接教育网和电信：

interface fei_1/1

ip address 218.20.223.110 255.255.255.252

description ChinaNET(公网)；

interface gei_3/1

ip address 222.200.252.218 255.255.255.252

description Connect to CerNet（教育网）。

第一，基于源地址的路由能达到有限度地让数据中心的服务器访问外网，用于系统补丁库和病毒特征库等应用系统的更新，另外限制校内学生用户走不同的线路出口，提高了带宽的利用率。

如：ip access-list standard 10

permit 116.56.105.0 0.0.0.255

route-map server-out permit 10

match ip address 10

set ip next-hop 218.20.223.110

第二，基于目的地址路由则实现访问教育网资源时，从教育网出口，一方面实现同网内高速访问，另一方面减少流量费用的产生。

如：ip route 59.72.0.0 255.254.0.0 222.200.252.217

ip route 59.68.0.0 255.252.0.0 222.200.252.217

第三，鉴于公网带宽为100M比较充足，静态路由则实现不符合以上两点条件时按所默认路由转发，默认路由从电信出口（如图1所示）。

图1 路由策略网络拓扑结构示意

2.NAT技术

NAT是一个IETF标准，允许1个机构以1个地址出现在Internet上，即网络地址转换或网络地址翻译。该技术使得1个私有网络可以通过Internet注册IP连接到外部，位于Inside网络和Outside网络中的NAT路由器在发送数据包之前，负责把内部IP地址翻译成外部合法的IP地址。如图1所示可通过中兴路由器ZXR10来实现，当然也可以用边界防火墙来做策略。

(1)在路由器上做静态NAT映射，实现校内教育IP的服务器与公网IP进行一一对应，让非教育网用户快速访问学校的服务器资源，配置如：

ip nat inside source static 218.192.144.13 121.33.219.12

(2)动态NAT，首先定义合法地址池，然后采用动态分配的方法映射到内部网络。实现校内教育IP用户能快速从内网访问公网，提高访问外网的速度，配置如：

interface fei_1/1

ip address 218.20.223.110 255.255.255.252

description ChinaNET（电信网）

negotiation auto

ip nat outside

interface gei_3/2

ip address 172.16.10.1 255.255.255.252

description Connect to LAN

negotiation auto

ip nat inside

ip nat start

ip nat pool chinanet 121.33.219.40 121.33.219.62 prefix-length 26

ip nat inside source list 1 pool chinanet overload

3.策略DNS技术

策略路由并设置NAT映射后，则采用第三种策略DNS技术，才能真正意义上实现优化。

(1)技术实现

策略域名解析是基于策略的，DNS服务器可以根据客户端所在网络的不同，返回不同的IP解析结果；或者是DNS服务器根据客户端所在网络的不同，可应用不同的安全策略。以WWW服务器为例，域名为www.xhcom.edu.cn，在网卡上配置教育网IP地址218.192.144.8。来自教育网对www.xhcom.edu.cn的域名解析请求，DNS服务器返回218.192.144.8，而来自其他网络的域名解析请求，就返回121.33.219.5。解决不同网络用户快速访问WWW服务器资源的需求。

利用DNS服务软件Bind 9本地安装，并对主文件/etc/named.conf进行修改。首先，定义acl节，acl edu-nets {210.27.0.0/16；202.117.0.0/16；…}；再定义所有教育网的网段列表；其次是view 节，主要是定义网络对应域名解析配置文件及存放地，最后设置/etc/named下的cernet.zone.xhcom和public.zone.xhcom：在cernet.zone.xhcom文件中添加一条记录：www.xhcom.edu.cn IN A 218.192.144.8；在public.zone.xhcom文件中加上一条记录：www.xhcom.edu.cn IN A 121.33.219.5，策略域名就可以正常工作。

(2)深度优化

目前公网多数网站采用了动态域名解析，当校内DNS发起请求时，对方DNS会认为这是教育网IP来访问，从而返回针对教育网解析的IP，结果校园网用户还是从教育网t线路出去访问，访问速度依然提高不了，解决这个问题的办法是通过设置DNS服务器的转发功能来解析到公网IP地址，提高访问速度。以访问太平洋电脑网为例：

在named.conf文件中添加以下内容：

# pconline.com.cn

zone "chinacache.net" {

type forward; //启用转发功能

forwarders { 210.21.4.130; 221.5.88.88;};//请求这两个DNS服务器解析

}; //对pconline.com.cn域的解析都发送到公网的两个DNS请求解析。

二、应用流量精细化管理

增加出口带宽，持续改善出口环境的同时，还必须对出口进行精细化带宽管理，促使用户使用网络的公平性，并保障关键业务的需求，合理使用带宽，提高带宽资源的使用效率。部署流量管理设备，提供深度包检测功能，使其能以极高的精确识别网络流量，并提供精确的可视性网络流量，从而能够准确地管理和优化带宽。首先为关键应用保留必须的带宽，通过用户访问关键应用的日常流量做相应的策略；其次则对内网用户做精细化管理策略，如：分类分时管理以及异常带宽的管理等。例如，源IP分类：学生、教工、办公、机房、服务器；目的IP分类：教育网聚类地址和直连、免费期刊数据库、教育网免费地址列表、其它地址；应用分类：关键业务(E-mail、HTTP等)、一般业务(在线视频)、受限业务(P2P迅雷等)；分时管理：1:00～9:00(控制每IP带宽)；9:00～次日1:00(控制每IP带宽、会话数；保障关键业务带宽，控制受限业务带宽)。

三、安全管理优化策略

网络风险主要来自内部，系统漏洞、木马病毒传播、网络使用非法性和随意性，如IP地址盗用、私设代理和P2P等使用行为，风险性较高。构建一个统一的安全管理平台，统一安全管理平台系统应由5部分组成：安全管理平台、安全修复系统、身份认证系统、安全联动设备(路由器、交换机、防火墙、IDS等)和安全客户端, 具体构架如图2所示。

图2 统一安全管理平台架构

第一，用户试图接入网络时,先通过安全客户端上传用户信息至用户认证服务器进行身份认证,非法用户将被拒绝接入网络；第二，合法用户将被要求进行安全状态认证,由安全管理平台验证补丁版本、病毒库版本等信息是否合格，不合格用户将被安全联动设备隔离到隔离区；第三，进入隔离区的用户可以根据网络安全策略，通过安全修复系统安装系统补丁、升级病毒库、检查终端系统信息,直到接入终端符合网络安全策略；第四，安全状态合格的用户将实施由安全管理平台下发的安全设置，并由安全联动设备提供基于身份的网络服务；第五，在接入端关闭一些病毒传播所用的端口135、445等；杜绝私设代理和避免广播风暴等操作。

四、结束语

校园网优化策略研究是一项长期的重要工作，从技术上优化校园网的同时，还需从人的主观因素上考虑，发挥网络优势建立丰富的校内资源，推进师生网络技能的提高并培养良好行为，健全以学习为主导的校园网，最终形成良好的网络环境，真正体现校园网为教学、科研、办公管理的价值需要。

[1]罗伟雄，时东效，刘岚.校园网多出口路由优化方案[J].计算机应用，2009，29：41～43

[2]王宇科，王子荣，徐晓林，等.关于建设校园网统一安全管理平台的研究[J].中国电化教育，2006，23：92～94

[3]梁广民，王隆杰.思科网络实验室路由、交换实验指南[M].北京:电子工业出版社，2007

Study on the strategies for the campus network optimization

Shi Xiangbing
Xinghai conservatory of music, Guangzhou, 510006, China

With the sustained growth of campus network application and subscriber number, many network users are caught in weak experience. In order to enhance the network performance, the paper put forward systemic strategy which involves exit optimization, application traffic management, user security management optimization and etc and the technical approach of it.

campus network; optimization; strategies

2010-05-13

史向兵，本科，实验师。