校園網(wǎng)網(wǎng)絡優(yōu)化及升級改造思路探討

車兆東，鄧擁軍，任愛鳳

(中國海洋大學 網(wǎng)絡與信息中心，山東 青島 266100)

一、引言

隨著網(wǎng)絡技術的不斷發(fā)展，人們對網(wǎng)絡也有著不同的需求和解決方案。一個網(wǎng)絡系統(tǒng)，無論當初的設計多么完善，隨著網(wǎng)絡技術和網(wǎng)絡設備的發(fā)展，以及對系統(tǒng)應用的深入和應用范圍的日漸擴大，在使用的過程會逐漸暴露出一些問題。在本刊2012年5月《中國海洋大學校園網(wǎng)現(xiàn)狀分析》一文中，我們對中國海洋大學校園網(wǎng)的現(xiàn)狀從網(wǎng)絡結構、核心設備、路由設置、安全設置等方面進行了詳細的論述，并對存在的問題進行了有效的分析。下面我們將就如何對現(xiàn)有的校園網(wǎng)進行網(wǎng)絡優(yōu)化及升級改造的思路進行一些探討。

二、網(wǎng)絡優(yōu)化及升級改造的設計原則

校園網(wǎng)的網(wǎng)絡優(yōu)化及升級改造不但要解決目前校園網(wǎng)中存在的問題，同時還要考慮以下幾個方面的技術要求：

（1）先進性和可擴充性。校園網(wǎng)絡應采用先進成熟的技術進行組網(wǎng)，能夠充分滿足現(xiàn)在及將來網(wǎng)絡及業(yè)務發(fā)展的需求，在未來幾年內(nèi)都不會過時，并且隨著需求的變化，可以進行適時的擴充。

（2）標準化和開放性。采用通用的國際標準和協(xié)議，不采用或盡量少采用廠家特有的產(chǎn)品和功能。

（3）可靠性。利用物理鏈路備份和動態(tài)路由協(xié)議實現(xiàn)路由備份和負載分擔，保證網(wǎng)絡互通性；關鍵部件冗余配置，保證單節(jié)點的可靠性；所有模塊具備熱插拔的功能；系統(tǒng)具備99.999%以上的可用性；網(wǎng)絡的結構設計應提供足夠的路由冗余功能。

（4）可管理性。采用統(tǒng)一的網(wǎng)絡及業(yè)務管理系統(tǒng)，支持故障管理、記賬管理、配置管理、性能管理和安全管理五大功能；支持系統(tǒng)級的管理，包括系統(tǒng)分析、系統(tǒng)規(guī)劃等；支持基于策略的管理，對策略的修改能夠立即反應到所有相關設備中。

（5）安全性。在設備選型上充分考慮設備抗攻擊的能力。

（6）擁塞控制與服務質(zhì)量保障。擁塞控制和服務質(zhì)量保障(QoS)是數(shù)據(jù)通信網(wǎng)的重要品質(zhì)，網(wǎng)絡必須能夠?qū)砣M行控制和對不同性質(zhì)數(shù)據(jù)流進行不同的處理。

（7）業(yè)務分類。要求網(wǎng)絡設備應支持4種以上業(yè)務分類。

（8）接入速率控制。接入校園網(wǎng)絡的業(yè)務應遵守其接入速率承諾，超過承諾速率的數(shù)據(jù)將被丟棄或標以最低的優(yōu)先級。

（9）通信協(xié)議的支持。設備應具有服務營運級別的網(wǎng)絡通信軟件和網(wǎng)際操作系統(tǒng)；以支持TCP/IP協(xié)議為主；支持RIPv2、OSPF、IS-IS等多種國際標準的域內(nèi)路由協(xié)議；支持BGP-4等標準的域間路由協(xié)議，保證與其他IP網(wǎng)絡的可靠互聯(lián)；支持MPLS標準及相關應用；應支持豐富的組播協(xié)議。

三、網(wǎng)絡優(yōu)化及升級改造的目標

在現(xiàn)有網(wǎng)絡的基礎上向著高性能、精細化和易管理的方向發(fā)展，主要達到以下六個方面的目標：

（1）合理的網(wǎng)絡結構。通過校園網(wǎng)的整合改造，形成合理的校園網(wǎng)絡架構，提供穩(wěn)定、可靠、高效和靈活的業(yè)務承載平臺，滿足學校多業(yè)務多應用的需求。

（2）先進性和實用性。網(wǎng)絡設計應本著實用與先進的原則，一方面能滿足校園網(wǎng)應用系統(tǒng)的數(shù)據(jù)傳輸要求，為各信息點提供網(wǎng)絡傳輸服務；另一方面又要體現(xiàn)網(wǎng)絡系統(tǒng)的先進性。在網(wǎng)絡設計中要把先進的技術與現(xiàn)有的成熟技術結合起來，充分考慮到校園網(wǎng)絡應用的現(xiàn)狀和未來發(fā)展趨勢。

（3）網(wǎng)絡的可擴展性。由于業(yè)務的發(fā)展，對校園網(wǎng)的需求是不斷變化的，面對不斷變化的需求，網(wǎng)絡應當能夠做出快速和有效的反應。

（4）網(wǎng)絡的可靠性。網(wǎng)絡系統(tǒng)的穩(wěn)定可靠是校園網(wǎng)絡各個應用系統(tǒng)正常運行的保證，應采用高可靠性的網(wǎng)絡產(chǎn)品和完備的網(wǎng)絡備份策略，對于不同層次的設備和線路進行不同級別的可靠性設計，使網(wǎng)絡具有故障自愈的能力。

（5）網(wǎng)絡的標準化。網(wǎng)絡設計中所用的各種管理信令、接口規(guī)程、協(xié)議須符合國際標準。網(wǎng)絡技術選擇采用開放的標準技術，并且要有適度的前瞻性。選用的網(wǎng)絡技術必須具備開放性和通用性，能與多廠家、多品牌設備互連互通。

（6）網(wǎng)絡的可管理性。隨著網(wǎng)絡規(guī)模的不斷擴大和網(wǎng)絡路由配置、安全措施日益復雜，網(wǎng)絡的維護量隨之增加，整個網(wǎng)絡的可管理性變得尤為重要。因此，校園網(wǎng)網(wǎng)絡運行維護管理應當具有統(tǒng)一的網(wǎng)絡管理平臺，不僅實現(xiàn)對網(wǎng)絡設備的管理，同時實現(xiàn)對網(wǎng)絡策略的管理和不同協(xié)議的多級維護。

四、網(wǎng)絡優(yōu)化及升級改造的內(nèi)容

目前，中國海洋大學的校園網(wǎng)絡由嶗山校區(qū)、魚山校區(qū)和浮山校區(qū)三個校區(qū)網(wǎng)絡組成。升級改造后的網(wǎng)絡拓撲如圖1所示。

圖1 升級改造后校園網(wǎng)拓撲結構

1.校園網(wǎng)核心設備升級

改變現(xiàn)有用戶管理模式，從基于客戶端軟件的802.1X認證的管理模式逐步轉變到基于PPPOE/IPOE的用戶管理模式，由分散式管理轉為集中式管理，降低管理難度。

（1）設備性能的要求

校園網(wǎng)核心設備的升級改造不能僅僅是單純地更換一臺更高性能的核心設備，關鍵是更換了核心設備后，能夠為校園網(wǎng)增加更多的功能，并且能夠滿足未來幾年的發(fā)展需求。

核心設備要求具有3T以上的吞吐率、960Mpps的包轉發(fā)率，配置的所有板卡能夠?qū)崿F(xiàn)線速轉發(fā)，在同時處理大量ACL（訪問控制列表）條目（5000以上）、開啟URPF（單播反向路由檢測）、流量采集（net flow）、端口限速、端口鏡像（port mirror）等功能時，設備仍然具有良好的性能，同時對組播具有良好的支持能力。

（2）用戶管理功能的要求

為了實現(xiàn)管理的簡單化，將現(xiàn)有的802.1X的認證計費方式逐步過渡到PPPOE方式或IPOE方式。

與802.1X計費方式相比，PPPOE具有以下優(yōu)勢：①串在網(wǎng)絡里的計費網(wǎng)關可以旁掛做認證和計費服務器，一勞永逸地解決了性能瓶頸的問題，而改成使用高性能網(wǎng)絡設備做用戶終結，極大提升學校核心設備的轉發(fā)能力與高可靠性；②不再使用專用客戶端，直接使用Windows系統(tǒng)自帶的撥號功能，即可完成撥號認證，簡化客戶端管理；③從分散式管理到集中式管理，IT運維人員只需要管理兩臺核心設備和計費系統(tǒng)，降低管理費用；④接入交換機僅僅需要普通的傻瓜交換機，能劃分VLAN就可以，不再需要支持802.1X的交換機，降低更換交換機的成本。

在部署時，接入交換機與匯聚交換機直接二層Trunk打通到核心層設備。所有的用戶管理功能全部集中到一臺或兩臺核心設備。當內(nèi)網(wǎng)PC需要上網(wǎng)時，需要建立PPPOE連接，輸入用戶名和密碼，認證通過后，給PC分配IP地址，此時后臺AAA數(shù)據(jù)庫會產(chǎn)生用戶名、IP、VLAN-ID、時長等數(shù)據(jù)的表項，通過后臺計費系統(tǒng)可以對用戶進行管理。

（3）多業(yè)務安全性的要求

某些承載于校園網(wǎng)上的學校信息系統(tǒng)由于業(yè)務本身的安全需求，要求與網(wǎng)上其他的訪問流量進行安全隔離。除了采取VLAN劃分、ACL訪問控制這些安全措施，未來的校園網(wǎng)絡必須在業(yè)務接入、業(yè)務隔離、業(yè)務安全、業(yè)務技術支持等各項內(nèi)容上加強功能支持。

MPLS VPN是一種利用多協(xié)議標簽交換 （MPLS）技術來產(chǎn)生虛擬專網(wǎng)的方法，是一種在運營商網(wǎng)絡中成熟使用的方法，可以實現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語音、圖像多業(yè)務通信，既能保證業(yè)務的安全隔離，又能保證業(yè)務的服務質(zhì)量。

MPLS VPN可基于IP網(wǎng)絡結構開啟橫向或縱向的VPN網(wǎng)絡，通過啟用MPLS VPN技術，實現(xiàn)多套子網(wǎng)VPN的接入和隔離。橫向上通過MPLS L3 VPN（一種基于路由方式的MPLS VPN解決方案）實現(xiàn)子網(wǎng)VPN內(nèi)部（一個業(yè)務子網(wǎng)內(nèi)）各區(qū)域（各學科院）路由的相互導入，從而完成其內(nèi)部的報文數(shù)據(jù)轉發(fā)。在縱向上，還可以結合數(shù)據(jù)中心服務器區(qū)域建立縱向VPN業(yè)務的互通。另外可將分布在全校范圍的保安、監(jiān)控、校園智能卡等業(yè)務“VPN化”，將其安全獨立地運行于其自有內(nèi)部業(yè)務中，建立虛擬化的多個獨立網(wǎng)絡。

部署新的核心設備后，可以開啟MPLS L3 VPN功能，把校園智能卡系統(tǒng)的Client機、校園智能卡Server從現(xiàn)有網(wǎng)絡里虛擬出來，路由表獨立，其他業(yè)務不會影響到校園智能卡業(yè)務，邏輯上來看，校園智能卡業(yè)務就是單獨的一套網(wǎng)絡。這樣做既保證了關鍵業(yè)務的安全性，又節(jié)省了資金，降低管理費用和管理難度。

對于校園網(wǎng)中可能存在的一些特殊的應用，如異地部署的虛擬化遷移技術，要求分布在不同校區(qū)的兩個網(wǎng)段之間實現(xiàn)二層的網(wǎng)絡互聯(lián)。通過基于標簽交換的VPLS功能，可以在以路由器為骨干的核心網(wǎng)上模擬出一個二層的數(shù)據(jù)通道，提供這些節(jié)點之間點到點或多點之間的虛擬LAN VPN功能。

2.數(shù)據(jù)中心網(wǎng)絡升級改造

數(shù)據(jù)中心網(wǎng)絡的升級改造不僅僅要滿足現(xiàn)階段數(shù)據(jù)中心接入需求，也要滿足未來虛擬化、云計算環(huán)境中數(shù)據(jù)中心接入需求；同時，數(shù)據(jù)中心也是校園網(wǎng)內(nèi)所有信息系統(tǒng)的承載區(qū)域，數(shù)據(jù)中心的高性能和健全的安全防護措施是全校各業(yè)務系統(tǒng)高效運行的保障。

（1）數(shù)據(jù)中心基礎架構部署

目前，學校有大約100臺服務器，全部為千兆端口。隨著技術的發(fā)展，萬兆接口價格的下降，萬兆接口服務器數(shù)量會有突發(fā)式增長，而且服務器虛擬化技術將大量應用于數(shù)據(jù)中心。數(shù)據(jù)中心服務器物理數(shù)量雖然在減少，但是邏輯虛擬服務器的數(shù)量卻在線性增加。為了滿足學?，F(xiàn)有數(shù)據(jù)中心接入需求，同時滿足未來幾年內(nèi)虛擬機及10GE接口服務器的大量使用，數(shù)據(jù)中心應參照圖2所示的模式進行網(wǎng)絡部署：

圖2 數(shù)據(jù)中心網(wǎng)絡部署

使用TOR（Top of Rack）的接入手段部署接入交換機，方便布線，減少布線成本及施工難度。嶗山校區(qū)中心機房中每個橫排6個機柜共享部署兩臺交換機做冗余，服務器雙上聯(lián)，分別連接到兩臺接入交換機。為了管理更少的交換機，可以使用帶有虛擬機箱功能的數(shù)據(jù)中心接入交換機，通過專用集群接口，把多臺交換機邏輯虛擬成為一臺，而學校整個數(shù)據(jù)中心最多只需要管理兩臺接入交換機，極大地降低管理費用。同時，為了提高數(shù)據(jù)中心接入交換機的可靠性及性能，數(shù)據(jù)中心接入交換機應使用萬兆上聯(lián)接口，雙電源。

兩臺數(shù)據(jù)中心匯聚交換機，要求能夠支持高密度萬兆，不但可以滿足所有數(shù)據(jù)中心接入交換機的匯聚連接，同時也可以滿足萬兆服務器的直接接入提供。數(shù)據(jù)中心匯聚交換機要具有未來大量萬兆服務器的接入擴展能力，也要具有40GE甚至100GE的支持能力。

（2）數(shù)據(jù)中心物理服務器安全部署

數(shù)據(jù)中心采取旁路部署防火墻來保證安全，雖然物理上防火墻是旁路部署，但是邏輯上，防火墻還是串接在鏈路上。旁路部署防火墻除了可以對內(nèi)網(wǎng)的各個VLAN做細粒度的控制，也具有較好的擴展性。當發(fā)現(xiàn)一組防火墻的性能不能滿足需求時，可以通過增加一組防火墻旁掛來提升性能。服務器與服務器之間互訪需要穿越防火墻，受到防火墻保護。

為了滿足性能，解決防火墻的瓶頸問題，數(shù)據(jù)中心防火墻選擇萬兆防火墻。防火墻采取HA部署，當一臺防火墻出現(xiàn)問題，另一臺會馬上接管，可以做到Session不中斷。

（3）數(shù)據(jù)中心虛擬服務器安全

學校未來數(shù)據(jù)中心要采用虛擬化技術，在一個實體物理服務器內(nèi)的各個VM之間透過內(nèi)部虛擬交換機V-Switch進行通信，而這些流量完全是在內(nèi)部交互完成，將無法為外部的實體物理防火墻或者其他安全設備所見，數(shù)據(jù)中心設備必須具有VM之間的流量控制與監(jiān)測的能力。

3.校園網(wǎng)出口升級

升級現(xiàn)有的Cisco 7609路由器和Juniper MX960路由器，使它們具有冗余的硬件配置，相應的萬兆接入能力。兩臺設備同時作為出口路由器，Juniper MX960為校園網(wǎng)的主出口路由器，Cisco 7609路由器為青島節(jié)點的主接入路由器，兩臺設備互為備份，當其中的某臺設備出現(xiàn)故障時，另一臺設備能接管工作，提高校園網(wǎng)和青島節(jié)點的出口可靠性。

在安全措施方面，核心設備與出口路由器之間串聯(lián)防火墻，作為出口防火墻，必須滿足以下功能：支持策略路由和大容量路由表；訪問控制；DDOS防御；大容量NAT；輸出NAT的LOG，滿足安全部門的要求。

部署防火墻時，為了解決單點故障，建議部署兩臺，組成HA，同時Session實時備份，當主防火墻出現(xiàn)問題，備份防火墻馬上接管，Session不會中斷。

4.IP地址規(guī)劃

為便于進行設備管理、路由協(xié)議及流量控制，必須在網(wǎng)絡升級改造實施前進行有效合理的IP地址規(guī)劃。IP地址規(guī)劃的基本原則是唯一性、連續(xù)性和可擴展性。在校園網(wǎng)中，涉及Loopback地址、互聯(lián)IP地址、業(yè)務VPN內(nèi)IP地址、用戶接入IP地址四種類型。

（1）Loopback地址。為每一臺設備創(chuàng)建一個Loopback接口，并在該接口上單獨指定一個IP地址作為管理地址；使用32位掩碼的地址作為Loopback地址；Loopback地址也作為Router-ID參與各種路由協(xié)議計算。

（2）互聯(lián)地址。兩臺或多臺網(wǎng)絡設備互連接口使用的地址，一般在點到點鏈路上使用/30掩碼，設備互聯(lián)地址沿用原有互聯(lián)地址，新增設備時，按照原有互聯(lián)地址順序使用；相對核心的設備，使用較小的一個地址；互聯(lián)地址通常在聚合后發(fā)布，規(guī)劃使用連續(xù)的可聚合地址。

（3）業(yè)務VPN內(nèi)IP地址。采用VPN技術邏輯隔離后的各業(yè)務系統(tǒng)IP地址，包括各種服務器、主機、網(wǎng)關；網(wǎng)關設備使用該網(wǎng)絡里最大的地址；校園智能卡系統(tǒng)使用原IP網(wǎng)段，通過VPN隔離。

（4）用戶接入IP地址。學校現(xiàn)有公網(wǎng)IP地址192個C類，其中一個C類地址為青島節(jié)點互聯(lián)使用。為了統(tǒng)一管理，提高IP地址使用效率，規(guī)劃全部采用DHCP動態(tài)分配。

5.VLAN規(guī)劃

VLAN的部署建議使用QINQ技術，也叫VLAN嵌套技術，使用QINQ技術可以做到每個用戶一個VLAN，方便管理，能夠解決各種二層攻擊行為。部署方式為將每個接入交換機的每個接入端口劃分到不同的VLAN，同時匯聚交換機要支持QINQ技術，匯聚交換機在上聯(lián)核心時打上外層標簽，然后核心層設備解開雙層標簽，完成轉發(fā)。

6.路由規(guī)劃

（1）接入用戶子網(wǎng)IGP路由

校園網(wǎng)內(nèi)部網(wǎng)關協(xié)議使用OSPF協(xié)議實現(xiàn)IPv4/IPv6路由互通，在核心設備上面實現(xiàn)IP地址匯總路由，根據(jù)DHCP POOL地址進行規(guī)劃和路由分發(fā)。

由于OSPF鏈路的Metric值的設置對于路由選擇的正確性至關重要，直接影響到某節(jié)點對第一和第二路由的選擇（不考慮MPLS的決定因素），因此需要根據(jù)具體要求對各鏈路的Metric值做出合理的設置。對于各條鏈路的Metric值一經(jīng)設定，一般情況下不作修改。OSPF區(qū)域規(guī)劃為：

1）嶗山校區(qū)、浮山校區(qū)、魚山校區(qū)的核心劃分到OSPF Area0骨干區(qū)域中。

2）各個校區(qū)核心交換機下聯(lián)的區(qū)域匯聚分別單獨劃分不同OSPF分骨干區(qū)域中。

3）出口邊界的路由器劃分到OSPF非骨干區(qū)域中作為1個獨立的OSPF區(qū)域。

4）數(shù)據(jù)中心劃分到OSPF非骨干區(qū)域中作為1個獨立的OSPF區(qū)域。

5）把以前區(qū)域匯聚交換機作為ABR區(qū)域邊界路由改成核心設備作為ABR區(qū)域邊界路由器。

重新進行OSPF區(qū)域規(guī)劃可以使骨干區(qū)域更加穩(wěn)定，對匯聚交換機性能要求低，匯聚設備只需要維護本區(qū)域的LSDB鏈路狀態(tài)數(shù)據(jù)庫，同時管理更加方便，區(qū)域間路由過濾或匯總只需要在核心設備上操作即可。

（2）邊界路由

核心設備的主要任務是高速的數(shù)據(jù)轉發(fā)及可靠性保證，盡量不要使用策略路由PBR、ACL訪問控制列表等策略。核心設備和出口路由器之間由現(xiàn)在的靜態(tài)路由改成OSPF動態(tài)路由協(xié)議，劃分1個獨立的OSPF區(qū)域，作為非骨干區(qū)域，通過在區(qū)域邊界路由器上以路由重分發(fā)的方式，把靜態(tài)路由重分發(fā)到OSPF里面來，同時修改重分發(fā)路由的Cost值，達到路由選擇的目的。其好處是路由重分發(fā)采用的是硬件處理方式，不占用設備的CPU資源。

（3）業(yè)務VPN子網(wǎng)路由

在MPLS VPN域里面采用OSPF為底層IGP路由協(xié)議，實現(xiàn)所有P/PE設備的互通，然后在此基礎之上啟用MP-BGP協(xié)議，在廣域網(wǎng)互聯(lián)接口啟用標簽分發(fā)和控制協(xié)議（RSVP/LDP）；將整個廣域網(wǎng)的MPLS協(xié)議全部啟用。然后再針對相應的子網(wǎng)建立VPN，VPN內(nèi)部可以維持原有的子網(wǎng)動態(tài)路由協(xié)議，便于與各原有系統(tǒng)間的互通。

學校校園網(wǎng)是一個統(tǒng)一規(guī)劃和管理的網(wǎng)絡系統(tǒng)，建議采用單自治域方式，自治域號碼使用分配的AS私有號碼（64512～65535之間）。整個學校校園網(wǎng)對外呈現(xiàn)為一個獨立的AS，而AS內(nèi)部則通過RR（可以選擇核心節(jié)點作為RR）實現(xiàn)PE之間的IBGP全連接，并采用CIDR和VLSM技術，路由數(shù)量完全可以控制，不會影響全網(wǎng)的性能。這樣的網(wǎng)絡結構清晰明了，且在校園內(nèi)無需部署基于跨AS的MPLS VPN，僅當外部如CERNET或CERNET2也部署了MPLS VPN且需要互通時才采用跨AS的MPLS VPN部署方式。

針對校園智能卡業(yè)務，使用L3 VPN承載，所有與校園智能卡相關的網(wǎng)段都不要使用內(nèi)網(wǎng)OSPF發(fā)布，通過MP-BGP進行承載，放到相應的三層VPN，達到隔離的目的。

五、結論

校園網(wǎng)通過上述的網(wǎng)絡優(yōu)化及升級改造后，形成合理的校園網(wǎng)絡架構，能夠提供穩(wěn)定、可靠、高效和靈活的業(yè)務承載平臺，基本能夠滿足現(xiàn)在及將來網(wǎng)絡及業(yè)務發(fā)展的需求，并且在未來幾年內(nèi)應該都不會過時。