周军宏

摘要：本文分析了多运营商出口链路校园网边界防火墙流量转发可能会出现的问题，并提出了具体的解决机制，以提高出口带宽利用率，保证用户网络访问体验。

关键词：多运营商出口；链路权重；DNS代理；运营商路由

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）33-0058-01

随着学校信息化建设不断推进，学校网络主干完成了从千兆到万兆升级，共有4条互联网出口链路，电信、联通、移动3条1G出口链路及教育网10M出口链路，后期教育网出口将扩容到100M。如何在多运营商出口环境下，通过合理的策略机制安排，提高链路利用率，保证用户访问体验，是一个值得探讨的问题。普通路由和策略路由结合的传统方法只能在一定程度上解决上述问题，但过于复杂、存在不足。当前主流边界防火墙支持智能选路功能，本文结合学校具体情况，谈谈在这方面的一些经验。

1 希望达到目标

运营商链路带宽能被充分利用；访问运营商资源不用绕路，即访问运营商资源与链路出口一致；外网用户访问学校网站不用绕路教育网。

2 问题分析

1）出口流量没选对路。当校园网络出口有多家运营商链路时， 如果采用传统等价路由的办法将平均分配流量到这些出口链路上，就会出现跨运营商访问的情况，即链路和访问内容所属的运营商不一致，而各个运营商之间网络互访很慢，就会出现用户上网速度慢的情况。

2）出口流量没選好路。三家运营商的链路质量有差别，电信最好、联通次之、移动最差，用户流量要尽可能引导到电信出口链路上。

3）单一DNS服务器设定导致流量分配不科学。DNS域名解析是用户上网、流量发起的第一步，如果单纯用某一运营商DNS服务器解析，用户获得的资源地址就会集中在该运营商网内。如果用户流量再从其他运营商链路转发，就会绕路，如果用户流量从该运营商转发，就会流量都集中在该链路，不利于其他链路充分利用、或导致该链路流量溢出。

4）学校网站是edu域名，对应公网地址是教育网地址，互联网用户访问学校网站要从运营商网络绕道教育网，网络延时增大，影响用户体验。

3解决机制

3.1对网络出口流量基于链路权重选路

根据出口链路带宽大小、链路质量等具体情况制定合适的链路权重比例，引导流量优先走转发性能最高链路，也不闲置性能稍差的链路，保证用户访问体验。比如，电信、联通、移动三家带宽都是1000M，可以设定权重比例为6：3：1。权重比例可以在后期根据实际流量情况进行调整。需要注意的是，要防止某条链路流量过大出现带宽溢出的情况，可以给每条链路设定一个阀值，当某条出口链路流量到达阀值时，后续流量就不再转发，而由其他流量未达阀值的链路承担。

3.2启用DNS代理、DNS报文负载分担、运营商选路功能

根据多个运营商链路带宽、质量设定链路权重，策略路由按权重在不通运营商链路进行DNS报文负载分担，同时对向外发起的DNS报文做代理，即A运营商链路转发的DNS报文访问A运营商DNS服务器，B运营商链路转发的DNS报文访问B运营商DNS服务器。这样DNS解析返回的资源地址也在各运营商之间做了一次分担。

所谓运营商路由是根据运营商地址库生成的静态路由，引导业务报文在不同运营商链路出口转发，这样业务报文也会在对应运营商链路之间进行负载分担，链路带宽能得到充分利用。运营商路由根据运营商地址库生成、要注意对运营商地址的收集整理、并定期更新。

3.3开启智能DNS功能

在边界实时捕获DNS解析响应报文，根据入口流量链路所属运营商，将服务器IP地址解析为与访问用户相同运营商的地址，并启用相应的服务器NAT映射，这样就能实现互联网用户访问学校网站不用再绕路，即电信用户通过电信网络访问学校网站、移动用户通过移动网络访问学校网站，当然上述对外映射公网地址需要跟网站一起备案，并开通其80端口。

4 总结

上述3点内容是边界设备选路的几种主要机制，当前主流边界网关或防火墙都具备上述功能。在现网情况下，只有灵活运用这几种相关机制，并根据具体情况形成组合策略，这样才能最大限度降低网络延迟，保障用户体验。

参考文献：

[1] 王世锋.校园网多出口环境下的路由策略研究与应用[J].计算机时代，2014（3）.

[2] 华为.USG6000系列防火墙产品技术白皮书.