隨著(zhù)我國高校的逐年擴招與互聯(lián)網(wǎng)應用的飛速發(fā)展,導致高校校園網(wǎng)流量增長(cháng)迅速,網(wǎng)絡(luò )基礎設施正在從千兆向萬(wàn)兆改造,特別是對出口帶寬的擴容需求迫切。高校網(wǎng)絡(luò )除了接入教育網(wǎng)外,為了保障出口的可靠性,也會(huì )租用不同電信運營(yíng)商(比如中國電信、中國聯(lián)通、中國移動(dòng)、電信通等)的鏈路連接到Internet,于是就形成了校園網(wǎng)多鏈路出口的局面。那么,當校園網(wǎng)流量到達出口的時(shí)候,報文該如何選擇出口并進(jìn)行轉發(fā)呢?
高校網(wǎng)絡(luò )出口流量分擔核心訴求
校園網(wǎng)用戶(hù)的網(wǎng)絡(luò )體驗是首要的考慮因素。在當前的網(wǎng)絡(luò )機構中,雖然教育網(wǎng)與互聯(lián)網(wǎng)是聯(lián)通的,但是教育網(wǎng)與運營(yíng)商以及各大運營(yíng)商網(wǎng)絡(luò )之間的流量轉發(fā)是存在帶寬限制的,這一客觀(guān)事實(shí)便導致跨網(wǎng)訪(fǎng)問(wèn)延時(shí)大、網(wǎng)絡(luò )慢的上網(wǎng)感受。由于教育網(wǎng)是專(zhuān)門(mén)面向教育和科研單位的互聯(lián)網(wǎng)絡(luò ),聯(lián)通了幾乎所有高校,擁有豐富的教學(xué)科研類(lèi)的資源。而互聯(lián)網(wǎng)相對教育網(wǎng)來(lái)講,可以看作為“公網(wǎng)”,擁有更多生活娛樂(lè )類(lèi)的資源。隨著(zhù)網(wǎng)絡(luò )的發(fā)展,教育網(wǎng)和公網(wǎng)的資源呈現融合互補的一個(gè)趨勢。此外,教育網(wǎng)除了提供教育與科研相關(guān)的資源以外,還對國內各大門(mén)戶(hù)網(wǎng)站等主流互聯(lián)網(wǎng)資源進(jìn)行了鏡像,為校園網(wǎng)用戶(hù)提供便捷的訪(fǎng)問(wèn)。然而,仍然有眾多的公網(wǎng)應用與資源在電信、聯(lián)通甚至國外網(wǎng)絡(luò )中。此時(shí)校園網(wǎng)用戶(hù)訪(fǎng)問(wèn)外部網(wǎng)絡(luò )資源的出口選路問(wèn)題尤為突出。另一方面,也會(huì )出現從公網(wǎng)訪(fǎng)問(wèn)校園網(wǎng)內部的情況,如學(xué)校/院系網(wǎng)站、遠程教育、圖書(shū)館資源以及遠程辦公/訪(fǎng)問(wèn)。良好的網(wǎng)絡(luò )體驗需要保證校園網(wǎng)與公網(wǎng)之間雙向訪(fǎng)問(wèn)的用戶(hù)上網(wǎng)感受。
其次,對校園網(wǎng)的多出口鏈路要物盡其用,盡量保證各條鏈路的使用效率,最大限度的為校園網(wǎng)業(yè)務(wù)提供可靠的運行環(huán)境。如果某條鏈路過(guò)載,而其他鏈路過(guò)閑,就是對鏈路帶寬資源的浪費。同時(shí),由于不同運營(yíng)商鏈路的租金通常是存在差異的,當租金較高的鏈路承載過(guò)多的出口流量時(shí),勢必會(huì )造成一定程度的成本提升。
智能選路破解多出口流量分擔的窘境
智能選路是按照預設策略在校園網(wǎng)出口將流量自動(dòng)的在各條鏈路上進(jìn)行合理的分配處理,實(shí)際上這正是鏈路負載均衡的核心要義。智能選路包含了一系列相關(guān)的功能,根據不同的實(shí)際需求,設置不同的出口鏈路選擇策略。按照原理可以將智能選路方式大致劃分為兩大類(lèi):基于流量分擔與基于業(yè)務(wù)保障。
基于流量分擔的選路策略主要目的是更有效的將從校園網(wǎng)內部到外部流量在出口的多條鏈路上進(jìn)行均衡和分擔,包括:等價(jià)路由、基于鏈路帶寬的選路和基于鏈路權重的選路。
等價(jià)路由
等價(jià)路由是一種基本選路策略,通過(guò)靜態(tài)路由實(shí)現將出口多條鏈路設置成為相同的優(yōu)先級,當校園網(wǎng)內部流量到達出口時(shí),報文被隨機分配到各個(gè)鏈路上進(jìn)行轉發(fā);
基于鏈路帶寬的選路
由于運營(yíng)商的鏈路租用費用是根據帶寬大小而增長(cháng)的,因此校園網(wǎng)所租用的鏈路帶寬都是有上限的,如100M、200M等。基于鏈路帶寬的選路策略通過(guò)對出口的每條鏈路設定一個(gè)最大允許通過(guò)流量的閥值,當經(jīng)由某個(gè)特定出口鏈路的流量到達閥值時(shí),那么后續的流量就不再從該出口轉發(fā),而由其他流量尚未飽和的鏈路承擔;
基于鏈路權重的選路
既然鏈路的帶寬有大小之分,那么可以依據各自吞吐能力情況,給不同鏈路設定一個(gè)權重,然后出校園網(wǎng)的流量即可按照權重在出口鏈路上進(jìn)行分配處理,例如當存在兩條鏈路時(shí),A鏈路帶寬為200M權重為60%,則帶寬為100M的B鏈路權重為40%,流量便可以按照所設比例進(jìn)行分擔處理;
透明DNS代理
互聯(lián)網(wǎng)上很多的資源與服務(wù)在各運營(yíng)商的網(wǎng)絡(luò )中都存在鏡像或者服務(wù)器托管,因此所使用的IP地址都是由所屬運營(yíng)商分配的,某種意義上就是將服務(wù)器劃分為電信服務(wù)器、聯(lián)通服務(wù)器或者移動(dòng)服務(wù)器。如果校園網(wǎng)用戶(hù)是默認配置的特定運營(yíng)商的本地DNS服務(wù)器,那么在進(jìn)行域名解析查詢(xún)的時(shí)候,極有可能返回的是同一個(gè)運營(yíng)商的服務(wù)器地址,也就十分容易造成該出口鏈路擁堵、其他出口鏈路使用不均的情況。針對此問(wèn)題,校園網(wǎng)出口可啟動(dòng)透明DNS代理機制,在正式訪(fǎng)問(wèn)之前即進(jìn)行域名查詢(xún)的時(shí)候,由透明DNS代理選擇向某個(gè)運營(yíng)商的本地DNS服務(wù)器發(fā)送解析請求,在查詢(xún)階段完成對流量的選路引導。此后用戶(hù)收到相應服務(wù)器地址,后續訪(fǎng)問(wèn)數據報文到達出口便能夠選擇服務(wù)器所屬運營(yíng)商的出口鏈路轉發(fā)。
基于業(yè)務(wù)保障的選路策略不單關(guān)注從校園網(wǎng)訪(fǎng)問(wèn)外部網(wǎng)絡(luò )的流量,而且對從互聯(lián)網(wǎng)進(jìn)入校園網(wǎng)的流量也加以考慮,側重點(diǎn)在于盡可能優(yōu)化網(wǎng)絡(luò )的轉發(fā)過(guò)程,降低跨網(wǎng)訪(fǎng)問(wèn)的影響,同時(shí)進(jìn)一步提升校園網(wǎng)高價(jià)值業(yè)務(wù)的用戶(hù)體驗。
基于ISP的選路
在現有IP地址的分配規則下,每個(gè)運營(yíng)商都會(huì )有各自IP地址網(wǎng)段,互不沖突,于是可在校園網(wǎng)出口預先配置各運營(yíng)商公網(wǎng)地址池,訪(fǎng)問(wèn)互聯(lián)網(wǎng)的數據流可按照目的地址選擇相應所屬運營(yíng)商鏈路作為出口;
鏈路鎖定
鏈路鎖定適用兩種場(chǎng)景,第一由校園網(wǎng)內部主動(dòng)向外部發(fā)起訪(fǎng)問(wèn)時(shí),首個(gè)出校園網(wǎng)的報文從A鏈路接口出去,但發(fā)現該會(huì )話(huà)的回程報文是從B鏈接接口進(jìn)入的,此時(shí)網(wǎng)絡(luò )出口設備可認定為B鏈路相對A鏈路是最優(yōu)的,接下的出校園網(wǎng)會(huì )話(huà)報文更改出口,從B鏈路統一轉發(fā);另一種場(chǎng)景為互聯(lián)網(wǎng)主動(dòng)訪(fǎng)問(wèn)校園網(wǎng)內部,首個(gè)進(jìn)校園網(wǎng)的報文從A鏈路接口接入,但響應報文到達出口時(shí)按照既定路由策略會(huì )選擇B鏈路接口作為出口,既然訪(fǎng)問(wèn)會(huì )話(huà)發(fā)起報文是從A鏈接進(jìn)入,出口設備可判定為A鏈路為最優(yōu)路徑,為了保證鏈路一致性,更改響應報文從A鏈路接口原路返回;
出口鏈路探測
互聯(lián)網(wǎng)是全聯(lián)通的,達到同一目的地允許存在多條路徑,然而,每條路徑花費的代價(jià)和延時(shí)卻不盡相同。高校網(wǎng)絡(luò )出口設備應該能夠探測出口鏈路健康狀態(tài),選擇延時(shí)較低的出口鏈路轉發(fā)流量;
基于應用的策略路由
與運營(yíng)商城域網(wǎng)類(lèi)似,校園網(wǎng)中同樣充斥著(zhù)大量P2P流量。這些流量匯聚到網(wǎng)絡(luò )出口不僅要占據大部分帶寬,更嚴重的情況是P2P流量搶占高校辦公、視頻會(huì )議、遠程教育等主要業(yè)務(wù)的出口資源,降低重要業(yè)務(wù)傳輸的可靠性。因此,校園網(wǎng)出口要求能夠識別數據流中所承載的業(yè)務(wù)應用,按照業(yè)務(wù)類(lèi)型區分不同出口鏈路進(jìn)行轉發(fā),例如將P2P流量分配到租金相對便宜的鏈路,而對于高價(jià)值業(yè)務(wù)使用專(zhuān)享鏈路,保障其帶寬;
智能DNS
校園網(wǎng)內部同一個(gè)服務(wù)器通常映射到多個(gè)運營(yíng)商網(wǎng)絡(luò )中,服務(wù)器使用的公網(wǎng)地址也分屬各自運營(yíng)商,主要原因正是為了方便互聯(lián)網(wǎng)用戶(hù)的訪(fǎng)問(wèn)。盡管如此,現實(shí)網(wǎng)絡(luò )中仍然會(huì )發(fā)生用戶(hù)得到的服務(wù)器地址并非自身所屬運營(yíng)商的現象,例如由于DNS解析過(guò)程不區分IP地址屬性,電信用戶(hù)訪(fǎng)問(wèn)校園網(wǎng)服務(wù)器,發(fā)送域名查詢(xún)請求,用戶(hù)所獲得的響應IP地址卻為服務(wù)器在聯(lián)通網(wǎng)絡(luò )中使用的IP地址,訪(fǎng)問(wèn)報文也就會(huì )經(jīng)過(guò)跨網(wǎng)轉發(fā)后再到達服務(wù)器,網(wǎng)絡(luò )延時(shí)增大。如果高校網(wǎng)絡(luò )出口設備具備智能DNS能力,實(shí)時(shí)捕獲DNS解析響應報文,將服務(wù)器IP地址更改成與互聯(lián)網(wǎng)用戶(hù)相同運營(yíng)商的地址,就可以讓電信用戶(hù)通過(guò)電信網(wǎng)絡(luò )直接訪(fǎng)問(wèn)校園網(wǎng)內部服務(wù)器。
上述內容簡(jiǎn)要解釋了智能選路相關(guān)的主要機制,每種機制又對應各自實(shí)際的應用場(chǎng)景。基本上基于流量分擔的選路策略雖然能夠將流量基本均勻在多條鏈路上分擔處理,不過(guò)卻不能考慮報文的目的地址是聯(lián)通的或者電信的,也就是有可能將本應發(fā)往電信網(wǎng)絡(luò )的報文選擇到了聯(lián)通的出口鏈路,這樣便發(fā)生跨網(wǎng)轉發(fā)的問(wèn)題。現網(wǎng)情況下,智能選路的相關(guān)各種機制并非獨立存在,可以根據具體使用情況形成組合策略,這樣既可最大限度的降低網(wǎng)絡(luò )延遲,保障用戶(hù)網(wǎng)絡(luò )體驗,也能平衡各條租用鏈路的投入產(chǎn)出比與使用效率。
通常,高校網(wǎng)絡(luò )在出口都會(huì )部署防火墻或者安全網(wǎng)關(guān),將校園網(wǎng)與外部網(wǎng)絡(luò )進(jìn)行隔離,而且針對各高校IPv4公網(wǎng)地址的數量差異,對于訪(fǎng)問(wèn)互聯(lián)網(wǎng)的流量還要進(jìn)行NAT(Network Address Translation,地址翻譯)轉換。此時(shí),為了簡(jiǎn)化組網(wǎng)復雜度,避免出口多種功能設備的串聯(lián),防火墻就成為承擔智能選路重任的最佳設備。
華為USG9500高性能防火墻在滿(mǎn)足了高校萬(wàn)兆網(wǎng)絡(luò )改造、安全隔離、NAT及IPv6安全需求外,已經(jīng)全面支持智能選路特性,為高校數字化、信息化的飛速發(fā)展做好了充分準備。
