隨著我國高校的逐年擴招與互聯(lián)網(wǎng)應(yīng)用的飛速發(fā)展,導(dǎo)致高校校園網(wǎng)流量增長迅速,網(wǎng)絡(luò)基礎(chǔ)設(shè)施正在從千兆向萬兆改造,特別是對出口帶寬的擴容需求迫切。高校網(wǎng)絡(luò)除了接入教育網(wǎng)外,為了保障出口的可靠性,也會租用不同電信運營商(比如中國電信、中國聯(lián)通、中國移動、電信通等)的鏈路連接到Internet,于是就形成了校園網(wǎng)多鏈路出口的局面。那么,當(dāng)校園網(wǎng)流量到達(dá)出口的時候,報文該如何選擇出口并進(jìn)行轉(zhuǎn)發(fā)呢?
高校網(wǎng)絡(luò)出口流量分擔(dān)核心訴求
校園網(wǎng)用戶的網(wǎng)絡(luò)體驗是首要的考慮因素。在當(dāng)前的網(wǎng)絡(luò)機構(gòu)中,雖然教育網(wǎng)與互聯(lián)網(wǎng)是聯(lián)通的,但是教育網(wǎng)與運營商以及各大運營商網(wǎng)絡(luò)之間的流量轉(zhuǎn)發(fā)是存在帶寬限制的,這一客觀事實便導(dǎo)致跨網(wǎng)訪問延時大、網(wǎng)絡(luò)慢的上網(wǎng)感受。由于教育網(wǎng)是專門面向教育和科研單位的互聯(lián)網(wǎng)絡(luò),聯(lián)通了幾乎所有高校,擁有豐富的教學(xué)科研類的資源。而互聯(lián)網(wǎng)相對教育網(wǎng)來講,可以看作為“公網(wǎng)”,擁有更多生活娛樂類的資源。隨著網(wǎng)絡(luò)的發(fā)展,教育網(wǎng)和公網(wǎng)的資源呈現(xiàn)融合互補的一個趨勢。此外,教育網(wǎng)除了提供教育與科研相關(guān)的資源以外,還對國內(nèi)各大門戶網(wǎng)站等主流互聯(lián)網(wǎng)資源進(jìn)行了鏡像,為校園網(wǎng)用戶提供便捷的訪問。然而,仍然有眾多的公網(wǎng)應(yīng)用與資源在電信、聯(lián)通甚至國外網(wǎng)絡(luò)中。此時校園網(wǎng)用戶訪問外部網(wǎng)絡(luò)資源的出口選路問題尤為突出。另一方面,也會出現(xiàn)從公網(wǎng)訪問校園網(wǎng)內(nèi)部的情況,如學(xué)校/院系網(wǎng)站、遠(yuǎn)程教育、圖書館資源以及遠(yuǎn)程辦公/訪問。良好的網(wǎng)絡(luò)體驗需要保證校園網(wǎng)與公網(wǎng)之間雙向訪問的用戶上網(wǎng)感受。
其次,對校園網(wǎng)的多出口鏈路要物盡其用,盡量保證各條鏈路的使用效率,最大限度的為校園網(wǎng)業(yè)務(wù)提供可靠的運行環(huán)境。如果某條鏈路過載,而其他鏈路過閑,就是對鏈路帶寬資源的浪費。同時,由于不同運營商鏈路的租金通常是存在差異的,當(dāng)租金較高的鏈路承載過多的出口流量時,勢必會造成一定程度的成本提升。
智能選路破解多出口流量分擔(dān)的窘境
智能選路是按照預(yù)設(shè)策略在校園網(wǎng)出口將流量自動的在各條鏈路上進(jìn)行合理的分配處理,實際上這正是鏈路負(fù)載均衡的核心要義。智能選路包含了一系列相關(guān)的功能,根據(jù)不同的實際需求,設(shè)置不同的出口鏈路選擇策略。按照原理可以將智能選路方式大致劃分為兩大類:基于流量分擔(dān)與基于業(yè)務(wù)保障。
基于流量分擔(dān)的選路策略主要目的是更有效的將從校園網(wǎng)內(nèi)部到外部流量在出口的多條鏈路上進(jìn)行均衡和分擔(dān),包括:等價路由、基于鏈路帶寬的選路和基于鏈路權(quán)重的選路。
等價路由
等價路由是一種基本選路策略,通過靜態(tài)路由實現(xiàn)將出口多條鏈路設(shè)置成為相同的優(yōu)先級,當(dāng)校園網(wǎng)內(nèi)部流量到達(dá)出口時,報文被隨機分配到各個鏈路上進(jìn)行轉(zhuǎn)發(fā);
基于鏈路帶寬的選路
由于運營商的鏈路租用費用是根據(jù)帶寬大小而增長的,因此校園網(wǎng)所租用的鏈路帶寬都是有上限的,如100M、200M等。基于鏈路帶寬的選路策略通過對出口的每條鏈路設(shè)定一個最大允許通過流量的閥值,當(dāng)經(jīng)由某個特定出口鏈路的流量到達(dá)閥值時,那么后續(xù)的流量就不再從該出口轉(zhuǎn)發(fā),而由其他流量尚未飽和的鏈路承擔(dān);
基于鏈路權(quán)重的選路
既然鏈路的帶寬有大小之分,那么可以依據(jù)各自吞吐能力情況,給不同鏈路設(shè)定一個權(quán)重,然后出校園網(wǎng)的流量即可按照權(quán)重在出口鏈路上進(jìn)行分配處理,例如當(dāng)存在兩條鏈路時,A鏈路帶寬為200M權(quán)重為60%,則帶寬為100M的B鏈路權(quán)重為40%,流量便可以按照所設(shè)比例進(jìn)行分擔(dān)處理;
透明DNS代理
互聯(lián)網(wǎng)上很多的資源與服務(wù)在各運營商的網(wǎng)絡(luò)中都存在鏡像或者服務(wù)器托管,因此所使用的IP地址都是由所屬運營商分配的,某種意義上就是將服務(wù)器劃分為電信服務(wù)器、聯(lián)通服務(wù)器或者移動服務(wù)器。如果校園網(wǎng)用戶是默認(rèn)配置的特定運營商的本地DNS服務(wù)器,那么在進(jìn)行域名解析查詢的時候,極有可能返回的是同一個運營商的服務(wù)器地址,也就十分容易造成該出口鏈路擁堵、其他出口鏈路使用不均的情況。針對此問題,校園網(wǎng)出口可啟動透明DNS代理機制,在正式訪問之前即進(jìn)行域名查詢的時候,由透明DNS代理選擇向某個運營商的本地DNS服務(wù)器發(fā)送解析請求,在查詢階段完成對流量的選路引導(dǎo)。此后用戶收到相應(yīng)服務(wù)器地址,后續(xù)訪問數(shù)據(jù)報文到達(dá)出口便能夠選擇服務(wù)器所屬運營商的出口鏈路轉(zhuǎn)發(fā)。
基于業(yè)務(wù)保障的選路策略不單關(guān)注從校園網(wǎng)訪問外部網(wǎng)絡(luò)的流量,而且對從互聯(lián)網(wǎng)進(jìn)入校園網(wǎng)的流量也加以考慮,側(cè)重點在于盡可能優(yōu)化網(wǎng)絡(luò)的轉(zhuǎn)發(fā)過程,降低跨網(wǎng)訪問的影響,同時進(jìn)一步提升校園網(wǎng)高價值業(yè)務(wù)的用戶體驗。
基于ISP的選路
在現(xiàn)有IP地址的分配規(guī)則下,每個運營商都會有各自IP地址網(wǎng)段,互不沖突,于是可在校園網(wǎng)出口預(yù)先配置各運營商公網(wǎng)地址池,訪問互聯(lián)網(wǎng)的數(shù)據(jù)流可按照目的地址選擇相應(yīng)所屬運營商鏈路作為出口;
鏈路鎖定
鏈路鎖定適用兩種場景,第一由校園網(wǎng)內(nèi)部主動向外部發(fā)起訪問時,首個出校園網(wǎng)的報文從A鏈路接口出去,但發(fā)現(xiàn)該會話的回程報文是從B鏈接接口進(jìn)入的,此時網(wǎng)絡(luò)出口設(shè)備可認(rèn)定為B鏈路相對A鏈路是最優(yōu)的,接下的出校園網(wǎng)會話報文更改出口,從B鏈路統(tǒng)一轉(zhuǎn)發(fā);另一種場景為互聯(lián)網(wǎng)主動訪問校園網(wǎng)內(nèi)部,首個進(jìn)校園網(wǎng)的報文從A鏈路接口接入,但響應(yīng)報文到達(dá)出口時按照既定路由策略會選擇B鏈路接口作為出口,既然訪問會話發(fā)起報文是從A鏈接進(jìn)入,出口設(shè)備可判定為A鏈路為最優(yōu)路徑,為了保證鏈路一致性,更改響應(yīng)報文從A鏈路接口原路返回;
出口鏈路探測
互聯(lián)網(wǎng)是全聯(lián)通的,達(dá)到同一目的地允許存在多條路徑,然而,每條路徑花費的代價和延時卻不盡相同。高校網(wǎng)絡(luò)出口設(shè)備應(yīng)該能夠探測出口鏈路健康狀態(tài),選擇延時較低的出口鏈路轉(zhuǎn)發(fā)流量;
基于應(yīng)用的策略路由
與運營商城域網(wǎng)類似,校園網(wǎng)中同樣充斥著大量P2P流量。這些流量匯聚到網(wǎng)絡(luò)出口不僅要占據(jù)大部分帶寬,更嚴(yán)重的情況是P2P流量搶占高校辦公、視頻會議、遠(yuǎn)程教育等主要業(yè)務(wù)的出口資源,降低重要業(yè)務(wù)傳輸?shù)目煽啃浴R虼耍@網(wǎng)出口要求能夠識別數(shù)據(jù)流中所承載的業(yè)務(wù)應(yīng)用,按照業(yè)務(wù)類型區(qū)分不同出口鏈路進(jìn)行轉(zhuǎn)發(fā),例如將P2P流量分配到租金相對便宜的鏈路,而對于高價值業(yè)務(wù)使用專享鏈路,保障其帶寬;
智能DNS
校園網(wǎng)內(nèi)部同一個服務(wù)器通常映射到多個運營商網(wǎng)絡(luò)中,服務(wù)器使用的公網(wǎng)地址也分屬各自運營商,主要原因正是為了方便互聯(lián)網(wǎng)用戶的訪問。盡管如此,現(xiàn)實網(wǎng)絡(luò)中仍然會發(fā)生用戶得到的服務(wù)器地址并非自身所屬運營商的現(xiàn)象,例如由于DNS解析過程不區(qū)分IP地址屬性,電信用戶訪問校園網(wǎng)服務(wù)器,發(fā)送域名查詢請求,用戶所獲得的響應(yīng)IP地址卻為服務(wù)器在聯(lián)通網(wǎng)絡(luò)中使用的IP地址,訪問報文也就會經(jīng)過跨網(wǎng)轉(zhuǎn)發(fā)后再到達(dá)服務(wù)器,網(wǎng)絡(luò)延時增大。如果高校網(wǎng)絡(luò)出口設(shè)備具備智能DNS能力,實時捕獲DNS解析響應(yīng)報文,將服務(wù)器IP地址更改成與互聯(lián)網(wǎng)用戶相同運營商的地址,就可以讓電信用戶通過電信網(wǎng)絡(luò)直接訪問校園網(wǎng)內(nèi)部服務(wù)器。
上述內(nèi)容簡要解釋了智能選路相關(guān)的主要機制,每種機制又對應(yīng)各自實際的應(yīng)用場景。基本上基于流量分擔(dān)的選路策略雖然能夠?qū)⒘髁炕揪鶆蛟诙鄺l鏈路上分擔(dān)處理,不過卻不能考慮報文的目的地址是聯(lián)通的或者電信的,也就是有可能將本應(yīng)發(fā)往電信網(wǎng)絡(luò)的報文選擇到了聯(lián)通的出口鏈路,這樣便發(fā)生跨網(wǎng)轉(zhuǎn)發(fā)的問題。現(xiàn)網(wǎng)情況下,智能選路的相關(guān)各種機制并非獨立存在,可以根據(jù)具體使用情況形成組合策略,這樣既可最大限度的降低網(wǎng)絡(luò)延遲,保障用戶網(wǎng)絡(luò)體驗,也能平衡各條租用鏈路的投入產(chǎn)出比與使用效率。
通常,高校網(wǎng)絡(luò)在出口都會部署防火墻或者安全網(wǎng)關(guān),將校園網(wǎng)與外部網(wǎng)絡(luò)進(jìn)行隔離,而且針對各高校IPv4公網(wǎng)地址的數(shù)量差異,對于訪問互聯(lián)網(wǎng)的流量還要進(jìn)行NAT(Network Address Translation,地址翻譯)轉(zhuǎn)換。此時,為了簡化組網(wǎng)復(fù)雜度,避免出口多種功能設(shè)備的串聯(lián),防火墻就成為承擔(dān)智能選路重任的最佳設(shè)備。
華為USG9500高性能防火墻在滿足了高校萬兆網(wǎng)絡(luò)改造、安全隔離、NAT及IPv6安全需求外,已經(jīng)全面支持智能選路特性,為高校數(shù)字化、信息化的飛速發(fā)展做好了充分準(zhǔn)備。
