| 1. 设置默认路由指向ssr2路由器:
ip route 0.0.0.0 0.0.0.0 10.0.0.254
2.对于所有教育网的国内站点(免费流量)设置静态路由,指向ssr1路由器。(由于非常多,中间部分省略)
ip route 61.28.0.0255.255.240.0 10.0.1.254
ip route 61.48.0.0255.248.0.0 10.0.1.254
ip route 61.128.0.0255.192.0.0 10.0.1.254
ip route 61.232.0.0255.252.0.0 10.0.1.254
ip route 61.236.0.0255.254.0.0 10.0.1.254
ip route 61.240.0.0255.252.0.0 10.0.1.254
…… …… …… ……
ip route 219.72.0.0255.255.0.0 10.0.1.254
ip route 219.128.0.0255.224.0.0 10.0.1.254
ip route 219.216.0.0255.248.0.0 10.0.1.254
ip route 219.232.0.0255.248.0.0 10.0.1.254
ip route 219.242.0.0255.254.0.0 10.0.1.254
ip route 219.244.0.0255.252.0.0 10.0.1.254
3.为了保证校园网中各院系的服务器流量都走教育网,需要配置策略路由。
(1) 配置服务器的访问控制列表(假设服务器的地址为10.0.2.6,10.0.2.8,10.0.2.10):
access-list 110 permit ip host 10.0.2.6 any
access -list 110 permit ip host 10.0.2.8 any
access -list 110 permit ip host 10.0.2.10 any
(2)配置基于所有教育网的国内站点(免费流量)的访问控制列表:(由于非常多,中间部分省略)
access -list 112permit ip host 10.0.2.6 any
access -list 112 permit ip host 10.0.2.8 any
access -list 112 permit ip host 10.0.2.10 any
access -list 112 permit ip any 61.28.0.0 0.0.15.255
access -list 112 permit ip any 61.48.0.0 0.7.255.255
… …
access -list 112 permit ip any 219.216.0.0 0.7.255.255
access -list 112 permit ip any 219.232.0.0 0.7.255.255
access -list 112 permit ip any 219.242.0.0 0.1.255.255
access -list 112 permit ip any 219.244.0.0 0.3.255.255
access –list 112 deny ip any any
(3) 配置策略路由,特定的服务器所有流量都经由ssr1到教育网,其它的流量经ssr2到电信出口:
route – map server permit 10
match ip address 110
set ip next –hop 10.0.1.254
route – map todianxin permit 10
match ip address 112
set ip next –hop 10.0.0.254
(4) 完全保证没有非授权流量从教育网流出,应当把中国教育科研网的免费地址访问控制列表(即上文中的 access –list 112访问控制列表)应用连接到ssr1路由器的端口。这样,就保证了正常的路由指向。
4、进行ssr2的NAT配置。配置ssr2路由器快速以太网接口fastethernet0/0连接6509交换机,快速以太网接口fastethernet0/1连接DDN专线,其中0/0端口为NAT内部接口,0/1端口为NAT的外部接口。配置如下:
interface fastethernet0/0
ip address 10.0.0.254 255.255.255.252
ip nat inside
interface fastethernet0/1
ip address 192.168.0.254 255.255.255.252
ip nat outside
ip nat pool dianxin 192.168.0.65 192.168.0.90 netmask
255.255.255.224 //设置对外访问地址
ip route 0.0.0.0 0.0.0.0 192.168.0.253 //配置默认路由
ip route 10.0.0.0 255.255.248.0 10.0.0.253 //配置静态路由
access –list 100 permit ip 10.0.0.0 0.0.7.255 any //指定NAT范围
四、结语
通过以上配置,完成了园网的双出口方案。但是在使用过程中,由于公众网用户仍然通过教育网访问学校主页,存在访问速度较慢的问题。为了解决这个问题,我们做了一个教育网IP地址到电信IP地址的映射,较好的解决了这个问题。由于DNS的流量必须通过中国教育科研网返回,所以仍旧存在出现由于教育网故障,造成第二出口访问也不正常的问题。为了解决这个问题,我们保留了原有的代理服务器,当出现教育网线路故障的时候,我们可
以通过代理服务器,应付线路故障,实现校园网对外访问的真正的冗余。校园网的双出口已为越来越多的学校所采纳,解决方案亦是仁者见仁、智者见智。在确定方案的时候,应根据所选用的设备和设计要求,合理的进行设计。
参考文献:
[1]Gil Held , Kent Hundley .Cisco访问表配置指南[M]:北京:科学出版社,2000: 92-110
[2]李文雄,刘辉,陈东阳. 边界路由器安全技术研究[J]: 计算机工程,2000,26(8):144-145
[3] 姜楠,刘小玉.双出口校园网的设计与实现.内蒙古民族大学学报(自然科学版),2009年04期
[4] 刘伟,崔永锋.校园网双出口实施中的问题及解决方案,计算机时代,2001年07期
[5] 缪元照、孟中. 天津商学院校园网教育网、电信双出口解决方案,http://bbs.365master.com/thread-12280-1-1.html
2/2 首页 上一页 1 2 |
