网络通信 频道

校园网双出口的设计与配置实现

  三、具体配置
  下面我们讨论一下CISCO catalyst 6509交换机的具体配置。具体配置中由于涉及到网络安全机密,校园网的各个接口地址,包括校园网的地址、服务器的地址和电信的地址均由其他地址代替。其中:10.0.0.0/24和10.0.1.0/24表示校园网内部的地址,10.0.2.0/24表示校园网内部服务器的地址,192.168.0.0/24表示电信的地址。Ssr2路由器的ip地址为10.0.0.254,ssr1的ip地址为10.0.1.254。
  1. 设置默认路由指向ssr2路由器:
    ip route 0.0.0.0 0.0.0.0 10.0.0.254
    2. 对于所有教育网的国内站点(免费流量)设置静态路由,指向ssr1路由器。
    ip route 61.28.0.0 255.255.240.0 10.0.1.254
    ip route 61.48.0.0 255.248.0.0 10.0.1.254
    … …
    ip route 219.216.0.0 255.248.0.0 10.0.1.254
    ip route 219.232.0.0 255.248.0.0 10.0.1.254
    ip route 219.242.0.0 255.254.0.0 10.0.1.254
    ip route 219.244.0.0 255.252.0.0 10.0.1.254
  3. 为了保证校园网中各院系的服务器流量都走教育网,需要配置策略路由。
  (1) 配置服务器的访问控制列表(假设服务器的地址为10.0.2.6,10.0.2.8,10.0.2.10):
    access  -list 110 permit ip host 10.0.2.6 any
    access  -list 110 permit ip host 10.0.2.8 any
    access  -list 110 permit ip host 10.0.2.10 any
    (2) 配置基于所有教育网的国内站点(免费流量)的访问控制列表:
    access  -list 112 permit ip host 10.0.2.6 any
    access  -list 112 permit ip host 10.0.2.8 any
    access  -list 112 permit ip host 10.0.2.10 any
    access  -list 112 permit ip any 61.28.0.0 0.0.15.255
    access  -list 112 permit ip any 61.48.0.0 0.7.255.255
    … …
    access  -list 112 permit ip any 219.216.0.0 0.7.255.255
    access  -list 112 permit ip any 219.232.0.0 0.7.255.255
    access  -list 112 permit ip any 219.242.0.0 0.1.255.255
    access  -list 112 permit ip any 219.244.0.0 0.3.255.255
    access –list 112 deny   ip any any

  (3) 配置策略路由,特定的服务器所有流量都经由ssr1到教育网,其它的流量经ssr2到电信出口:
    route – map server permit 10
    match ip address 110
    set ip next –hop 10.0.1.254
    route – map todianxin permit 10
    match ip address 112
    set ip next –hop 10.0.0.254
  (4) 完全保证没有非授权流量从教育网流出,应当把中国教育科研网的免费地址访问控制列表(即上文中的 access –list 112访问控制列表)应用连接到ssr1路由器的端口。
    这样,就保证了正常的路由指向。
  4、进行ssr2的NAT配置。配置ssr2路由器快速以太网接口fastethernet0/0连接6509交换机,快速以太网接口fastethernet0/1连接DDN专线,其中0/0端口为NAT内部接口,0/1端口为NAT的外部接口。配置如下:
    interface fastethernet0/0
    ip address 10.0.0.254 255.255.255.252
    ip nat inside
    interface fastethernet0/1
    ip address 192.168.0.254 255.255.255.252
    ip nat outside
    ip nat pool dianxin 192.168.0.65 192.168.0.90 netmask     255.255.255.224  //设置对外访问地址
    ip route 0.0.0.0 0.0.0.0 192.168.0.253 //配置默认路由
    ip route 10.0.0.0 255.255.248.0 10.0.0.253 //配置静态路由
    access –list 100 permit ip 10.0.0.0 0.0.7.255 any //指定NAT范围
    ip nat inside source list 100 pool dianxin overload

  四、结语
  通过以上配置,完成了园网的双出口方案。但是在使用过程中,由于公众网用户仍然通过教育网访问学校主页,存在访问速度较慢的问题。为了解决这个问题,我们做了一个教育网IP地址到电信IP地址的映射,较好的解决了这个问题。
  校园网的双出口已为越来越多的学校所采纳,解决方案亦是仁者见仁、智者见智。在确定方案的时候,应根据所选用的设备和设计要求,合理的进行设计。

0
相关文章