基于多線ISP鏈路出口的邊界網設計

文/趙瓊

基于多線ISP鏈路出口的邊界網設計

文/趙瓊

本文介紹了中山大學校園網邊界網的現狀，通過闡述多線ISP鏈路出口環境下的路由選擇、源網絡地址轉換、精細化流量管理、逆向代理及基于邊界系統的智能域名解析等技術，從而提出一種合理的大規模校園網多線ISP鏈路出口解決方案。

目前 ,中國教育和科研計算機網 (CERNET)與其它互聯網接入服務供應商（ISP） (如中國電信)之間的互聯帶寬存在瓶頸 ,且網絡資源分布不均，因此 ,絕大多數高校校園網在接入CERNET的同時 ,為了提高校園網用戶對整個互聯網的訪問速度 ,以及解決 CERNET地址外的用戶對校內開放資源的快速訪問 ,又相繼接入了中國電信（ChinaNET）等公眾網。這樣 ,校園網實際上就存在一條以上的出口鏈路，解決互訪速度問題的同時，也增加了網絡的復雜度。為此，如何規劃和設計校園多出口網絡，是值得分析和探討的問題。本文以我校校園網邊界網為例 ,通過闡述多線ISP鏈路出口環境下的路由選擇、源網絡地址轉換、精細化流量管理、逆向代理及基于邊界系統的智能域名解析等技術，從而提出一種合理的校園網多線ISP鏈路出口解決方案。

學術的進步和教育事業的不斷發展以及當前日益復雜的網絡環境，對于信息網絡的高速互聯和安全穩定的運行、有效的管理都提出了新的要求

校園網邊界網設計

邊界網主要功能需求

1. 多線ISP鏈路出口

（1）校內網對公眾網的快速訪問

校園網的主要接入提供商為CERNET，旨在改善學校的教學、科研和管理的運行環境。隨著校園信息化的快速發展，各網絡運營商之間互聯互通不暢的問題愈顯突出，為了提高校園網內的用戶對整個互聯網的訪問速度，各高校校園網大多使用多線ISP鏈路出口，如同時接入CERNET和ChinaNET,并通過路由策略達到訪問教育網資源走C E R N E T鏈路，訪問非教育網資源走ChinaNET鏈路。

（2）公眾網對校內服務器的快速訪問

通過采用多出口，校園網訪問公網速度慢的問題基本得到解決，但反過來公網用戶訪問校內服務器慢的問題卻更加突出了。一方面，校內服務器大多使用教育網IP，所有對校內服務器的訪問都必須走CERNET鏈路，因此，盡管校園網擁有高速的ChinaNET鏈路，但公網用戶卻只能通過有著帶寬瓶頸的教育網鏈路才能訪問校內服務器，這無疑是對出口鏈路的嚴重浪費；另一方面，雖然可以在校內服務器上配置多IP（如同時配置教育網IP和電信IP），然后通過智能DNS技術區分訪問校內服務器的來源IP地址，根據用戶的IP地址，域名解析服務器返回一個和用戶在同一運營商的服務器IP供其訪問，即教育網用戶通過CERNET鏈路訪問，電信用戶通過ChinaNET鏈路訪問，這樣也可以解決公網用戶訪問校內服務器慢的問題。 但校園網提供的信息服務以HTTP服務為主 ，且數量較多，ChinaNET分配給校園網的地址非常有限，不可能對每一臺服務器都配置一個電信IP。因此，也需要找到一種合理化的解決方案，來實現公網用戶對校內服務器的快速訪問。

2. 源網絡地址轉換（SNAT）

校園網的地址段一般可分為三部分，向CERNET申請地址段、由ChinaNET提供的地址段，由于前面兩部分址段不能滿足需求，再選取RFC1918規定的私有地址。地址分配的原則是校園網用戶使用CERNET地址或私有地址。由于配置了私有地址的客戶機只能訪問校內網，不能通過CERNET或ChinaNET出口訪問公眾網，因此需要借助源地址的網絡地址轉換（SNAT）設備來實現私有地址對公眾網的訪問。

3. 精細化流量管理

當前互聯網的應用非常復雜，除了常規的網頁瀏覽、電子郵件的應用類型以外，多線程的FTP下載、在線游戲、P2P應用、P2P流媒體等多種新型的網絡數據應用在網絡中大量使用和出現，尤其是P2P應用，其利用大量在線的客戶端設備（PC等）的資源而優化文件傳輸的能力，導致出口網絡資源的極大消耗，嚴重影響出口帶寬的正常使用。因此需要重點對帶寬使用進行合理性規劃，建立全面的流量控制策略，實現校園網出口鏈路流量的有效、規范管理。

4. 基于邊界系統的智能域名解析

校園網在接入多線ISP鏈路的同時 ,雖然能基本解決校內用戶訪問公眾網慢的問題，但同時也帶來了新的問題。由于各學校使用的域名解析系統大多為教育網注冊的DNS服務器或DNS Cache，該 DNS Cache 并不對某個域名進行權威解析，而是作為一個緩存，緩存對外部公共域名的 DNS 查詢。對于一些常用網站（在教育網和電信網都有鏡像的，如新浪、網易等）的解析，常規的DNS服務器將返回教育網IP，那么用戶在訪問的時候，就會選擇教育網出口。基于此，它會存在以下問題：

（1）此類網站在教育網的鏡像服務器出現服務失效或教育網鏈路中斷時，則會導致用戶無法訪問。

（2）此類網站在教育網的鏡像服務器IP改變時，由于負責解析的DNS（尤其是DNS Cache）無法及時更新，導致網站解析錯誤，進而無法訪問。

（3）此類網站在某相同時間段內，不同運營商的服務質量出現差異時（如某時間段內，從電信訪問比從教育網訪問明顯要好很多），常規的DNS無法根據服務質量對該類網站作出靈活的解析，不能根據用戶來源提供 ISP 網絡間的就近訪問，同時也缺乏對不同 ISP 鏡像服務器的優化調度手段，易造成網絡的服務質量低下，用戶上網體驗較差。

架構設計

校園網邊界網，也稱校園網邊緣網絡，是指校園網與外部網絡相連的區域（外部網絡包括CERNET、ChinaNET等），其網絡架構指的邊界網網絡體系中網絡設備的組織和集成方式。校園網邊界網故障域在校園網中最大，一旦發生故障，將影響整個校園網對外通信，使校園網絡成為信息孤島 ，因此好的校園網邊界網絡架構對校園網的高可用性起著至關重要的作用。

中山大學校園網邊界網的架構采取層次化、模塊化的設計方法，同時充分考慮系統的冗余性、可靠性。校園網的設計依托傳統的網絡分層設計模型，結合實際的功能需求，自上而下分別為廣域網接入層、鏈路負載均衡層、流量管理層、防火墻層。防火墻層與核心網之間的連接就是校園網與邊界網的接口（如圖1所示）。從整體上看，層次內部和層次之間基本實現了功能上的冗余，提高了網絡的可靠性。具體上看，每一層都是一個功能模塊，發揮其相應的作用。

功能設計及實現

1. 廣域網接入層

廣域網接入是最基本的功能。我校目前具有兩條主要的ISP鏈路（位于廣州南校區），分別是CERNET的1.5Gbps鏈路和ChinaNET的2Gbps鏈路，采取“分而制之”的管理策略，由兩臺不同的路由器分別接入到C E R N E T和ChinaNET。

2. 鏈路負載均衡層

主要提供基于源地址（校內地址）和目標地址（公網地址）的策略路由和SNAT功能，既提供了訪問不同運營商資源的最佳路徑選擇（如：訪問電信資源走電信線路、訪問教育網資源走教育網線路）、出口路由的冗余備份，又通過SNAT解決了校園網正式地址不足的問題。

我校校園網使用F5 BIG-IP的LTM功能模塊完成上述功能，借助其專有的iRule腳本編程實現了多線ISP鏈路入站流量的負載均衡。

3. 防火墻層

一方面過濾從校內向外的異常、垃圾流量（如TCP/UDP/ICMP flooding等），這些流量不僅占用了寶貴的帶寬資源，同時也給硬件設備資源帶來無謂的消耗；另一方面預防來自外部網對校內服務器的DOS攻擊、病毒、惡意掃描等。

圖2 逆向代理服務器功能示意圖

4. 流量管理器層

主要是建立全面的流量控制策略，根據網絡應用類別進行合理化帶寬分配，對關鍵應用（如web瀏覽）進行優先級保證。既對總體應用實施帶寬控制， 又對單個IP實施帶寬控制，同時又針對不同的用戶群（如教工、學生等）實施不同的帶寬控制策略，并且針對校園用戶上網的時間規律進行相應控制。我校目前使用專有硬件流量管理器（型號為PacketLogic 10005）實施帶寬管理。

5. 基于邊界系統的智能域名解析

該域名解析系統主要提供在多線ISP鏈路出口環境下，根據被訪問網站的服務質量對域名作出靈活的解析，自動分析各ISP域內網站IP的服務質量，判斷其健康狀況，自動屏蔽故障IP,使用戶能通過域名解析結果來選擇ISP鏈路，訪問到服務質量較高的網站IP,進而提高校內用戶上網體驗。因此，該系統除具有普通 DNS 服務器功能外，還應具備以下功能：

（1）提供IP容錯機制，可對互聯網域名對應的目的地址進行周期性的健康檢查；

（2）為用戶提供基于多ISP域間、綜合服務質量優化的域名解析結果。使系統具備出口鏈路狀態監測、目標服務器QoS分析、訪問調度以及鏈路負載均衡等功能；

（3）根據目的地址服務器質量及鏈路狀況，自動向客戶機返回最優ISP的網站IP。

6. 逆向代理服務器

目標是提高公網用戶對校內服務器的訪問速度，具體包含三大功能：

（1）提供智能DNS功能。自動區分訪問校內服務器的來源IP地址，根據用戶IP地址所屬區域，域名解析服務器返回一個和用戶在同一運營商的服務器IP供其訪問。

（2）提供NAT功能。由于IP資源有限，不能滿足為每臺校內服務器都配置雙IP（教育網IP和電信IP），因此需要借助NAT來實現，且對應方式為一個公網IP對應多個內網服務器IP。

（3）能根據域名區分不同的HTTP服務。校內信息服務大多以HTTP為主，默認使用80端口，由于不能滿足對校內服務器做一對一NAT的需求，只能若干個服務共用一個地址，并通過端口號來區分服務。那么，不同的HTTP服務就不能都使用默認的80端口，需要通過指定不同端口來訪問，不便于用戶使用。因此，在此前提下，逆向代理服務器的作用就是使外網用戶都能通過默認80端口訪問校內不同的HTTP服務。

我校逆向代理功能通過F5 BIG-IP實現，通過調用其專有iRule腳本（自行編寫），自動識別HTTP請求中的host字段，并將數據請求發往對應校內服務器上（如圖2所示）。

網絡基礎設施的建設是數字化校園建設的重要組成部分，而邊界網的建設又是網絡基礎設施建設中的核心之一，近年來，高校信息化建設得到了長足的發展，為師生的教學、科研、學習作出了一定的貢獻。但是隨著學術的進步和教育事業的不斷發展以及當前日益復雜的網絡環境，對于信息網絡的高速互聯和安全穩定的運行、有效的管理都提出了新的要求，因此，一種合理化的校園網邊界網設計方案是進一步完善高校校園網體系架構、深化網絡建設的有效途徑，也是非常必要和迫切的。

(作者單位為中山大學網絡與信息技術中心)

網康助力內蒙、山東威海移動

網康智能流量管理系統（NS-ITM）在4.5版本推出應用智能選路方案后，在全國各地市移動都引起了關注。近日，NS-ITM產品的應用智能選路方案在內蒙移動和山東威海移動接連中標，協助兩地市移動解決終端用戶上網體驗差、第三方線路使用效率低問題。

內蒙移動正在全區高校推廣移動線路的寬帶接入，但由于移動網絡與電信、聯通網絡的互聯出口存在瓶頸，終端用戶如果訪問聯通網絡的資源時，就會遭遇網頁打開慢、網絡游戲卡等問題；雖然內蒙移動引入了一條直通聯通的第三方線路，但這條線路帶寬有限，而且經常被P2P應用擠占，未能完全解決問題。

山東威海移動的問題與內蒙移動類似。山東威海移動在本地有大量的小區用戶和企業用戶，通過威海移動的線路上網訪問電信、聯通網絡的資源時，其上網體驗急劇下降，甚至引發用戶投訴。山東威海移動引入的第三方線路也受到P2P應用擠占帶寬的困擾，雖然他們曾經測試過深信服的南北互通方案，但效果并不理想。

網康智能流量管理系統（NS-ITM）的應用智能選路方案，幫助客戶解決了終端用戶上網體驗差的問題。網康應用智能選路方案依托對流量、對應用的精確識別和管理，一方面做到讓訪問移動內部資源的所有流量繼續走移動線路，保持原有的良好上網體驗；另一方面當用戶訪問聯通的網絡資源時，ITM根據應用智能進行選路管理，只讓用戶最關心的HTTP、游戲等實時性應用走第三方線路，從而保證了用戶有良好的上網體驗，并且大大提升了第三方線路的價值。