我校是接入教育网较早的高等院校之一,学校网络建议也好完善。我们学校有许多对外提供服务的服务器(多数是网站服务器),这些服务器都是使用教育网的地址,供员工或Internet用户访问。

目前CERNET的对高校的收费策略是,对大部分国内IP地址和极少国际IP地址免费;对绝大多数国际IP地址和部分国内IP地址按流量收费(如:部分电信地址)。因此,当高校访问Internet中收费地址及Internet中收费地址的用户访问高校中的资源时,高校就要向CERNET按流量付费。如果长期这样,这对高校来说是一个负担。如遇网络***或病毒等一些特殊因素,有可能会造成巨大收费流量,对高校来说是不可估量的经济损失。针对以上情况,高校只好限制这些收费的IP地址。限制的结果就是,校内无法访问部分Internet资源(收费IP地址资源);部分Internet用户(收费IP地址用户)无法访问学校的服务器。为了解决这一局限性,各有条件的高校纷纷选择增加与Internet的链路。

我校除了接入教育科研网,还接入了当地两条ISP等线路(电信、网通)。如果让不同的用户(电信、网通、教育网)通过不同的线路访问我们的服务器,就可以解决这个问题。经过多次分析与研究,我们采用智能DNS域名解析及多线路路由的方法,取得了较好的效果,现在介绍出来,希望对有同样难题的单位提供参考。

1 总体思路

解决问题的关键有两点:网站域名的解析与访问。简单来说,将提供服务的网站同时接入教育网、电信、网通。当Internet的用户访问时,由于网站域名采用了智能DNS,对于不同的用户返回不同的接入地址:对于教育网用户来说,返回网站教育网的地址;对于电信用户来说,返回电信出口的地址;对于网通用户来说,则返回网通出口的地址;当某个地址不能使用时,则返回另一可用的IP地址。采用此种方法的网络拓扑如图1所示。

clip_p_w_picpath002

图1 总体解决方案

现在提供智能DNS解析的厂商很多,例如dnspod。而对于将教育网、电信、网通的地址映射到校园网内部的服务器,则相对比较复杂。下面将根据服务器所放位置而提供不同的解决方案。但总体的解决思路如下:

(1)对教育网用户的访问,通过教育网的路由连接;对于电信与网通的用户访问,通过“双WAN口路由器”或“Forefront TMG”服务器提供接入。

(2)服务器至少有两个网卡,分别连接校内核心交换机(连接教育网)及电信与网通的多WAN口路由器或Forefront TMG。

(3)为服务器分配两个IP地址,其中一个IP地址为教育网内IP地址,此IP地址不设置网关,但要添加到教育网及校内其他IP地址的静态路由,可以采用route命令添加;另一个地址为私网地址,此地址连接到多WAN路由器或Forefront TMG的服务器。

2 服务器集中管理的多线Forefront TMG与多WAN路由器方案

如果单位的服务器集中管理,则可以采用图2的网络拓扑。

clip_p_w_picpath004

图2 集中管理的服务器

在高校中,图书馆网站、招生办网站、教务处网站是三个流量最大的网站。对于这三个网站,分别采用三个多WAN口的路由器,例如TP-Link的TL-ER5120(最多支持四个WAN端口),TL-ER5120分别接入网通、电信、移动的光纤,并直接分配对应的IP地址,在路由器中进行正确的配置。为路由器的LAN口分配172.31.x.254的地址(其中x可以为1~254之间),为图书馆、招生办、教务处以及校内其他部门的服务器,分配连接到对应路由器的IP地址并网关。对于其他部门的服务器,由于流量较小,可以使用一台普通配置的服务器(Intel E5620、4GB内存、三块网卡、4个300GB的SAS硬盘组成RAID5)安装Windows Server 2008 R2及Forefront TMG 2010,该产品支持双线路(接入电信与网通,因为这对于大多数用户来说已经足够)。为Forefront TMG的LAN端口分配172.31.4.254/24的地址,其他部门服务器分配172.31.4.1~253的地址并设置网关为172.31.4.254。

对于服务器的另一个网卡,则统一分配IP地址,例如可以分配202.x.y.1/24的地址,在设置IP地址时,不要设置网关,通过route命令添加到教育网与校内其他网段(例如其他私网IP地址)的静态路由。

【说明】(1)由于大多数的路由器只支持端口的转发(映射),不支持主机头名的转发,所以分别为流量大的网站使用单独的路由器。对于流量小的网站(对外仍然使用域名),则可以由Forefront TMG提供基于“主机头名”网站到内网的转发。(2)如果各部门网站可以使用TCP的80之外的端口,例如可以实现类似于http://www.abc.net:8012之类的域名,则可以用多WAN口路由器代替Forefront TMG, 而使用端口映射功能,将不同的端口映射到各部门的服务器。(3)也可以使用智能DNS提供的“URL转发”功能,将对类似http://www.abc.net的访问转发到http://www.abc.net:8123之类的端口。这样解决了用户访问时必须输入端口的问题,简化了管理。

3 三线及以下Forefront TMG方案

如果单位接入除了教育网之外,只有另外两线接入(例如电信与网通接入),并且每个网站的流量又不是特别大的时候,可以采用Forefront TMG接入方案,拓扑如图3所示。

clip_p_w_picpath006

图3 Forefront TMG解决方案

在图3中,由三台(或更多台)的服务器组成Forefront TMG的阵列,提供对后端网站的转发。Forefront TMG 2010最多只支持双线ISP,这可以满足大多数的需求。其中Forefront TMG阵列与受保护的网站之间,即可以接一个普通的交换机,也可以接三层交换机划分VLAN。如果接普通交换机,Forefront TMG的“内部”与受保护的网站之间属于同一网段;如果接三层交换机,Forefront TMG的内部网卡与受保护的网站之间可以划分不同的VLAN。

对于网站服务器的另一个接口的配置,仍然与第一个方案相同,即设置教育网IP,不设置网关而是通过命令添加到教育网与校内其他网段的静态路由。

4 服务器未集中管理时的解决方案

对于大多数的高校来说,许多服务器可能都在自己的部门,没有在网络中心统一管理。这时候可以采用图4的方式来实现。

clip_p_w_picpath008

图4 服务器未集中管理时解决方案

在图4中,校内核心交换机对外连接教育网路由器、多WAN口路由器、Forefront TMG阵列服务器,对内连接各个部门的接入交换机,然后再连接各部门的办公用机及各部门对外的服务器。其中各部门的对外服务器仍然采用两个网卡,并连接到不同的VLAN。其中一个VLAN为教育网的IP地址,另一个VLAN为私网地址。

这时需要在“核心交换机”上配置源地址策略路由,即对于校内的办公用机,访问外网时通过校内核心交换机及出口防火墙连接到不同的出口;对于对外的服务器,访问教育网通过教育网光纤,而其他的地址则路由到没的多WAN路由器或Forefront TMG的阵列。

对于对外提供服务的服务器,在访问教育网的地址时通过“出口路由器或防火墙-》教育网光纤”连接到教育网,在访问网通、电信地址,则通过“Forefront TMG阵列-》电信或网通光纤”连接到电信或网通网络。

例如,对于“图书馆服务器”来说,访问教育网通过校内核心交换机-》出口路由器172.28.254.1-》教育网,访问Internet时则通过图4中的TL-ER5120的地址172.28.254.2访问。对于其他部门服务器来说,则通过Forefront TMG的阵列地址(阵列中的Forefront TMG有两个IP地址,除了Forefront TMG单独的IP外还有一个对外的统一阵列地址)访问。

这样,当外网用户访问校内的服务器时,电信、网通、教育网可以正确的访问及路由。

5 使用×××解决图书馆与教务处、财务等网站访问问题

高校的图书馆大多只为校内员工或学生服务,但许多教工在校外,这时就出现通过Internet访问校内图书馆网站、查询资料问题。但这时情况就来了,除了本校的教工外,外校教工甚至Internet的人都来访问高校图书馆,产生许多的费用;另外,由于教务处与财务处网站,有的时候校外用户不能访问,这给教工带来了不便。此时可以通过×××来解决。但这同样存在问题:一些“不自觉”的教工会把自己的×××帐户告诉他人,这样就达不到我们的目的。基于此,可以采用×××+智能卡身份验证的方式,拓扑如图5所示。

clip_p_w_picpath010

图5 使用智能卡进行身份验证的×××方案

在图5中,由Active Directory服务器、证书服务器、Forefront TMG阵列管理服务器及阵列服务器组成,由证书服务器对“智能卡”颁发证书,教工在校外访问学校内部资源时,需要使用×××连接到学校的×××服务器,在连接的时候使用智能卡(硬件)进行身份验证。

采用智能卡进行身份验证,取消了传统的用户名、密码方式,除非教工将自己的智能卡(及对应智能卡的PIN)一同交给他人,否则他人是不能访问的。

智能卡是一个大小与形状与普通U盘类似的USB设备,在智能卡中可以存放证书,存放的证书不能被导出,只能使用智能卡进行身份验证。智能卡寿命较长、携带方便。目前许多银行转帐用的U盾即是智能卡。

目前智能卡的成本是60~80元,可以采用“租赁”或“压金”的方式收取成本费。智能卡如果丢失后,可以在CA中心吊销;当智能卡被他人捡到时,如果输入了错误的PIN并达到一定的次数,智能卡将被锁定并不能使用。

6 解决方案中软、硬件费用问题

在本次解决方案中,主要用到DNSPOD的智能DNS解析、TL-ER5120路由器、Forefront TMG 2010的防火墙(软件)及相关的服务器。采用不同的组合,需要不同的产品,价格也不相同。对于智能DNS解析服务来说,,使用DNSPOD提供的 “企业套餐I”,每年只需要588元就可以解决域名的解析问题

TL-ER5120大约1200元,TL-ER5120支持并发2000个连接没有问题。采用更低的TL-R4238亦可支持2000并发连接(实测),而TL-R4238目前报价仅550~800元。

Forefront TMG标准版支持并发750~1000个连接没有问题。对 Forefront TMG 2010可用硬件的测试表明,一台 Forefront TMG 服务器(部署为安全 Web 网关)最多可以支持 12,169 个并发用户,以及 487 Mbps 的 WAN 带宽峰值。若要支持此级别的功能、用户和带宽,需要一台较高配置的服务器,该服务器具有 2 个 Intel Xeon Core i7 3.4GMHz 处理器,每个处理器具有 8 个内核和 12 GB RAM。

大多数情况下,为Forefront TMG配套的服务器采用1个4核心或6核心的CPU、4GB~8GB内存、单块SSD固态硬盘或3~4个SAS硬盘做成RAID5、具有至少三个网卡的服务器即可,通常情况下服务器的价钱在2万元左右;Forefront TMG的标准版大约1万3千元左右,企业版大约3万左右。当采用单台Forefront TMG时可以采用标准版,如果需要组建Forefront TMG阵列则需要企业版。

【说明】上述价格、参数仅供参考,在实际采用时可以根据自己单位实际情况进行组合。