軟路由在校園網(wǎng)中的應(yīng)用

牛繼來

摘 要：隨著因特網(wǎng)規(guī)模的不斷擴大，軟路由技術(shù)受到了人們的廣泛關(guān)注，并正在逐漸占領(lǐng)更多的硬件路由技術(shù)市場。軟路由技術(shù)可應(yīng)用于多種操作系統(tǒng)平臺，具有配置靈活、成本低、內(nèi)置網(wǎng)絡(luò)支持和高度模塊化等優(yōu)點，因而獲得廣泛應(yīng)用。

關(guān)鍵詞：軟路由 交換機 局域網(wǎng)

學校網(wǎng)絡(luò)的應(yīng)用在學校日常教學工作中十分重要，它既要保證內(nèi)網(wǎng)的暢通，又要與外網(wǎng)實現(xiàn)安全連接，在實際的工作中，以我校為例，采用的是軟路由的方式對學校整體網(wǎng)絡(luò)進行管理。

一、軟路由的優(yōu)勢

1、高速轉(zhuǎn)發(fā)

軟路由服務(wù)器應(yīng)該提供內(nèi)網(wǎng)與外網(wǎng)數(shù)據(jù)高速轉(zhuǎn)發(fā)的功能。路由器最基本且最重要的功能是數(shù)據(jù)包轉(zhuǎn)發(fā)。在同樣端口速率下轉(zhuǎn)發(fā)小包是對路由器包轉(zhuǎn)發(fā)能力最大的考驗。全雙工線速轉(zhuǎn)發(fā)能力是指以最小包長以太網(wǎng)字節(jié)和符合協(xié)議規(guī)定的最小包間隔在路由器端口上雙向傳輸同時不引起丟包。該指標是路由器性能重要指標。

2、運行穩(wěn)定

軟路由系統(tǒng)必須具備防止出現(xiàn)路由環(huán)路問題的穩(wěn)定性。路由環(huán)路是由網(wǎng)絡(luò)拓撲結(jié)構(gòu)發(fā)生變化之后立即出現(xiàn)的虛假路由信息廣播引起的，可造成網(wǎng)絡(luò)的崩潰。

3、有效的內(nèi)網(wǎng)控制

校園網(wǎng)軟路由系統(tǒng)為內(nèi)網(wǎng)絡(luò)正常運行提供保護，因此應(yīng)該提供一定的訪問控制策略，讓不同的區(qū)域有不同的訪問權(quán)限。而基于的路由比基于路由的一個優(yōu)勢就在于，前者能夠提供更細粒度的訪問控制管理，即針對具體應(yīng)用服務(wù)實施訪問控制策略。

4、安全保障

軟路由系統(tǒng)的一個職責是保障安全，保障互聯(lián)網(wǎng)數(shù)據(jù)傳輸安全的基本機制包括數(shù)據(jù)認證、信息保密、信息完整性。因此校園網(wǎng)路由系統(tǒng)起碼要有以上三方面的安全保障。

二、設(shè)置與優(yōu)化軟路由

我校校園網(wǎng)采用核心交換機，全光纖接入中國教育和科研計算機網(wǎng)，提供的接入速率完全能夠滿足目前校園網(wǎng)視頻、語音等多媒體業(yè)務(wù)傳輸?shù)男枨?。同時，接入的有圖書館子網(wǎng)、新建主樓子網(wǎng)、行政子網(wǎng)、實驗樓子網(wǎng)、計算機機房子網(wǎng)。校園網(wǎng)上運行的主要服務(wù)器有服務(wù)器、及流媒體服務(wù)器、郵件服務(wù)器、服務(wù)器、教學管理系統(tǒng)服務(wù)器、網(wǎng)絡(luò)版殺毒軟件服務(wù)器、圖書館數(shù)據(jù)庫服務(wù)器等。另外，考慮到網(wǎng)絡(luò)的安全性問題，在接入Internet前，安裝了防火墻，防止來自工的非法入侵在學校機房，我們使用軟路由和winbox軟件配合管理機房網(wǎng)絡(luò)，在安裝配置好軟路由后，需要用winbox對其連接控制，首先必須激活和配置網(wǎng)卡的ip 掩碼等。這里裝了兩塊網(wǎng)卡，一塊接電信，一塊路由后接內(nèi)網(wǎng)交換機。

首先看看兩塊網(wǎng)卡是否都被識別出來了，命令是：

/interface

print

可以縮寫為

/int

pri

接下來進行激活，命令是：

ENABLE 0

ENABLE 1

0是第一塊網(wǎng)卡。

激活后沒有提示。用print命令查看后發(fā)現(xiàn)網(wǎng)卡前面的X變成R，就代表激活成功了。

如果學校機房機器數(shù)量超過500以上的網(wǎng)絡(luò)共享上網(wǎng)的話，建議使用ROS（NAT）做3層交換機的方式：

下面就詳細講ROS 和3層交換機上如何配制：

假設(shè)500臺機器劃分為5段，每段機100臺，分別的網(wǎng)段是192.168.1.X----192.168.5.X。ROS的內(nèi)網(wǎng)地址就設(shè)置為192.168.0.1， 三層交換機的WAN口地址設(shè)置為192.168.0.2。

ROS 配置：

ROS內(nèi)網(wǎng)地址

1 192.168.0.1/24 192.168.0.0 192.168.0.255 LAN

ROS 做地址隱藏要將全部節(jié)點的IP都要包括進去，它的命令是：

src-address=192.168.0.0/16 action=masquerade

給ROS指回頭路由到三層交換機：

ip route add dst-address=192.168.1.0/24 gateway=192.168.0.2

ip route add dst-address=192.168.2.0/24 gateway=192.168.0.2

ip route add dst-address=192.168.3.0/24 gateway=192.168.0.2

ip route add dst-address=192.168.4.0/24 gateway=192.168.0.2

ip route add dst-address=192.168.5.0/24 gateway=192.168.0.2

三層交換機配置：

由于三層交換機各廠家配制命令不一樣，這里介紹大致配置步驟，先給三層交換機配置WAN口地址 192.168.0.2，靜態(tài)網(wǎng)關(guān) 0.0.0.0 0.0.0.0 192.168.0.1。

然后新建立5個VLAN，分別是 VLAN100、VLAN101、VLAN102、VLAN103、VLAN104，其個VLAN的IP地址分別為192.168.1.1，192.168.2.1，192.168.3.1，192.168.4.1，192.168.5.1

最后根據(jù)需要分配每個VLAN分配的端口，為了降低成本，可以用ROS直接添加多個網(wǎng)卡直接分段，效果也不錯。

三、軟路由的管理與維護

在日常網(wǎng)絡(luò)維護中，我們也發(fā)現(xiàn)軟路由存在的問題并進行有效解決。

第一，通過設(shè)置軟路由服務(wù)器訪問校園網(wǎng)資源的速度比直接訪問校園網(wǎng)資源的速度略有降低。

第二，同時隨著內(nèi)網(wǎng)客戶端數(shù)量增加時，訪問速度也會受到一定影響，有時會出現(xiàn)網(wǎng)頁打不開之類的現(xiàn)象。

以上問題主要是因為傳輸數(shù)據(jù)時需要通過路由轉(zhuǎn)換進行數(shù)據(jù)傳輸，占用了資源，因此下列解決方法是可以嘗試的

第一，提高軟路由服務(wù)器的配置，主要是提高處理器速度。

第二，當用戶數(shù)量比較大時，可通過配置多服務(wù)器負載均衡來進行流量分擔。

第三，校園網(wǎng)的安全要求并不太高，也可以將策略配置簡化，以節(jié)省資源，換取處理速度的提高。ROS 里TCP-STATE Close 狀態(tài)過多，原因是ROS里TCP-STATE 連接狀態(tài)默認時間是一天，這樣要等24小時候ROS才會關(guān)掉這個連接，這個可以在Tracking 里把連接時間設(shè)置小一點，但是也有點副作用。最好的辦法是用腳本定時清除，首先，在ROS的 SYSTEM 下的 Scripts 里建一個腳本，然后在ROS的 SYSTEM 下的 Scheduler 里建一個任務(wù)，時間設(shè)成一分鐘執(zhí)行一次腳本。

創(chuàng)建好軟路由，我們就可以通過winbox來控制管理整個網(wǎng)絡(luò)。校園中有幾個計算機機房與校園網(wǎng)相連，而且機房中的機器數(shù)量比較多，這樣地址占用就會比較多。雖然可以使用專門的設(shè)備來解決，但是成本會比較高，使用起來也不是很靈活。另外，這部分機器上網(wǎng)經(jīng)常會出現(xiàn)一些安全問題，這樣會使校園網(wǎng)其它區(qū)域受到影響尤其是財務(wù)部門，這樣就需要對這部分網(wǎng)絡(luò)加以控制。雖然可以使用專門的路由設(shè)備或者防火墻來進行控制，但也是出于成本的問題況且二次開發(fā)也不是很靈活。隨著學校辦學規(guī)模的不斷擴大和網(wǎng)絡(luò)資源應(yīng)用的普及，廣大師生越來越強烈地希望能安全地享用網(wǎng)絡(luò)資源。從校園網(wǎng)現(xiàn)狀的分析中可以看出，計算機機房使校園網(wǎng)地址的數(shù)量和校園網(wǎng)的安全受到一定程度的影響。對計算機機房從網(wǎng)絡(luò)接入層進行控制最主要是出于地址分配和網(wǎng)絡(luò)安全的考慮，所以在擴展資源訪問范圍的同時，絕不能給校園網(wǎng)安全帶來漏洞。

軟路由技術(shù)的宗旨是為校園網(wǎng)內(nèi)局部區(qū)域接入服務(wù)提供安全支持，所以提高接入服務(wù)質(zhì)量和有效的控制，也是今后需要完成的工作，這也能更大地體現(xiàn)軟路由系統(tǒng)的價值。

參考文獻：

[1] ROS在學校機房管理中的應(yīng)用[J].陳海平，許馳.科技信息.009（19）

[2]高校網(wǎng)絡(luò)機房共享上網(wǎng)的實現(xiàn)原理及方式[J]. 蒙磊，王曉波.科技信息（學術(shù)研究）.2008（34）endprint