三、具体配置
下面我们讨论一下CISCO catalyst 6509交换机的具体配置。具体配置中由于涉及到网络安全机密,校园网的各个接口地址,包括校园网的地址、服务器的地址和电信的地址均由其他地址代替。其中:10.0.0.0/24和10.0.1.0/24表示校园网内部的地址,10.0.2.0/24表示校园网内部服务器的地址,192.168.0.0/24表示电信的地址。Ssr2路由器的ip地址为10.0.0.254,ssr1的ip地址为10.0.1.254。
1. 设置默认路由指向ssr2路由器:
ip route 0.0.0.0 0.0.0.0 10.0.0.254
2. 对于所有教育网的国内站点(免费流量)设置静态路由,指向ssr1路由器。
ip route 61.28.0.0 255.255.240.0 10.0.1.254
ip route 61.48.0.0 255.248.0.0 10.0.1.254
… …
ip route 219.216.0.0 255.248.0.0 10.0.1.254
ip route 219.232.0.0 255.248.0.0 10.0.1.254
ip route 219.242.0.0 255.254.0.0 10.0.1.254
ip route 219.244.0.0 255.252.0.0 10.0.1.254
3. 为了保证校园网中各院系的服务器流量都走教育网,需要配置策略路由。
(1) 配置服务器的访问控制列表(假设服务器的地址为10.0.2.6,10.0.2.8,10.0.2.10):
access -list 110 permit ip host 10.0.2.6 any
access -list 110 permit ip host 10.0.2.8 any
access -list 110 permit ip host 10.0.2.10 any
(2) 配置基于所有教育网的国内站点(免费流量)的访问控制列表:
access -list 112 permit ip host 10.0.2.6 any
access -list 112 permit ip host 10.0.2.8 any
access -list 112 permit ip host 10.0.2.10 any
access -list 112 permit ip any 61.28.0.0 0.0.15.255
access -list 112 permit ip any 61.48.0.0 0.7.255.255
… …
access -list 112 permit ip any 219.216.0.0 0.7.255.255
access -list 112 permit ip any 219.232.0.0 0.7.255.255
access -list 112 permit ip any 219.242.0.0 0.1.255.255
access -list 112 permit ip any 219.244.0.0 0.3.255.255
access –list 112 deny ip any any
(3) 配置策略路由,特定的服务器所有流量都经由ssr1到教育网,其它的流量经ssr2到电信出口:
route – map server permit 10
match ip address 110
set ip next –hop 10.0.1.254
route – map todianxin permit 10
match ip address 112
set ip next –hop 10.0.0.254
(4) 完全保证没有非授权流量从教育网流出,应当把中国教育科研网的免费地址访问控制列表(即上文中的 access –list 112访问控制列表)应用连接到ssr1路由器的端口。
这样,就保证了正常的路由指向。
4、进行ssr2的NAT配置。配置ssr2路由器快速以太网接口fastethernet0/0连接6509交换机,快速以太网接口fastethernet0/1连接DDN专线,其中0/0端口为NAT内部接口,0/1端口为NAT的外部接口。配置如下:
interface fastethernet0/0
ip address 10.0.0.254 255.255.255.252
ip nat inside
interface fastethernet0/1
ip address 192.168.0.254 255.255.255.252
ip nat outside
ip nat pool dianxin 192.168.0.65 192.168.0.90 netmask 255.255.255.224 //设置对外访问地址
ip route 0.0.0.0 0.0.0.0 192.168.0.253 //配置默认路由
ip route 10.0.0.0 255.255.248.0 10.0.0.253 //配置静态路由
access –list 100 permit ip 10.0.0.0 0.0.7.255 any //指定NAT范围
ip nat inside source list 100 pool dianxin overload
四、结语
通过以上配置,完成了园网的双出口方案。但是在使用过程中,由于公众网用户仍然通过教育网访问学校主页,存在访问速度较慢的问题。为了解决这个问题,我们做了一个教育网IP地址到电信IP地址的映射,较好的解决了这个问题。
校园网的双出口已为越来越多的学校所采纳,解决方案亦是仁者见仁、智者见智。在确定方案的时候,应根据所选用的设备和设计要求,合理的进行设计。