详细的校园网设计方案
户访问的目的地是校园网外网络还是校园网内网络,其均要进行地址转换。在校园网内骨干网上将不存在私有IP子网的路由,各片区的私有地址可自行定义使用。其缺点是校园网内私有地址间互访的流量均经地址转换,性能受到影响,NAT设备的压力较大。
另一种方式是,无论采用公用还是私有IP地址的用户,可直接进行校园网内互访不需进行地址转换,各边界三层交换机有相应的路由信息,校园网的保留地址进行统一的规划,其路由信息可在全网络内传播。对于访问校园网外的用户,需区分其使用的是私有还是公有IP地址,对于公有IP地址用户也无需进行地址转换,使用私有IP地址用户为访问校园网外的网络时必须进行NAT转换。在校园网出口处应采用源路由方式(策略路由)将流量导向NAT设备。
建议采用具有硬件处理能力的线速NAT设备。
校园网络中地址分配最主要的因素是公网地址空间的缺口:
我们都知道IP网分配了公用IP地址。用户人数在不断增长,将远远超过可用地址数,这将成为一个非常严重的问题。
由于大部分的个人用户不需要固定的IP地址,因此对个人用户采用动态的IP地址分配可以节省½到¾的地址资源。而采用NAT/PAT的方式,可以将网络公用地址的需要节省到几十分之一甚至更多的程度。但后一种方式的主要问题是NAT/PAT转换的性能问题,第二个问题是可能会影响某些应用。
而实际上,地址缺口的大小不仅取决于可用空间和用户数,并且与采用的用户安全技术和产品有关。
如果采用以太网和per user perVLAN的方式,地址消耗太大,使用私网地址+NAT是合理的选择。
第二个因素是采用的产品的特性。
由于目前单台设备的NAT/PAT的性能不理想,解决的方法是由边缘层交换机分担完成该功能。 第三个因素是是否考虑NAT/PAT对应用的影响。
可能某个用户需要采用某种应用而该应用不能穿过NAT/PAT设备,如某些多媒体应用和VPN应用。
第四个因素是是否考虑可能的政策调整。
综合以上多种考虑,对于采用IP网作为校园网主要载体的学校,我们建议:
对校园内学生宿舍或教工住宅用户采用地址静态分配、以私网地址为主。配置会聚层交换机,对于目标IP地址不是本校园网内部的会话流则采用NAT/PAT的方式,反之则不进行NAT/PAT。