轻松打造双Internet接入

轻松打造双Internet接入二比一好,轻松打造双Internet接入当我们拥有两条Internet线路时，首先想到的就是使用带有双WAN口的路由器来实现接入。双WAN口的路由器不仅可以实现链路的备份(linkbackup)，而且可以实现流量的负载均衡(loadbalancing)。但是这样的双WAN口路由器不仅价格昂贵，而且难以应对日益增长的网络流量。其实，我们可以通过PC+软件的方式获得和双WAN口路由器一样的功能，而且通过升级PC配置(CPU、内存、磁盘子系统)来应付不断变化的流量需求。本文通过对不同网络环境下实现双Internet接入的介绍，希望能够扩宽大家这方面的思路。RRAS实现多Internet接入随着教育信息化的发展，笔者所在的学校对学生宿舍进行了教育网接入。由于资源有限，每个宿舍只有一条接入线路，所有的机器都通过一台NAT主机共享上网。由于教育网是按照流量进行收费的，这为同学们带来了一定的经济负担。经过商议，决定在原有线路的基础上再加上一条电信的ADSL线路，希望到达教育网的流量都走教育网出口，其他的流量都经过网通的ADSL线路。这样一方面充分享受了教育网丰富的资源，另一方面也节省了使用费用。经过考虑，笔者决定使用Windows2000Server的RRAS来满足这些需求。RRAS是路由与远程访问(remoteacceroutingservice)的缩写，为Windows2000Serve自带的路由与VPN服务器端软件。这里我们只使用RRAS的NAT功能。如图1所示，运行RRAS的主机作为NAT主机，安装有三块网卡。ADSL连接由DHCP进行地址分配；教育网分配IP地址202.196.111.54、202.195.111.1、子网掩码255.255.255.128；内网使用私有IP段192.168.1.0，网卡地址为192.168.1.1。网络环境CMCRRAS3HCPgalBway202.19p，CMCRRAS3HCPgalBway202.19p，1111配置过程:为了便于在以后配置中区分网络连接，首先根据所连接网络的名称对网卡进行重命名(如图2)。

②分别对三张网卡进行IP协议的配置。LAN配置静态地址192.168.1.1255.255.255.0,不配置默认网关和DNS地址；CERNET配置静态地址202.196.111.54255.255.255.128，不配置网关和DNS地址（如图3）；ADSL按照默认配置，使用DHCP协议从ISP获得IP协议配置。记住：LAN和CERNET不能配置默认网关，因为一台主机只能配置一个默认网关（本环境下使用DHCP服务器分发的网关），否则主机无法正常访问网络。③进入控制面板中的管理工具对路由远程访问进行配置。在窗口中右击“本地主机”，选择“配置和关图片如下：开启路由与远程访问”，这时将出现“路由与远程访问服务配置向导”（如图4?lt;br>此主题相关图片如下：开启路由与远程访问”，这时将出现“路由与远程访问服务配置向导”（如图4?lt;br>此主题相类型为“Interne连接服务器”（如图5）。曆可次些空武柱5中血丘.曆可次些空武柱5中血丘.JS1n"Tb++色遊蛙劈暮画wF^_n^i-fi11殖血赵班刃In-KfQt:・远胖诂冋居英耳応】阳百栓计麹応能IV.押g.flES^JWMrasMTirjliSntvj昨畀计H4T.施必筑山5删：谨艇!■M^ffidfSCTj回:惮奉iFEit睡刑社ilk丁驷hr;务署（1】冃致认设置&込讎■乐®y上一^皿1［下一goo讨 ri-ti选择“设置有网络地址转换路由协议的路由器”（如图6）,这样才能使用RRAS服务。选择ADSL为Internet连接（如图7）。这样,ADSL便成为NAT出口，但是CERNET没有成为NAT出口,我们将在向导的结束后把CERNET更改为NAT接口。选择LAN为共享ADSL连接的网络（如图8）。因为局域网内使用手工配置静态IP地址，所以选择“我将稍后设置名称和地址服务”（如图9）。点击“完成”，结束路由与远程访问的配置。至此，我们设置ADSL为NAT接口，LAN为共享此连接的内部网段。虽然这时内部网络可以访问Internet，但是由于没有配置CERNET为NAT接口，所以还不能把到达的教育网流量分配到此接口。下面的配置是满足我们需求的关键步骤：⑴当RRAS在主机上启用后，打开RRAS配置窗口。依次展开本地/IP路由选择/网络地址转换（NAT），右边列出了参与NAT的接口（如图10），单击右键选择“新接口”。13此主题相关图片如下:通服务盟状态」鬲纱体地）13此主题相关图片如下:通服务盟状态」鬲纱体地）-g路宙接口古眞[P路由选择-墓靜蛊路由二亶I刖Pj上莫网络地址转换

叭路由选捧.亘常规]...直阳“AT门W广;I&§^LAN⑵弹出如图11所示的窗口，点击确定，把CERNET接口加入到RRAS接口中。13此主题相关图片如下:13此主题相关图片如下:⑶选择“公用接口连接到Internet”，并勾选“转换TCP/IP头”（如图12）。如果不勾选此项，那么便不能实现多个内部主机共用一个IP地址的OverloadingNAT。⑷至此，已经设置ADSL和CERNET为NAT出口，但是流量还是不会经过CERNET接口出去，因为默认网关是指向ISP的网络的。这时需要通过添加静态路由的方式把流量转移到CERNET接口上。很多人会发出疑问：教育网中有那么多子网，添加静态路由的工作量一定会很大吧？其实不必为此担心。按

照CIDR（classlessinterdomai，无类别域间路由）的规则，会对网络分配连续的IP地址块，形成超网（supernet）。这样可以使用比传统掩码更短的超网掩码（supernetmask）来表示多个网络。（注：CIDR是IETF为解决IP地址浪费严重而提出的一种IP分配方案和路由策略。它摈弃了传统的对IP地址划分类别的思想，对网络地址的区分只依靠IP地址前缀。因此多个连续C类子网可以聚合成为一个更大超网。）经过查询，中国教育网地址分配情况大致为：202.112.0.0/12、202.192.0.0/12166.111.0.0/17（分配情况可能会发生改变，请及时更新）。⑸依次展开本地/IP路由选择/静态路由，右击左侧窗口，选择“添加静态路由”。在窗口中填入接口CERNET、目标202.112.0.0、网络掩码255.240.0.0、网关202.196.111.1（如图13）。 7此主题相关图片如下：题相关图片如下：依照如上的方法，依次添加对202.192.0.0/12和166.111.0.0/17的静态路由（如图14）。厲左路I厲左路I经过上面的设置，达到了在网关分离流量的目的。其实这个方法也非常适合采用两条光纤接入不同ISP的网吧，只要搞清楚了ISP的地址分配情况，就可以做到在网关上分离流量，达到快速访问Internet的目的。Winroute实现线路备份笔者学校附近有家网吧，采用电信10M光纤接入。为了保证网吧的稳定，决定采用一条ADSL线路进行备份。有什么软件可以实现在光纤连接失败的情况下，能自动地把流量转移到ADSL线路上，当光纤连接恢复后，又自动恢复流量方向呢？笔者自然想到了KerioWinrouteFirewa的connectionfailover功能。Winroute是Kerio公司推出的企业级防火墙和Webnrouting缓存软件，这里笔者只着重介绍connectionfailove功能。Winrouteconnectionfailover采用如下工作机制：每隔一段时间，通过主连接（primaryconnection）向用户指定的IP地址（可以是多

个）发送ICMPechorequest,如果接收到ICMPechoreply则认为主连接是可用的；如果没有接收到ICMPechoreply，则认为主连接失败，并自动把流量转移到备份连接上。需要注意的是，使用ICMPechoreques进行探测的IP地址必须可以返回ICMPechoreplay，并长时间运行。一般我们选择该条链路的默认网关作为探测对象。如图15，光纤接入分配静态地址61.54.138.70、子网掩码255.255.255.0、网关61.54.138.1；ADSL采用ISP的拨号软件进行拨号，分配动态IP地址；Winroute选用最新版本KerioWinrouteFirewall6.0.10。配置过程：①进行基本的网络配置；安装Winroute和ISP提供的拨号软件，并制定基本的流量策略（trafficpolicy）。②要使网络用户可以通过ADSL和FIBER访问Internet，必须指定流量策略。依次展开KerioWinrouteFirration/TrafficPolicy,添加一条策略：Source=LA、Destination=Fiber/ADSL、Service=Any、Action=Per、Translation=NAT（Defaultoutgoin（如图16）。注意，NAT—定要选择outgoinginterface，这样，所有从此接口出去的流量都会转换成此接口的IP地址，而不是其他接口的地址。③展开KerioWinrouteFirewall/C，打开"Connectionfailover"选项卡。勾选“Enableconnfailover"，开启connectionfailover功能。④选择进行探测的IP地址，这里我们使用的是光纤线路的默认网关（如图17）。选择IP地址的主要原则是：能够返回ICMPechoreply；是长时间不间断运行设备的IP地址；可以用来说明Internet连接的可用性。⑤选择主连接并填入主连接网关。⑥如图18,填入备份连接和对应网关地址⑦至此，完成了线路备份设置。因为ISP提供的拨号程序不是标准的PPPoE，所以需要事先建立拨号连接，这样实现热备份功能。对于采用PPPoE标准拨号的地区，只要指定PPPoE连接，Winroute会自动进行拨号连接。NLB进行负载均衡NLB（networkloadbalancing）是Windows2000AdvenServer所提供的一种集群特性。通过配置NLB可以在运行相同服务的服务器之间进行负载分布，提高访问性能。配置NLB的所有服务器组成一台虚拟服务器，对于访问用户来说是只能看到这台虚拟服务器，而组成虚拟服务器的物理主机则是不可见的（如图20）。只要集群中还有活动主机存在，虚拟服务器对外界来说就是可用的，所以NLB同时也提供了虚拟服务器的高可用性。ClusterVirtualServerNLB是工作在网ClusterVirtualServerNLB是工作在网络底层进行的负载均衡技术，我们只要在代理服务器上安装相同的代理软件并进行相同的配置（有些配置例外）就可以完成负载均衡功能。如图21所示，内部网络通过两台安装有Winroute的NAT服务器接入ISP，IP地址分别为192.168.1.2/24和192.168.1.3/24，并通过NLB的方式组成IP地址为192.168.1.1/24nection的虚拟服务器。WinmubeNLBVirtualSep/er19Z.l6a.1.3u'24-'诃WinmubeNLBVirtualSep/er19Z.l6a.1.3u'24-'诃in旳ulc192.10S.1.2/2413此主题相关图片如下:13此主题相关图片如下:配置过程：选择内网网络连接，打开属性页；选择“Internet协议”，点击“属性”，设置这台服务器的独立IP地址192.168.1.2/24，代理服务器一般不设置默认网关；单击“高级”，为适配器添加第二个IP地址，这个地址为虚拟服务器的IP地址（如图22）。络载量平衡没有开启，勾选“网络载量平衡”，开启NLB。③选择网络载量平衡，点击“属性”，开始配置NLBo在“主IP地址”填入虚拟服务器地址192.168.1.1/24；“完整Internet名”留空即可；勾选“多播支持”，因为没有单独的网卡用于NLB主机之间的通信，需要启用多播使负载均衡网卡接受NLB主机间的通信。如果需要进行远程控制，可以启用远程控制并设置密码。④切换到“主机参数”。优先级是虚拟服务器中物理主机的唯一标识，这里设置为1;设置“初始集群状态”为活动；专用IP地址需要和主机独立IP地址一致。⑤切换到“端口规则”。设定端口范围为0—65535,因为内网到集群地址的数据包端口号不是固定的，所以需要包括所有的端口；设定“协议”为两者

（TCP和UDP）；“筛选模式”选择“多个主机”，“仿射类”选择单一；“负荷量”是指该主机承担虚拟服务器总负荷的百分之多少，这个值主要依据主机到Internet连接的带宽来选定。比如主机A和B的Inte