南京大學扁平化部署

1、純路由兩層架構校園網(wǎng)組網(wǎng)模式的探索,南京大學網(wǎng)絡信息中心劉建峰ljf@nju.edu.cn2024/3/21,純路由兩層架構校園網(wǎng)組網(wǎng)模式的探索,總體介紹以校園網(wǎng)的架構模式及管理模式為研究對象，分析了目前校園網(wǎng)的架構現(xiàn)狀及存在問題，提出了扁平化校園網(wǎng)架構模式與精細化校園網(wǎng)管理方法，以及在南京大學校園網(wǎng)建設中的應用。伴隨IT技術的不斷發(fā)展、CNGI項目的快速推進，高校針對校園網(wǎng)絡應用需求正在不斷更新，傳統(tǒng)校園網(wǎng)架構與管理模式正逐

2、步呈現(xiàn)出許多難以應對的難題：攻擊與ARP類病毒的困擾，IPv4地址管理困難，無法實現(xiàn)用戶的精細化管理，原有相當數(shù)量網(wǎng)絡設備無法支持IPv6協(xié)議，更無法實現(xiàn)校園網(wǎng)絡IPv6的組播，有線無線難于統(tǒng)一認證與雙棧開通、無線網(wǎng)絡的用戶控制等等；因此，探索一個全新的校園網(wǎng)絡架構體系以及相應的管理模式是目前高校網(wǎng)絡管理者必須面對的一個緊迫課題。,2024/3/21,2,純路由兩層架構校園網(wǎng)組網(wǎng)模式的探索,傳統(tǒng)架構目前絕大多數(shù)高校校園網(wǎng)采用的是已交換

3、技術為主的經(jīng)典三層組網(wǎng)架構，分核心、匯聚、接入三層面組成，各層分別實現(xiàn)不同的業(yè)務功能。其中，接入層負責用戶的接入，相互的隔離，速率的限制，802.1X等接入功能的實現(xiàn)，DHCP偵聽和ARP動態(tài)檢測（避免ARP攻擊），雙棧組播控制與分發(fā)等；匯聚層負責用戶的三層終結、路由，ACL、QoS功能實現(xiàn)，雙棧組播控制與分發(fā)；核心層負責全校（或校際）數(shù)據(jù)的高速路由數(shù)據(jù)交換，ACL、QoS功能實現(xiàn)，雙棧組播控制與分發(fā)等。,2024/3/21,3,純路由

4、兩層架構校園網(wǎng)組網(wǎng)模式的探索,組網(wǎng)模式,2024/3/21,4,純路由兩層架構校園網(wǎng)組網(wǎng)模式的探索,從組網(wǎng)模式可以看出：每個層面都在做用戶雙棧業(yè)務的接入和控制，協(xié)調(diào)實現(xiàn)部分的功能；核心層相對能力強的設備，功能相對弱化；越靠近用戶接入邊緣的設備，數(shù)量最多，功能要求卻很多，加上資金的限制，不可能具有較高的性能；此前建設并仍在運行的接入設備，大部分不支持IPv6協(xié)議，更談不上對組播的支持；不同的用戶、應用沒有有效的隔離措施和保障手段，導致相互

5、的干擾影響；隨著規(guī)模擴大，功能的疊加，校園網(wǎng)中設備的穩(wěn)定性、可靠性大幅降低，管理維護壓力越來越大。會在校園網(wǎng)里頻頻發(fā)生此類現(xiàn)象：處理一個故障往往涉及多個層面的多個設備；出現(xiàn)問題后，很難定位，恢復時間較長；出問題最多，維護工作量最大的是接入層、匯聚層；難以部署新功能新應用，IPv6多點組播性能較低等問題；難以實現(xiàn)細致的管理和控制。,2024/3/21,5,純路由兩層架構校園網(wǎng)組網(wǎng)模式的探索,扁平化架構參考運營商大規(guī)模網(wǎng)絡發(fā)展的經(jīng)驗，網(wǎng)絡

6、架構正從復雜化的多層架構向扁平化架構方向發(fā)展。扁平化的架構模式并非必須或一定就是物理聯(lián)接層次上的減少，而是指網(wǎng)絡邏輯層次的簡化。扁平化的網(wǎng)絡有著更高的效率也更有利于管理。,2024/3/21,6,純路由兩層架構校園網(wǎng)組網(wǎng)模式的探索,扁平化組網(wǎng)模式,2024/3/21,7,純路由兩層架構校園網(wǎng)組網(wǎng)模式的探索,扁平化的架構的優(yōu)勢：將原先各個層次模糊的功能區(qū)分清晰化，各司其職，有利于管理、維護和業(yè)務的部署；實現(xiàn)用戶、業(yè)務控制的集中化 由能力最

7、強、功能最豐富的核心設備提供集中的業(yè)務控制和管理，在提供功能和業(yè)務時，發(fā)揮核心設備的高性能、穩(wěn)定性、可靠性等優(yōu)勢；匯聚、接入設備一般只需提供基本的二層VLAN隔離功能（充分保護了原有低端設備的建設投資），不涉及到業(yè)務功能，因此部署新的業(yè)務和功能時，無需考慮其是否支持，也無需考慮設備型號，有利于降低數(shù)量眾多的匯聚/接入層設備投資；功能劃分清晰后，整個網(wǎng)絡更有利于擴展，核心層設備性能很強，對新功能新業(yè)務能夠提供良好的支持，匯聚層和接入層只需

8、要考慮接入端口的擴充、上行帶寬的增加。,2024/3/21,8,純路由兩層架構校園網(wǎng)組網(wǎng)模式的探索,2024/3/21,9,目前在南京大學，全網(wǎng)采用了以純路由為核心的兩層架構模式，選用了以Juniper公司的 MX960作為核心路由器，華為交換機作為匯聚交換機，神碼及H3C多廠商接入交換機作為接入，利用QinQ技術實現(xiàn)了扁平化架構模式，并利用MX960實現(xiàn)精細化控制。用戶采用DHCP模式接入校園網(wǎng)，自動獲取IPv4/IPv6雙棧地址，然

9、后通過BRAS撥號訪問校外網(wǎng)絡。,純路由兩層架構校園網(wǎng)組網(wǎng)模式的探索,,2024/3/21,10,純路由兩層架構校園網(wǎng)組網(wǎng)模式的探索,出口精細化管理我校目前有多條出口鏈路，采用負載均衡設備選路。針對部分服務器做智能DNS，進行訪問加速，優(yōu)化外部訪問質(zhì)量。在出口流量控制設備上針對不同的用戶群制定不同的策略（對P2P類應用進行適當抑制，對WEB訪問等常規(guī)應用提供最小帶寬保證，對部分用戶進行連接數(shù)上限限制），保證教學科研的網(wǎng)絡質(zhì)量。在

10、出口防火墻設備上除了進行常規(guī)控制外，對部分只需要訪問外網(wǎng)功能的用戶制定單向訪問策略，大大減少被攻擊、被肉雞的可能性。,2024/3/21,11,純路由兩層架構校園網(wǎng)組網(wǎng)模式的探索,網(wǎng)絡設備精細化管理集合網(wǎng)絡管理系統(tǒng)，把校園網(wǎng)內(nèi)的可網(wǎng)管的交換機、路由器、無線等設備納入網(wǎng)絡管理綜合監(jiān)控平臺，定時輪巡采集數(shù)據(jù)，收集交換機工作狀態(tài)、CPU、鏈路流量等，并自動記錄交換機的中斷、恢復時間，方便故障回溯；采集數(shù)據(jù)，自動分析IP、MAC、端口對應情

11、況，并納入數(shù)據(jù)庫備查；采集交換機日志，只能分析交換機異常情況，包括cpu異常、網(wǎng)關沖突、回路檢測等。,2024/3/21,12,純路由兩層架構校園網(wǎng)組網(wǎng)模式的探索,針對用戶的精細化用戶通過DHCP獲取地址的過程中，提供了用戶接入網(wǎng)絡的豐富的信息（用戶PC的接入時間、用戶PC所處的交換機端口、用戶PC的MAC地址、用戶PC獲取的IP地址），這些信息可以幫助網(wǎng)絡管理者準確定位某臺PC在何時/從何處連接進網(wǎng)絡，上線/下線的時間，通過IP地

12、址，可以明確直接地定位到用戶上網(wǎng)的地點，到終端，統(tǒng)計分析不同區(qū)域的用戶的網(wǎng)絡使用習慣，在存儲在數(shù)據(jù)庫中作為歷史記錄有據(jù)可查。,2024/3/21,13,2024/3/21,14,2024/3/21,15,純路由兩層架構校園網(wǎng)組網(wǎng)模式的探索,針對用戶的精細化通過Netflow的采集和分析，能夠將網(wǎng)絡中大量的、不可識別的流量，統(tǒng)計分析成清晰的、基于源IP地址和目的IP地址間傳輸?shù)膯蜗驍?shù)據(jù)包流，每個數(shù)據(jù)流具有共同的傳輸層源、目的端口號，并且

13、能夠統(tǒng)計數(shù)據(jù)流的流量信息 ，幫助管理者掌握校園網(wǎng)內(nèi)的流量特征和用戶行為特征，感知用戶的應用類型和使用習慣，及時采取措施，應對異常流量的攻擊。,2024/3/21,16,純路由兩層架構校園網(wǎng)組網(wǎng)模式的探索,針對用戶的精細化由于全網(wǎng)采用了兩層的架構，校園網(wǎng)絡管理員可以遠程針對校園網(wǎng)內(nèi)的任意一個接入層交換機端口實施端口鏡像，針對特殊用戶問題，無需管理員趕赴現(xiàn)場排查，極大地方便了管理與服務。,2024/3/21,17,純路由兩層架構校園網(wǎng)組網(wǎng)

14、模式的探索,針對用戶的精細化路由器+QinQ可以實現(xiàn)多層次的用戶速率控制及權限控制的策略。在任意一個邏輯接口（等同一個物理接口）上實現(xiàn)速率限制、訪問權限控制，因此可以提供針對全校任意接入?yún)^(qū)域或用戶單獨的策略管理。針對全校的無線接入部分，盡管每個AP只能劃分在一個VLAN中，但由于策略是v針對無線用戶的，我們設置基于用戶的每個IP的速率控制，即便有用戶使用了P2P類高帶寬的應用，仍然可以確保此AP提供上其他用戶的穩(wěn)定服務；能夠基于不同類

15、型的用戶開放/關閉相應的業(yè)務功能，由于AP的性能問題，可針對性關閉IPv4/IPv6 multicast業(yè)務，僅開放單播業(yè)務。,2024/3/21,18,純路由兩層架構校園網(wǎng)組網(wǎng)模式的探索,該模式可以保障大量前期投入建設的不能支持IPv6協(xié)議特別是IPv6組播的普通交換機實現(xiàn)雙棧并組播功能。通過路由器進行IPv6組播信號的硬件復制和下發(fā)。,2024/3/21,19,2024/3/21,20,純路由兩層架構校園網(wǎng)組網(wǎng)模式的探索,對于校園網(wǎng)

16、內(nèi)的任意一個接入層交換機端口，都能夠在網(wǎng)絡核心提供基于邏輯接口的IPv6上下行速率限制,2024/3/21,21,純路由兩層架構校園網(wǎng)組網(wǎng)模式的探索,南京大學改用以純路由為核心的兩層扁平化架構，實現(xiàn)了全網(wǎng)的精細化管理，新校區(qū)整體投資降低，同時還保障了老校區(qū)前期大量低端接入交換機的投資，網(wǎng)絡運行高效、穩(wěn)定，大大減少維護工作量，解決了地址分配、網(wǎng)絡帶寬、IPv6組播、網(wǎng)絡不可控等問題，我們正在不斷摸索，期望逐步建立一個更加高性能、可管理、可