校园网多出口方案实践与总结.docVIP

校园网多出口方案实践与总结 　　摘 要:国内的高校经过多年持续不断的基础设施建设和应用提升,已经形成了较为稳定的校园网基础架构、相对丰富的校园网应用平台。但是,正因为教学、科研、办公、生活对于校园网平台的依赖性越来越强,网络出口区域的重要性也愈发凸显,出口的重构和优化再次被提上议程。本文阐述了我校近年基于教育、电信、网通三条出口线路条件下的网络出口改造的思路和经验。 　　关键词:网络出口;多出口;地址转换;策略路由;策略DNS 　　中图分类号:TP393.18文献标识码:A文章编号:1673-8454(2010)05-0042-03 　　 　　一、引言 　　 　　南京理工大学是一所隶属于工业和信息化部的国家首批“211工程”重点大学。校园网一期工程于1996年开始建设,采用快速以太网网络技术,1997年4月全部建设完成;校园网二期工程于1997年启动,采用了当时先进的千兆以太网网络技术,1999年9月全部建设完成。从2004年到2005年,进行了骨干网络的万兆升级建设。当时,网络出口采用的是2003年校园网的组网方案,出口线路为CERNET(100M)和电信宽带(10M),出口设备分别为CISCO 7200路由器(CERNET)和CISCO 2600路由器(电信宽带),并且电信宽带为CERNET的备份线路。 　　 　　二、问题的发现及解决 　　 　　 1.出口带宽不足 　　根据我们多年来对网络出口的监控显示,早期全校所有师生的访问绝大多数都从教育网出口,极少数流量从电信出口。随着学校扩招,特别是研究生人数大幅度增加,造成网络访问量迅速提升,出口带宽被占满。并且,网络的主要访问流量已经从CERNET变成了Internet,原有的10M带宽更加无法满足需求。这促成了我校网络出口带宽的一次扩充,其中,电信线路从10M扩充到200M,并增加1条200M网通线路。 　　2.带宽提升后,设备性能制约流量上涨 　　在解决我校网络出口带宽不足的问题后,从我们的监控情况以及用户的使用反馈来看,并未大幅度提升访问的速度,出口流量也未能大幅上涨(见图1所示)。 　　 　　我们找了多个厂商进行论证分析,最终确诊为设备在启用NAT地址转换和PBR策略路由情况下,设备处理性能不足引起的流量受限。通过组织多方测试,最终我们选中了锐捷网络的NPE50网络出口引擎。 　　NPE50网络出口引擎采用全新NP架构设计,主控板固化提供了3个光电复用的10/100/1000M以太网口,根据信息产业部电信传输研究所的测试显示:在启用NAT、ACL、PBR(策略路由)的情况下,在通常情况的报文流情况下(平均报文长度为500byte左右的混合报文),NPE50双向可以达到8Gbps的线速转发,每秒可以创建30万条以上的NAT会话,在2Gbps的NAT线速转发情况下,每秒仍然可以达到新建7万条的NAT会话,达到200万条的并发NAT会话,内嵌防火墙功能,具有强大的设备自身抗攻击功能。而从NPE50在我校网络出口实际使用的情况来看,确实大大提升了我校网络出口的流量和效能(见图2所示)。 　　 　　3.策略部署和优化直接影响访问效率 　　在长期监控网络运行的过程中,我们发现设备的高性能是必须的,同时也是网络出口正常稳定运行的基础。此外策略部署也是至关重要的,直接影响着出口数据的访问效率。尤其在当前CERNET与其他ISP线路之间的互联带宽还不高,国际访问同样存在带宽瓶颈的情况下,教育网用户对电信、网通资源以及国外网站的访问速度都比较慢。但是,我们能够通过一定的技术手段和合理的策略部署,最终实现校园网出口的高速访问。 　　(1)多重策略部署,加速校园网出口流量 　　策略路由是路由器的一项扩展功能,路由器的许多平台对这项功能有较好的支持。它不仅能以目的地址为依据来进行路由选择,还可以根据数据包源地址、数据包大小等条件来选择路由。策略路由的配置通常包括以下几个步骤: 　　①定义路由映射来控制数据包的出口; 　　②为定义的路由映射设置匹配标准; 　　③为与给定标准相符的数据包设定路由器处理行为,选择路由路径; 　　④为需要进行策略路由的端口指定相应的策略路由; 　　⑤设置相应的访问控制列表作为路由映射的匹配标准。 　　基于目的地址的策略路由是大家最熟悉也是最为常用的一种策略。这种策略的效果就是大家所熟知的“访问教育网的走教育网线路,访问电信资源走电信线路”。但是实际上还可以更进一步,考虑更细致一些。比如,我们称之为多重策略,即:通过在核心交换机启用一次基于源地址或者基于协议的策略选路,进行第一次分流,将老师和学生的流量进行有效的区分。这样的好处是可以避免办公流量受到学生访问流量的干扰,同时还可以起到一定的分流效果。在NPE上NAT