基于多线ISP链路出口的边界网设计

 

　　目前 ,中国教育和科研计算机网 (CERNET)与其它互联网接入服务供应商(ISP) (如中国电信)之间的互联带宽存在瓶颈 ,且网络资源分布不均，因此 ,绝大多数高校校园网在接入CERNET的同时 ,为了提高校园网用户对整个互联网的访问速度 ,以及解决 CERNET地址外的用户对校内开放资源的快速访问 ,又相继接入了中国电信(ChinaNET)等公众网。这样 ,校园网实际上就存在一条以上的出口链路，解决互访速度问题的同时，也增加了网络的复杂度。为此，如何规划和设计校园多出口网络，是值得分析和探讨的问题。本文以我校校园网边界网为例 ,通过阐述多线ISP链路出口环境下的路由选择、源网络地址转换、精细化流量管理、逆向代理及基于边界系统的智能域名解析等技术，从而提出一种合理的校园网多线ISP链路出口解决方案。

　　校园网边界网设计

　　边界网主要功能需求

　　1. 多线ISP链路出口

　　(1)校内网对公众网的快速访问

　　校园网的主要接入提供商为CERNET，旨在改善学校的教学、科研和管理的运行环境。随着校园信息化的快速发展，各网络运营商之间互联互通不畅的问题愈显突出，为了提高校园网内的用户对整个互联网的访问速度，各高校校园网大多使用多线ISP链路出口，如同时接入CERNET和ChinaNET,并通过路由策略达到访问教育网资源走CE RNE T 链路，访问非教育网资源走ChinaNET链路。

　　(2)公众网对校内服务器的快速访问

　　通过采用多出口，校园网访问公网速度慢的问题基本得到解决，但反过来公网用户访问校内服务器慢的问题却更加突出了。一方面，校内服务器大多使用教育网IP，所有对校内服务器的访问都必须走CERNET链路，因此，尽管校园网拥有高速的ChinaNET链路，但公网用户却只能通过有着带宽瓶颈的教育网链路才能访问校内服务器，这无疑是对出口链路的严重浪费；另一方面，虽然可以在校内服务器上配置多IP(如同时配置教育网IP和电信IP)，然后通过智能DNS技术区分访问校内服务器的来源IP地址，根据用户的IP地址，域名解析服务器返回一个和用户在同一运营商的服务器IP供其访问，即教育网用户通过CERNET链路访问，电信用户通过ChinaNET链路访问，这样也可以解决公网用户访问校内服务器慢的问题。 但校园网提供的信息服务以HTTP服务为主 ，且数量较多，ChinaNET分配给校园网的地址非常有限，不可能对每一台服务器都配置一个电信IP。因此，也需要找到一种合理化的解决方案，来实现公网用户对校内服务器的快速访问。

　　2. 源网络地址转换(SNAT)

　　校园网的地址段一般可分为三部分，向CERNET申请地址段、由ChinaNET提供的地址段，由于前面两部分址段不能满足需求，再选取RFC1918规定的私有地址。地址分配的原则是校园网用户使用CERNET地址或私有地址。由于配置了私有地址的客户机只能访问校内网，不能通过CERNET 或ChinaNET出口访问公众网，因此需要借助源地址的网络地址转换(SNAT)设备来实现私有地址对公众网的访问。

　　3. 精细化流量管理

　　当前互联网的应用非常复杂，除了常规的网页浏览、电子邮件的应用类型以外，多线程的FTP下载、在线游戏、P2P应用、P2P流媒体等多种新型的网络数据应用在网络中大量使用和出现，尤其是P2P应用，其利用大量在线的客户端设备(PC等)的资源而优化文件传输的能力，导致出口网络资源的极大消耗，严重影响出口带宽的正常使用。因此需要重点对带宽使用进行合理性规划，建立全面的流量控制策略，实现校园网出口链路流量的有效、规范管理。

　　4. 基于边界系统的智能域名解析

　　校园网在接入多线ISP链路的同时 ,虽然能基本解决校内用户访问公众网慢的问题，但同时也带来了新的问题。由于各学校使用的域名解析系统大多为教育网注册的DNS服务器或DNS Cache，该 DNS Cache 并不对某个域名进行权威解析，而是作为一个缓存，缓存对外部公共域名的 DNS 查询。对于一些常用网站(在教育网和电信网都有镜像的，如新浪、网易等)的解析，常规的DNS服务器将返回教育网IP，那么用户在访问的时候，就会选择教育网出口。基于此，它会存在以下问题：

　　(1)此类网站在教育网的镜像服务器出现服务失效或教育网链路中断时，则会导致用户无法访问。

　　(2)此类网站在教育网的镜像服务器IP改变时，由于负责解析的DNS(尤其是DNS Cache)无法及时更新，导致网站解析错误，进而无法访问。

　　(3)此类网站在某相同时间段内，不同运营商的服务质量出现差异时(如某时间段内，从电信访问比从教育网访问明显要好很多)，常规的DNS无法根据服务质量对该类网站作出灵活的解析，不能根据用户来源提供 ISP 网络间的就近访问，同时也缺乏对不同 ISP 镜像服务器的优化调度手段，易造成网络的服务质量低下，用户上网体验较差。

　　架构设计

　　校园网边界网，也称校园网边缘网络，是指校园网与外部网络相连的区域(外部网络包括CERNET、ChinaNET等)，其网络架构指的边界网网络体系中网络设备的组织和集成方式。校园网边界网故障域在校园网中最大，一旦发生故障，将影响整个校园网对外通信，使校园网络成为信息孤岛 ，因此好的校园网边界网络架构对校园网的高可用性起着至关重要的作用。

　　中山大学校园网边界网的架构采取层次化、模块化的设计方法，同时充分考虑系统的冗余性、可靠性。校园网的设计依托传统的网络分层设计模型，结合实际的功能需求，自上而下分别为广域网接入层、链路负载均衡层、流量管理层、防火墙层。防火墙层与核心网之间的连接就是校园网与边界网的接口(如图1所示)。从整体上看，层次内部和层次之间基本实现了功能上的冗余，提高了网络的可靠性。具体上看，每一层都是一个功能模块，发挥其相应的作用。

图1 中山大学校园网边界网拓扑图

　　功能设计及实现

　　1. 广域网接入层

　　广域网接入是最基本的功能。我校目前具有两条主要的ISP链路(位于广州南校区)，分别是CERNET的1.5Gbps链路和ChinaNET的2Gbps链路，采取“分而制之”的管理策略，由两台不同的路由器分别接入到C E R N E T 和ChinaNET。

　　2. 链路负载均衡层

　　主要提供基于源地址(校内地址)和目标地址(公网地址)的策略路由和SNAT功能，既提供了访问不同运营商资源的最佳路径选择(如：访问电信资源走电信线路、访问教育网资源走教育网线路)、出口路由的冗余备份，又通过SNAT解决了校园网正式地址不足的问题。

　　我校校园网使用F5 BIG-IP的LTM功能模块完成上述功能，借助其专有的iRule脚本编程实现了多线ISP链路入站流量的负载均衡。

　　3. 防火墙层

　　一方面过滤从校内向外的异常、垃圾流量(如TCP/UDP/ICMP flooding等)，这些流量不仅占用了宝贵的带宽资源，同时也给硬件设备资源带来无谓的消耗；另一方面预防来自外部网对校内服务器的DOS攻击、病毒、恶意扫描等。

　　4. 流量管理器层

　　主要是建立全面的流量控制策略，根据网络应用类别进行合理化带宽分配，对关键应用(如web浏览)进行优先级保证。既对总体应用实施带宽控制， 又对单个IP实施带宽控制，同时又针对不同的用户群(如教工、学生等)实施不同的带宽控制策略，并且针对校园用户上网的时间规律进行相应控制。我校目前使用专有硬件流量管理器(型号为PacketLogic 10005)实施带宽管理。

　　5. 基于边界系统的智能域名解析

　　该域名解析系统主要提供在多线ISP链路出口环境下，根据被访问网站的服务质量对域名作出灵活的解析，自动分析各ISP域内网站IP的服务质量，判断其健康状况，自动屏蔽故障IP,使用户能通过域名解析结果来选择ISP链路，访问到服务质量较高的网站IP,进而提高校内用户上网体验。因此，该系统除具有普通 DNS 服务器功能外，还应具备以下功能：

　　(1)提供IP容错机制，可对互联网域名对应的目的地址进行周期性的健康检查；

　　(2)为用户提供基于多ISP域间、综合服务质量优化的域名解析结果。使系统具备出口链路状态监测、目标服务器QoS分析、访问调度以及链路负载均衡等功能；

　　(3)根据目的地址服务器质量及链路状况，自动向客户机返回最优ISP的网站IP。

　　6. 逆向代理服务器

　　目标是提高公网用户对校内服务器的访问速度，具体包含三大功能：

　　(1)提供智能DNS功能。自动区分访问校内服务器的来源IP地址，根据用户IP地址所属区域，域名解析服务器返回一个和用户在同一运营商的服务器IP供其访问。

　　(2)提供NAT功能。由于IP资源有限，不能满足为每台校内服务器都配置双IP(教育网IP和电信IP)，因此需要借助NAT来实现，且对应方式为一个公网IP对应多个内网服务器IP。

　　(3)能根据域名区分不同的HTTP服务。校内信息服务大多以HTTP为主，默认使用80端口，由于不能满足对校内服务器做一对一NAT的需求，只能若干个服务共用一个地址，并通过端口号来区分服务。那么，不同的HTTP服务就不能都使用默认的80端口，需要通过指定不同端口来访问，不便于用户使用。因此，在此前提下，逆向代理服务器的作用就是使外网用户都能通过默认80 端口访问校内不同的HTTP服务。

　　我校逆向代理功能通过F5 BIG-IP实现，通过调用其专有iRule脚本(自行编写)，自动识别HTTP请求中的host字段，并将数据请求发往对应校内服务器上(如图2所示)。

图2 逆向代理服务器功能示意图

　　网络基础设施的建设是数字化校园建设的重要组成部分，而边界网的建设又是网络基础设施建设中的核心之一，近年来，高校信息化建设得到了长足的发展，为师生的教学、科研、学习作出了一定的贡献。但是随着学术的进步和教育事业的不断发展以及当前日益复杂的网络环境，对于信息网络的高速互联和安全稳定的运行、有效的管理都提出了新的要求，因此，一种合理化的校园网边界网设计方案是进一步完善高校校园网体系架构、深化网络建设的有效途径，也是非常必要和迫切的。

　　(作者：赵琼     作者单位：中山大学网络与信息技术中心)