高校校园网出口解决方案最佳实践.doc

高校校园网出口解决方案最佳实践 - 华南农业大学 展示锐捷公司项目展示不为参赛只想展示 1.2.1项目背景2007年，锐捷网络携手华南农业大学，进行了万兆校园网升级改造： 图1-1华南农业大学全网拓扑图 骨干网升级为10G网络。学校任何重要区域到服务区群和出口路由器均为万兆链路；多核心、圆锥形骨干网设计。学校任何重要区域到服务器群和出口均只有1跳路由；四层架构，区域汇聚双归属设计。从架构上充分保证网络稳定可靠；全网的统一身份认证。基于SAM系统的用户管理，以及符合学校特色的大量二次开发。在骨干网络改造中，华山、东区、五组团三个区域增加了三台核心交换机RG-S8610，组成万兆环网，承担华南农业大学核心网，同时三台核心交换机与出口路由器Cisco C7606组成圆锥形的网络框架，万兆骨干数据流积聚于出口路由器。万兆骨干的升级，使得校内流量剧增，校内带宽瓶颈得到很好的解决，同时也给出口网络带来了新的调整。华南农业大学校园网共有信息点将近40000个，如此密集的信息点，对华南农大的出口形成了强大的冲击。出口带宽利用率接近100%，出口带宽极其紧张（华南农业大学2007年的出口线路情况是：教育网1000M、电信100M），师生普遍反映Internet访问常有缓慢现象，影响了办公、教学、生活的网上应用开展。1.2.2项目目标提升出口NAT地址转换性能电信广域网带宽升级到300M；教育网链路升级为10G链路，动态带宽最高为1.5G。准确分析出口应用带宽占比多少用户在使用哪些应用；每种应用占用了多少带宽资源。精细管控出口应用带宽保证教学、办公、科研的关键应用；分时段限制P2P应用流量。访问日志记录08奥运将至，公安部要求对所有校内用户访问校外进行行为记录，因此需要有一套高效的日志管理系统对出口设备的NAT日志进行收集，通过图形化查询界面快速查找相关日志信息。2案例分析该章节主要可从网络现状、业务现状、问题或需求等多个角度去分析，是对上一章案例概述的详细分析。通过分析现状及问题，为下一章案例方案奠定基础。2.1网络现状出口网络还未改造前拓扑图如下： 图2-1校园出口网络升级改造前 如上图所示，出口网络采用单台Cisco路由器7606，连接Cernet、Cernet2、电信三条广域网线路。出口路由器C7606在负责出口网络基于路由策略的路由寻址的同时，为校内所有用户提供NAT（网络地址转换）。随着校园网骨干网络升级的进行，出口路由器负荷越发沉重，在网络高峰期，CPU负载普遍在60%以上。2.2业务现状 对外业务系统包括：精品课程、校园主页、招生就业等 对内开展业务系统包括：信息服务、Internet接入、视频会议等 师生的网上生活娱乐类应用：WEB应用、即时通信、在线视听、网上银行等由于出口带宽有限，业务应用之间存在带宽竞争关系。随着P2P应用的广泛开展，出口应用的带宽被P2P大量占用，直接影响了对外业务系统和办公、科研类应用的带宽保障。出口带宽有限、带宽的分配不合理成为校园网出口的最主要矛盾。2.3问题分析从改造前的网络结构图及描述中我们可以看出，华南农业大学出口网络主要存在如下的需要升级改造的地方：出口路由器NAT性能难以满足大容量要求，随着Cernet及电信出口带宽的增加，性能瓶颈将会越发凸显；出口带宽应用无法辨别，无法获知各种应用对出口带宽的占用比例，从而无法提供有效的数据分析以便于针对各应用定制带宽控制策略；关键业务应用系统（如，视频会议、精品课程、网上招生等）的带宽无法保障；无法有效、动态、分时段的对各种应用进行合理的带宽分配，降低P2P应用对带宽的大量占用；通过通用的SYSLOG系统记录出口NAT信息，查找相关日志犹如大海捞针。3案例方案3.1方案原则在本项目实施中，锐捷网络遵循如下的原则：高速 - 通过出口设备及带宽升级，为校园网出口有效提速；智能 - 对出口各种应用进行精确的智能识别；精细 - 对出口进行基于用户及应用的精细化带宽管控；易管理 - 通过图形化界面可简单、快速的查找相关用户的访问日志。3.2方案思路针对华南农业大学出口网络存在的矛盾，锐捷网络在充分调研并论证的基础上，确定了以下改造思路：出口广域网链路带宽升级；策略路由与NAT功能分离，采用专用的高性能NAT路由设备，提升出口网络NAT的性能；增加应用带宽控制设备，对出口各种应用进行智能识别，实时监控出口各应用的带宽占用情况，为制定动态的带宽分配策略提供数据依据；通过应用带宽控制设备，实施动态带宽分配，控制P2P应用对出口带宽的过量占用，保障关键业务应用的带宽分配；部署日志审计系统，与现有认证计费系统RG-SAM进行联动，提供基于实名用户的访问日志记录与审查，以符合公安部的日志记录要求。3.3方案解析经升级改造，出口网络拓扑如下： 图3-1升级改造后的出口网络拓扑 如上图所示，改造后的出口网络，广域网链路带宽有所提高，电信网络带宽从原来的100M增加至300M，教育网出口采用10G链路直接连接至教育网华南节点（华南理工大学），享有1.5G的动态带宽。网络出口平台增加了三台网络出口引擎RG-NPE作为出口NAT的专用设备。通过创新的旁挂路由方式，把原有都部署在思科路由器C7606上的策略路由及NAT功能进行有效分离，大大的提高了出口网络平台的传输效率。同时，增加部署两台具备管理“3进3出”的千兆级高性能应用控制引擎RG-ACE3000。通过桥接方式，两台RG-ACE3000管理5条千兆链路的应用控制，实现出口应用带宽的准确识别与精确控制。通过精细化的管控机制，有效的保证了出口网络的关键应用如视频会议、精品课程、网上招生等。并且对整体的P2P应用进行限制在80M带宽以内。另外，在网管中心，部署一套日志管理系统RG-eLog，通过收集来自RG-NPE及RG-ACE的NAT日志及URL日志，与现有的接入认证计费系统RG-SAM进行用户信息联动，真正实现了基于用户实名制的日志记录与检索查询。 4案例效果 4.1出口性能提升 图4-1华南农业大学出口性能提升如图所示，在NPE上线之前，NAT由思科路由器C7606负责，由于性能低下，Cernet的千兆出口带宽无法完全利用。在NPE上线后，NAT性能的提升带来了Cernet带宽流量的直线上涨，上网速度明显变快。4.2应用准确识别 图4-1全网应用识别情况通过应用控制引擎RG-ACE，有效的准确识别全网应用程序的带宽占用情况。包括基于应用、主机、用户的带宽占用情况监控。4.3带宽合理分配 图4-1P2P应用控制效果上图是华南农业大学在2008年8月16日的网应用带宽图。在没有开启P2P应用控制的时候，迅雷的流量达到了1.25Gbps，当启用了P2P应用控制后，有效的限制了迅雷的带宽占用（80Mbps以下），同时也有效的提高了HTTP应用带宽比例。4.4日志审计记录 图4-1日志记录及带宽分析通过RG-eLog日志管理系统，有效的记录全网所有用户的实名上网记录，包括NAT记录、URL记录及带宽流量记录。直观、快速的让网络中心管理者进行