純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索

純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索南京大學(xué)網(wǎng)絡(luò)信息中心劉建峰ljf@2023/1/13純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索總體介紹以校園網(wǎng)的架構(gòu)模式及管理模式為研究對象，分析了目前校園網(wǎng)的架構(gòu)現(xiàn)狀及存在問題，提出了扁平化校園網(wǎng)架構(gòu)模式與精細(xì)化校園網(wǎng)管理方法，以及在南京大學(xué)校園網(wǎng)建設(shè)中的應(yīng)用。伴隨IT技術(shù)的不斷發(fā)展、CNGI項目的快速推進，高校針對校園網(wǎng)絡(luò)應(yīng)用需求正在不斷更新，傳統(tǒng)校園網(wǎng)架構(gòu)與管理模式正逐步呈現(xiàn)出許多難以應(yīng)對的難題：攻擊與ARP類病毒的困擾，IPv4地址管理困難，無法實現(xiàn)用戶的精細(xì)化管理，原有相當(dāng)數(shù)量網(wǎng)絡(luò)設(shè)備無法支持IPv6協(xié)議，更無法實現(xiàn)校園網(wǎng)絡(luò)IPv6的組播，有線無線難于統(tǒng)一認(rèn)證與雙棧開通、無線網(wǎng)絡(luò)的用戶控制等等；因此，探索一個全新的校園網(wǎng)絡(luò)架構(gòu)體系以及相應(yīng)的管理模式是目前高校網(wǎng)絡(luò)管理者必須面對的一個緊迫課題。2023/1/132純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索傳統(tǒng)架構(gòu)目前絕大多數(shù)高校校園網(wǎng)采用的是已交換技術(shù)為主的經(jīng)典三層組網(wǎng)架構(gòu)，分核心、匯聚、接入三層面組成，各層分別實現(xiàn)不同的業(yè)務(wù)功能。其中，接入層負(fù)責(zé)用戶的接入，相互的隔離，速率的限制，802.1X等接入功能的實現(xiàn)，DHCP偵聽和ARP動態(tài)檢測（避免ARP攻擊），雙棧組播控制與分發(fā)等；匯聚層負(fù)責(zé)用戶的三層終結(jié)、路由，ACL、QoS功能實現(xiàn)，雙棧組播控制與分發(fā)；核心層負(fù)責(zé)全校（或校際）數(shù)據(jù)的高速路由數(shù)據(jù)交換，ACL、QoS功能實現(xiàn)，雙棧組播控制與分發(fā)等。2023/1/133純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索組網(wǎng)模式2023/1/134純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索從組網(wǎng)模式可以看出：每個層面都在做用戶雙棧業(yè)務(wù)的接入和控制，協(xié)調(diào)實現(xiàn)部分的功能；核心層相對能力強的設(shè)備，功能相對弱化；越靠近用戶接入邊緣的設(shè)備，數(shù)量最多，功能要求卻很多，加上資金的限制，不可能具有較高的性能；此前建設(shè)并仍在運行的接入設(shè)備，大部分不支持IPv6協(xié)議，更談不上對組播的支持；不同的用戶、應(yīng)用沒有有效的隔離措施和保障手段，導(dǎo)致相互的干擾影響；隨著規(guī)模擴大，功能的疊加，校園網(wǎng)中設(shè)備的穩(wěn)定性、可靠性大幅降低，管理維護壓力越來越大。會在校園網(wǎng)里頻頻發(fā)生此類現(xiàn)象：處理一個故障往往涉及多個層面的多個設(shè)備；出現(xiàn)問題后，很難定位，恢復(fù)時間較長；出問題最多，維護工作量最大的是接入層、匯聚層；難以部署新功能新應(yīng)用，IPv6多點組播性能較低等問題；難以實現(xiàn)細(xì)致的管理和控制。2023/1/135純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索扁平化架構(gòu)參考運營商大規(guī)模網(wǎng)絡(luò)發(fā)展的經(jīng)驗，網(wǎng)絡(luò)架構(gòu)正從復(fù)雜化的多層架構(gòu)向扁平化架構(gòu)方向發(fā)展。扁平化的架構(gòu)模式并非必須或一定就是物理聯(lián)接層次上的減少，而是指網(wǎng)絡(luò)邏輯層次的簡化。扁平化的網(wǎng)絡(luò)有著更高的效率也更有利于管理。2023/1/136純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索扁平化組網(wǎng)模式2023/1/137純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索扁平化的架構(gòu)的優(yōu)勢：將原先各個層次模糊的功能區(qū)分清晰化，各司其職，有利于管理、維護和業(yè)務(wù)的部署；實現(xiàn)用戶、業(yè)務(wù)控制的集中化由能力最強、功能最豐富的核心設(shè)備提供集中的業(yè)務(wù)控制和管理，在提供功能和業(yè)務(wù)時，發(fā)揮核心設(shè)備的高性能、穩(wěn)定性、可靠性等優(yōu)勢；匯聚、接入設(shè)備一般只需提供基本的二層VLAN隔離功能（充分保護了原有低端設(shè)備的建設(shè)投資），不涉及到業(yè)務(wù)功能，因此部署新的業(yè)務(wù)和功能時，無需考慮其是否支持，也無需考慮設(shè)備型號，有利于降低數(shù)量眾多的匯聚/接入層設(shè)備投資；功能劃分清晰后，整個網(wǎng)絡(luò)更有利于擴展，核心層設(shè)備性能很強，對新功能新業(yè)務(wù)能夠提供良好的支持，匯聚層和接入層只需要考慮接入端口的擴充、上行帶寬的增加。2023/1/138純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索2023/1/139目前在南京大學(xué)，全網(wǎng)采用了以純路由為核心的兩層架構(gòu)模式，選用了以Juniper公司的MX960作為核心路由器，華為交換機作為匯聚交換機，神碼及H3C多廠商接入交換機作為接入，利用QinQ技術(shù)實現(xiàn)了扁平化架構(gòu)模式，并利用MX960實現(xiàn)精細(xì)化控制。用戶采用DHCP模式接入校園網(wǎng)，自動獲取IPv4/IPv6雙棧地址，然后通過BRAS撥號訪問校外網(wǎng)絡(luò)。純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索2023/1/1310純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索出口精細(xì)化管理我校目前有多條出口鏈路，采用負(fù)載均衡設(shè)備選路。針對部分服務(wù)器做智能DNS，進行訪問加速，優(yōu)化外部訪問質(zhì)量。在出口流量控制設(shè)備上針對不同的用戶群制定不同的策略（對P2P類應(yīng)用進行適當(dāng)抑制，對WEB訪問等常規(guī)應(yīng)用提供最小帶寬保證，對部分用戶進行連接數(shù)上限限制），保證教學(xué)科研的網(wǎng)絡(luò)質(zhì)量。在出口防火墻設(shè)備上除了進行常規(guī)控制外，對部分只需要訪問外網(wǎng)功能的用戶制定單向訪問策略，大大減少被攻擊、被肉雞的可能性。2023/1/1311純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索網(wǎng)絡(luò)設(shè)備精細(xì)化管理集合網(wǎng)絡(luò)管理系統(tǒng)，把校園網(wǎng)內(nèi)的可網(wǎng)管的交換機、路由器、無線等設(shè)備納入網(wǎng)絡(luò)管理綜合監(jiān)控平臺，定時輪巡采集數(shù)據(jù)，收集交換機工作狀態(tài)、CPU、鏈路流量等，并自動記錄交換機的中斷、恢復(fù)時間，方便故障回溯；采集數(shù)據(jù)，自動分析IP、MAC、端口對應(yīng)情況，并納入數(shù)據(jù)庫備查；采集交換機日志，只能分析交換機異常情況，包括cpu異常、網(wǎng)關(guān)沖突、回路檢測等。2023/1/1312純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索針對用戶的精細(xì)化用戶通過DHCP獲取地址的過程中，提供了用戶接入網(wǎng)絡(luò)的豐富的信息（用戶PC的接入時間、用戶PC所處的交換機端口、用戶PC的MAC地址、用戶PC獲取的IP地址），這些信息可以幫助網(wǎng)絡(luò)管理者準(zhǔn)確定位某臺PC在何時/從何處連接進網(wǎng)絡(luò)，上線/下線的時間，通過IP地址，可以明確直接地定位到用戶上網(wǎng)的地點，到終端，統(tǒng)計分析不同區(qū)域的用戶的網(wǎng)絡(luò)使用習(xí)慣，在存儲在數(shù)據(jù)庫中作為歷史記錄有據(jù)可查。2023/1/13132023/1/13142023/1/1315純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索針對用戶的精細(xì)化通過Netflow的采集和分析，能夠?qū)⒕W(wǎng)絡(luò)中大量的、不可識別的流量，統(tǒng)計分析成清晰的、基于源IP地址和目的IP地址間傳輸?shù)膯蜗驍?shù)據(jù)包流，每個數(shù)據(jù)流具有共同的傳輸層源、目的端口號，并且能夠統(tǒng)計數(shù)據(jù)流的流量信息，幫助管理者掌握校園網(wǎng)內(nèi)的流量特征和用戶行為特征，感知用戶的應(yīng)用類型和使用習(xí)慣，及時采取措施，應(yīng)對異常流量的攻擊。2023/1/1316純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索針對用戶的精細(xì)化由于全網(wǎng)采用了兩層的架構(gòu)，校園網(wǎng)絡(luò)管理員可以遠(yuǎn)程針對校園網(wǎng)內(nèi)的任意一個接入層交換機端口實施端口鏡像，針對特殊用戶問題，無需管理員趕赴現(xiàn)場排查，極大地方便了管理與服務(wù)。2023/1/1317純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索針對用戶的精細(xì)化路由器+QinQ可以實現(xiàn)多層次的用戶速率控制及權(quán)限控制的策略。在任意一個邏輯接口（等同一個物理接口）上實現(xiàn)速率限制、訪問權(quán)限控制，因此可以提供針對全校任意接入?yún)^(qū)域或用戶單獨的策略管理。針對全校的無線接入部分，盡管每個AP只能劃分在一個VLAN中，但由于策略是v針對無線用戶的，我們設(shè)置基于用戶的每個IP的速率控制，即便有用戶使用了P2P類高帶寬的應(yīng)用，仍然可以確保此AP提供上其他用戶的穩(wěn)定服務(wù)；能夠基于不同類型的用戶開放/關(guān)閉相應(yīng)的業(yè)務(wù)功能，由于AP的性能問題，可針對性關(guān)閉IPv4/IPv6multicast業(yè)務(wù)，僅開放單播業(yè)務(wù)。2023/1/1318純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索

該模式可以保障大量前期投入建設(shè)的不能支持IPv6協(xié)議特別是IPv6組播的普通交換機實現(xiàn)雙棧并組播功能。通過路由器進行IPv6組播信號的硬件復(fù)制和下發(fā)。2023/1/13192023/1/1320純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索

對于校園網(wǎng)內(nèi)的任意一個接入層交換機端口，都能夠在網(wǎng)絡(luò)核心提供基于邏輯接口的IPv6上下行速率限制2023/1/1321純路由兩層架構(gòu)校園網(wǎng)組網(wǎng)模式的探索南京大學(xué)改用