随着我国高校的逐年扩招与互联网应用的飞速发展,导致高校校园网流量增长迅速,网络基础设施正在从千兆向万兆改造,特别是对出口带宽的扩容需求迫切。高校网络除了接入教育网外,为了保障出口的可靠性,也会租用不同电信运营商(比如中国电信、中国联通、中国移动、电信通等)的链路连接到Internet,于是就形成了校园网多链路出口的局面。那么,当校园网流量到达出口的时候,报文该如何选择出口并进行转发呢?
高校网络出口流量分担核心诉求
校园网用户的网络体验是首要的考虑因素。在当前的网络机构中,虽然教育网与互联网是联通的,但是教育网与运营商以及各大运营商网络之间的流量转发是存在带宽限制的,这一客观事实便导致跨网访问延时大、网络慢的上网感受。由于教育网是专门面向教育和科研单位的互联网络,联通了几乎所有高校,拥有丰富的教学科研类的资源。而互联网相对教育网来讲,可以看作为“公网”,拥有更多生活娱乐类的资源。随着网络的发展,教育网和公网的资源呈现融合互补的一个趋势。此外,教育网除了提供教育与科研相关的资源以外,还对国内各大门户网站等主流互联网资源进行了镜像,为校园网用户提供便捷的访问。然而,仍然有众多的公网应用与资源在电信、联通甚至国外网络中。此时校园网用户访问外部网络资源的出口选路问题尤为突出。另一方面,也会出现从公网访问校园网内部的情况,如学校/院系网站、远程教育、图书馆资源以及远程办公/访问。良好的网络体验需要保证校园网与公网之间双向访问的用户上网感受。
其次,对校园网的多出口链路要物尽其用,尽量保证各条链路的使用效率,***限度的为校园网业务提供可靠的运行环境。如果某条链路过载,而其他链路过闲,就是对链路带宽资源的浪费。同时,由于不同运营商链路的租金通常是存在差异的,当租金较高的链路承载过多的出口流量时,势必会造成一定程度的成本提升。
智能选路破解多出口流量分担的窘境
智能选路是按照预设策略在校园网出口将流量自动的在各条链路上进行合理的分配处理,实际上这正是链路负载均衡的核心要义。智能选路包含了一系列相关的功能,根据不同的实际需求,设置不同的出口链路选择策略。按照原理可以将智能选路方式大致划分为两大类:基于流量分担与基于业务保障。
基于流量分担的选路策略主要目的是更有效的将从校园网内部到外部流量在出口的多条链路上进行均衡和分担,包括:等价路由、基于链路带宽的选路和基于链路权重的选路。
等价路由
等价路由是一种基本选路策略,通过静态路由实现将出口多条链路设置成为相同的优先级,当校园网内部流量到达出口时,报文被随机分配到各个链路上进行转发;
基于链路带宽的选路
由于运营商的链路租用费用是根据带宽大小而增长的,因此校园网所租用的链路带宽都是有上限的,如100M、200M等。基于链路带宽的选路策略通过对出口的每条链路设定一个***允许通过流量的阀值,当经由某个特定出口链路的流量到达阀值时,那么后续的流量就不再从该出口转发,而由其他流量尚未饱和的链路承担;
基于链路权重的选路
既然链路的带宽有大小之分,那么可以依据各自吞吐能力情况,给不同链路设定一个权重,然后出校园网的流量即可按照权重在出口链路上进行分配处理,例如当存在两条链路时,A链路带宽为200M权重为60%,则带宽为100M的B链路权重为40%,流量便可以按照所设比例进行分担处理;
透明DNS代理
互联网上很多的资源与服务在各运营商的网络中都存在镜像或者服务器托管,因此所使用的IP地址都是由所属运营商分配的,某种意义上就是将服务器划分为电信服务器、联通服务器或者移动服务器。如果校园网用户是默认配置的特定运营商的本地DNS服务器,那么在进行域名解析查询的时候,极有可能返回的是同一个运营商的服务器地址,也就十分容易造成该出口链路拥堵、其他出口链路使用不均的情况。针对此问题,校园网出口可启动透明DNS代理机制,在正式访问之前即进行域名查询的时候,由透明DNS代理选择向某个运营商的本地DNS服务器发送解析请求,在查询阶段完成对流量的选路引导。此后用户收到相应服务器地址,后续访问数据报文到达出口便能够选择服务器所属运营商的出口链路转发。
基于业务保障的选路策略不单关注从校园网访问外部网络的流量,而且对从互联网进入校园网的流量也加以考虑,侧重点在于尽可能优化网络的转发过程,降低跨网访问的影响,同时进一步提升校园网高价值业务的用户体验。
基于ISP的选路
在现有IP地址的分配规则下,每个运营商都会有各自IP地址网段,互不冲突,于是可在校园网出口预先配置各运营商公网地址池,访问互联网的数据流可按照目的地址选择相应所属运营商链路作为出口;
链路锁定
链路锁定适用两种场景,***由校园网内部主动向外部发起访问时,***出校园网的报文从A链路接口出去,但发现该会话的回程报文是从B链接接口进入的,此时网络出口设备可认定为B链路相对A链路是***的,接下的出校园网会话报文更改出口,从B链路统一转发;另一种场景为互联网主动访问校园网内部,***进校园网的报文从A链路接口接入,但响应报文到达出口时按照既定路由策略会选择B链路接口作为出口,既然访问会话发起报文是从A链接进入,出口设备可判定为A链路为***路径,为了保证链路一致性,更改响应报文从A链路接口原路返回;
出口链路探测
互联网是全联通的,达到同一目的地允许存在多条路径,然而,每条路径花费的代价和延时却不尽相同。高校网络出口设备应该能够探测出口链路健康状态,选择延时较低的出口链路转发流量;
基于应用的策略路由
与运营商城域网类似,校园网中同样充斥着大量P2P流量。这些流量汇聚到网络出口不仅要占据大部分带宽,更严重的情况是P2P流量抢占高校办公、视频会议、远程教育等主要业务的出口资源,降低重要业务传输的可靠性。因此,校园网出口要求能够识别数据流中所承载的业务应用,按照业务类型区分不同出口链路进行转发,例如将P2P流量分配到租金相对便宜的链路,而对于高价值业务使用专享链路,保障其带宽;
智能DNS
校园网内部同一个服务器通常映射到多个运营商网络中,服务器使用的公网地址也分属各自运营商,主要原因正是为了方便互联网用户的访问。尽管如此,现实网络中仍然会发生用户得到的服务器地址并非自身所属运营商的现象,例如由于DNS解析过程不区分IP地址属性,电信用户访问校园网服务器,发送域名查询请求,用户所获得的响应IP地址却为服务器在联通网络中使用的IP地址,访问报文也就会经过跨网转发后再到达服务器,网络延时增大。如果高校网络出口设备具备智能DNS能力,实时捕获DNS解析响应报文,将服务器IP地址更改成与互联网用户相同运营商的地址,就可以让电信用户通过电信网络直接访问校园网内部服务器。
上述内容简要解释了智能选路相关的主要机制,每种机制又对应各自实际的应用场景。基本上基于流量分担的选路策略虽然能够将流量基本均匀在多条链路上分担处理,不过却不能考虑报文的目的地址是联通的或者电信的,也就是有可能将本应发往电信网络的报文选择到了联通的出口链路,这样便发生跨网转发的问题。现网情况下,智能选路的相关各种机制并非独立存在,可以根据具体使用情况形成组合策略,这样既可***限度的降低网络延迟,保障用户网络体验,也能平衡各条租用链路的投入产出比与使用效率。
通常,高校网络在出口都会部署防火墙或者安全网关,将校园网与外部网络进行隔离,而且针对各高校IPv4公网地址的数量差异,对于访问互联网的流量还要进行NAT(Network Address Translation,地址翻译)转换。此时,为了简化组网复杂度,避免出口多种功能设备的串联,防火墙就成为承担智能选路重任的***设备。
华为USG9500高性能防火墙在满足了高校万兆网络改造、安全隔离、NAT及IPv6安全需求外,已经全面支持智能选路特性,为高校数字化、信息化的飞速发展做好了充分准备。