Linux作为校园网出口的优化PPT课件

1、1张焕杰Tel: 3601897(O)2l功能要求l系统优化3l区分国内国外地址利用netfilter/iptables实现校内IP分3种权限：校内、国内、国际l国内地址有300多条目（大于8IP的条目）l策略路由利用ip rule 实现服务器要永远走教育网出去用户的IP根据情况选择l科大有7种选择4l校内IP的状态避免针对每个IP增加iptables的条目，因为这样做iptables规则很多，性能非常低可以考虑使用ippool或后续的ipset，他们的优点都是利用单独的数据结构存放一个IP的状态（属于一个pool或set，可以认为对应0和1）使用ippool或ipset后，一条iptable

2、s规则就可以起到原来iptables几千条规则的作用，避免了iptables顺序查找的低效率，执行速度能快几百倍/5l建立类型为nethash的cernetfree ipsetl建立类型为ipmap的cernetip ipset，并缺省绑定cernetfreelCernetfree中加入免费地址列表l如果为出校IP，增加到cernetip既可以l如果为出国IP，增加到cernetip，并解除与cernetfree的缺省绑定6l科大用的是自己写的，每个IP在内存中有1个字节用来存放IP的权限(0-255)l有一个数据结构用来存放网络的权限（0-255），目前仅仅存

3、放教育网免费地址列表，权限都是50l增加了一个iptables规则处理：如果校内IP的权限=对方网络的权限，允许转发数据包7l/proc/iprightmap/netright50 50 l/proc/iprightmap/_50 750 9100 050 28l性能问题路由时，顺序查找路由规则表如果表的项目太多（现在有3000个用户在线，有3000条规则，平均一次要查1500

4、项才会找到），效率不高因此需要优化，用其他方式替换顺序查找9l建立若干个ipset,对应不同的路由方式l在mangle表中，对不同的ipset设置不同的fwmarklIp rule 根据fwmark进行路由选择10l由于决定使用哪个路由表的关键词是源地址，而校内的源地址有限（即使256个C也就是64KB个）l因此可以用一个或多个数组来存放这些信息l数组的大小为校内IP的个数，内容为该IP使用哪个路由表11 100 101 102 100 .100 1

5、01 102 100 .100 101 102 100 .长度 256*32长度 256*16长度 256*16一个数组存放校内的IP段信息每段有个数组存放该段的策略信息修改路由时查找规则表的处理过程，利用以上结构来查12l为了方便，kernel和应用程序采用/proc文件系统通信，文件/proc/iprule/control为控制文件l写 A 202 38 64 0 255 255 224 0到control增加一段内部地址l增加地址后/proc/iprule下会增加2个文件_和B_读这两个文件可

6、以得到某个IP的策略信息前面一个是ASCII的后面一个是binary的，偏移量0的字节就是的策略13l写 C XXX 202 38 64 1到control修改策略，xxx为路由表l如lecho “C 101 202 38 64 51” control l设定1使用路由表10114lP4 2.4G的CPUl进出通信达到850Mbps，每秒处理16万个数据包lCPU利用率接近100%15l更高性能可以通过以下途径获得多台负载分担l两台并行，可以提高一倍的性能结构调整l如用3角路由，从NAT设备进入校园网校园网的数据包直通(这部分不需要权限检查)l从校内发出到CERNET的数据包直接出去16教育网出口校内