论文部分内容阅读
摘 要:随着因特网规模的不断扩大,软路由技术受到了人们的广泛关注,并正在逐渐占领更多的硬件路由技术市场。软路由技术可应用于多种操作系统平台,具有配置灵活、成本低、内置网络支持和高度模块化等优点,因而获得广泛应用。
关键词:软路由 交换机 局域网
学校网络的应用在学校日常教学工作中十分重要,它既要保证内网的畅通,又要与外网实现安全连接,在实际的工作中,以我校为例,采用的是软路由的方式对学校整体网络进行管理。
一、软路由的优势
1、高速转发
软路由服务器应该提供内网与外网数据高速转发的功能。路由器最基本且最重要的功能是数据包转发。在同样端口速率下转发小包是对路由器包转发能力最大的考验。全双工线速转发能力是指以最小包长以太网字节和符合协议规定的最小包间隔在路由器端口上双向传输同时不引起丢包。该指标是路由器性能重要指标。
2、运行稳定
软路由系统必须具备防止出现路由环路问题的稳定性。路由环路是由网络拓扑结构发生变化之后立即出现的虚假路由信息广播引起的,可造成网络的崩溃。
3、有效的内网控制
校园网软路由系统为内网络正常运行提供保护,因此应该提供一定的访问控制策略,让不同的区域有不同的访问权限。而基于的路由比基于路由的一个优势就在于,前者能够提供更细粒度的访问控制管理,即针对具体应用服务实施访问控制策略。
4、安全保障
软路由系统的一个职责是保障安全,保障互联网数据传输安全的基本机制包括数据认证、信息保密、信息完整性。因此校园网路由系统起码要有以上三方面的安全保障。
二、设置与优化软路由
我校校园网采用核心交换机,全光纤接入中国教育和科研计算机网,提供的接入速率完全能够满足目前校园网视频、语音等多媒体业务传输的需求。同时,接入的有图书馆子网、新建主楼子网、行政子网、实验楼子网、计算机机房子网。校园网上运行的主要服务器有服务器、及流媒体服务器、邮件服务器、服务器、教学管理系统服务器、网络版杀毒软件服务器、图书馆数据库服务器等。另外,考虑到网络的安全性问题,在接入Internet前,安装了防火墙,防止来自工的非法入侵在学校机房,我们使用软路由和winbox软件配合管理机房网络,在安装配置好软路由后,需要用winbox对其连接控制,首先必须激活和配置网卡的ip 掩码等。这里装了两块网卡,一块接电信,一块路由后接内网交换机。
首先看看两块网卡是否都被识别出来了,命令是:
/interface
print
可以缩写为
/int
pri
接下来进行激活,命令是:
ENABLE 0
ENABLE 1
0是第一块网卡。
激活后没有提示。用print命令查看后发现网卡前面的X变成R,就代表激活成功了。
如果学校机房机器数量超过500以上的网络共享上网的话,建议使用ROS(NAT)做3层交换机的方式:
下面就详细讲ROS 和3层交换机上如何配制:
假设500台机器划分为5段,每段机100台,分别的网段是192.168.1.X----192.168.5.X。ROS的内网地址就设置为192.168.0.1, 三层交换机的WAN口地址设置为192.168.0.2。
ROS 配置:
ROS内网地址
1 192.168.0.1/24 192.168.0.0 192.168.0.255 LAN
ROS 做地址隐藏要将全部节点的IP都要包括进去,它的命令是:
src-address=192.168.0.0/16 action=masquerade
给ROS指回头路由到三层交换机:
ip route add dst-address=192.168.1.0/24 gateway=192.168.0.2
ip route add dst-address=192.168.2.0/24 gateway=192.168.0.2
ip route add dst-address=192.168.3.0/24 gateway=192.168.0.2
ip route add dst-address=192.168.4.0/24 gateway=192.168.0.2
ip route add dst-address=192.168.5.0/24 gateway=192.168.0.2
三层交换机配置:
由于三层交换机各厂家配制命令不一样,这里介绍大致配置步骤,先给三层交换机配置WAN口地址 192.168.0.2,静态网关 0.0.0.0 0.0.0.0 192.168.0.1。
然后新建立5个VLAN,分别是 VLAN100、VLAN101、VLAN102、VLAN103、VLAN104,其个VLAN的IP地址分别为192.168.1.1,192.168.2.1,192.168.3.1,192.168.4.1,192.168.5.1
最后根据需要分配每个VLAN分配的端口,为了降低成本,可以用ROS直接添加多个网卡直接分段,效果也不错。
三、软路由的管理与维护
在日常网络维护中,我们也发现软路由存在的问题并进行有效解决。
第一,通过设置软路由服务器访问校园网资源的速度比直接访问校园网资源的速度略有降低。
第二,同时随着内网客户端数量增加时,访问速度也会受到一定影响,有时会出现网页打不开之类的现象。
以上问题主要是因为传输数据时需要通过路由转换进行数据传输,占用了资源,因此下列解决方法是可以尝试的
第一,提高软路由服务器的配置,主要是提高处理器速度。
第二,当用户数量比较大时,可通过配置多服务器负载均衡来进行流量分担。
第三,校园网的安全要求并不太高,也可以将策略配置简化,以节省资源,换取处理速度的提高。ROS 里TCP-STATE Close 状态过多,原因是ROS里TCP-STATE 连接状态默认时间是一天,这样要等24小时候ROS才会关掉这个连接,这个可以在Tracking 里把连接时间设置小一点,但是也有点副作用。最好的办法是用脚本定时清除,首先,在ROS的 SYSTEM 下的 Scripts 里建一个脚本,然后在ROS的 SYSTEM 下的 Scheduler 里建一个任务,时间设成一分钟执行一次脚本。
创建好软路由,我们就可以通过winbox来控制管理整个网络。校园中有幾个计算机机房与校园网相连,而且机房中的机器数量比较多,这样地址占用就会比较多。虽然可以使用专门的设备来解决,但是成本会比较高,使用起来也不是很灵活。另外,这部分机器上网经常会出现一些安全问题,这样会使校园网其它区域受到影响尤其是财务部门,这样就需要对这部分网络加以控制。虽然可以使用专门的路由设备或者防火墙来进行控制,但也是出于成本的问题况且二次开发也不是很灵活。随着学校办学规模的不断扩大和网络资源应用的普及,广大师生越来越强烈地希望能安全地享用网络资源。从校园网现状的分析中可以看出,计算机机房使校园网地址的数量和校园网的安全受到一定程度的影响。对计算机机房从网络接入层进行控制最主要是出于地址分配和网络安全的考虑,所以在扩展资源访问范围的同时,绝不能给校园网安全带来漏洞。
软路由技术的宗旨是为校园网内局部区域接入服务提供安全支持,所以提高接入服务质量和有效的控制,也是今后需要完成的工作,这也能更大地体现软路由系统的价值。
参考文献:
[1] ROS在学校机房管理中的应用[J].陈海平,许驰.科技信息.009(19)
[2]高校网络机房共享上网的实现原理及方式[J]. 蒙磊,王晓波.科技信息(学术研究).2008(34)
关键词:软路由 交换机 局域网
学校网络的应用在学校日常教学工作中十分重要,它既要保证内网的畅通,又要与外网实现安全连接,在实际的工作中,以我校为例,采用的是软路由的方式对学校整体网络进行管理。
一、软路由的优势
1、高速转发
软路由服务器应该提供内网与外网数据高速转发的功能。路由器最基本且最重要的功能是数据包转发。在同样端口速率下转发小包是对路由器包转发能力最大的考验。全双工线速转发能力是指以最小包长以太网字节和符合协议规定的最小包间隔在路由器端口上双向传输同时不引起丢包。该指标是路由器性能重要指标。
2、运行稳定
软路由系统必须具备防止出现路由环路问题的稳定性。路由环路是由网络拓扑结构发生变化之后立即出现的虚假路由信息广播引起的,可造成网络的崩溃。
3、有效的内网控制
校园网软路由系统为内网络正常运行提供保护,因此应该提供一定的访问控制策略,让不同的区域有不同的访问权限。而基于的路由比基于路由的一个优势就在于,前者能够提供更细粒度的访问控制管理,即针对具体应用服务实施访问控制策略。
4、安全保障
软路由系统的一个职责是保障安全,保障互联网数据传输安全的基本机制包括数据认证、信息保密、信息完整性。因此校园网路由系统起码要有以上三方面的安全保障。
二、设置与优化软路由
我校校园网采用核心交换机,全光纤接入中国教育和科研计算机网,提供的接入速率完全能够满足目前校园网视频、语音等多媒体业务传输的需求。同时,接入的有图书馆子网、新建主楼子网、行政子网、实验楼子网、计算机机房子网。校园网上运行的主要服务器有服务器、及流媒体服务器、邮件服务器、服务器、教学管理系统服务器、网络版杀毒软件服务器、图书馆数据库服务器等。另外,考虑到网络的安全性问题,在接入Internet前,安装了防火墙,防止来自工的非法入侵在学校机房,我们使用软路由和winbox软件配合管理机房网络,在安装配置好软路由后,需要用winbox对其连接控制,首先必须激活和配置网卡的ip 掩码等。这里装了两块网卡,一块接电信,一块路由后接内网交换机。
首先看看两块网卡是否都被识别出来了,命令是:
/interface
可以缩写为
/int
pri
接下来进行激活,命令是:
ENABLE 0
ENABLE 1
0是第一块网卡。
激活后没有提示。用print命令查看后发现网卡前面的X变成R,就代表激活成功了。
如果学校机房机器数量超过500以上的网络共享上网的话,建议使用ROS(NAT)做3层交换机的方式:
下面就详细讲ROS 和3层交换机上如何配制:
假设500台机器划分为5段,每段机100台,分别的网段是192.168.1.X----192.168.5.X。ROS的内网地址就设置为192.168.0.1, 三层交换机的WAN口地址设置为192.168.0.2。
ROS 配置:
ROS内网地址
1 192.168.0.1/24 192.168.0.0 192.168.0.255 LAN
ROS 做地址隐藏要将全部节点的IP都要包括进去,它的命令是:
src-address=192.168.0.0/16 action=masquerade
给ROS指回头路由到三层交换机:
ip route add dst-address=192.168.1.0/24 gateway=192.168.0.2
ip route add dst-address=192.168.2.0/24 gateway=192.168.0.2
ip route add dst-address=192.168.3.0/24 gateway=192.168.0.2
ip route add dst-address=192.168.4.0/24 gateway=192.168.0.2
ip route add dst-address=192.168.5.0/24 gateway=192.168.0.2
三层交换机配置:
由于三层交换机各厂家配制命令不一样,这里介绍大致配置步骤,先给三层交换机配置WAN口地址 192.168.0.2,静态网关 0.0.0.0 0.0.0.0 192.168.0.1。
然后新建立5个VLAN,分别是 VLAN100、VLAN101、VLAN102、VLAN103、VLAN104,其个VLAN的IP地址分别为192.168.1.1,192.168.2.1,192.168.3.1,192.168.4.1,192.168.5.1
最后根据需要分配每个VLAN分配的端口,为了降低成本,可以用ROS直接添加多个网卡直接分段,效果也不错。
三、软路由的管理与维护
在日常网络维护中,我们也发现软路由存在的问题并进行有效解决。
第一,通过设置软路由服务器访问校园网资源的速度比直接访问校园网资源的速度略有降低。
第二,同时随着内网客户端数量增加时,访问速度也会受到一定影响,有时会出现网页打不开之类的现象。
以上问题主要是因为传输数据时需要通过路由转换进行数据传输,占用了资源,因此下列解决方法是可以尝试的
第一,提高软路由服务器的配置,主要是提高处理器速度。
第二,当用户数量比较大时,可通过配置多服务器负载均衡来进行流量分担。
第三,校园网的安全要求并不太高,也可以将策略配置简化,以节省资源,换取处理速度的提高。ROS 里TCP-STATE Close 状态过多,原因是ROS里TCP-STATE 连接状态默认时间是一天,这样要等24小时候ROS才会关掉这个连接,这个可以在Tracking 里把连接时间设置小一点,但是也有点副作用。最好的办法是用脚本定时清除,首先,在ROS的 SYSTEM 下的 Scripts 里建一个脚本,然后在ROS的 SYSTEM 下的 Scheduler 里建一个任务,时间设成一分钟执行一次脚本。
创建好软路由,我们就可以通过winbox来控制管理整个网络。校园中有幾个计算机机房与校园网相连,而且机房中的机器数量比较多,这样地址占用就会比较多。虽然可以使用专门的设备来解决,但是成本会比较高,使用起来也不是很灵活。另外,这部分机器上网经常会出现一些安全问题,这样会使校园网其它区域受到影响尤其是财务部门,这样就需要对这部分网络加以控制。虽然可以使用专门的路由设备或者防火墙来进行控制,但也是出于成本的问题况且二次开发也不是很灵活。随着学校办学规模的不断扩大和网络资源应用的普及,广大师生越来越强烈地希望能安全地享用网络资源。从校园网现状的分析中可以看出,计算机机房使校园网地址的数量和校园网的安全受到一定程度的影响。对计算机机房从网络接入层进行控制最主要是出于地址分配和网络安全的考虑,所以在扩展资源访问范围的同时,绝不能给校园网安全带来漏洞。
软路由技术的宗旨是为校园网内局部区域接入服务提供安全支持,所以提高接入服务质量和有效的控制,也是今后需要完成的工作,这也能更大地体现软路由系统的价值。
参考文献:
[1] ROS在学校机房管理中的应用[J].陈海平,许驰.科技信息.009(19)
[2]高校网络机房共享上网的实现原理及方式[J]. 蒙磊,王晓波.科技信息(学术研究).2008(34)