纯路由两层架构校园网组网模式的探索

纯路由两层架构校园网组网模式的探索南京大学网络信息中心刘建峰ljf@2023/1/13纯路由两层架构校园网组网模式的探索总体介绍以校园网的架构模式及管理模式为研究对象，分析了目前校园网的架构现状及存在问题，提出了扁平化校园网架构模式与精细化校园网管理方法，以及在南京大学校园网建设中的应用。伴随IT技术的不断发展、CNGI项目的快速推进，高校针对校园网络应用需求正在不断更新，传统校园网架构与管理模式正逐步呈现出许多难以应对的难题：攻击与ARP类病毒的困扰，IPv4地址管理困难，无法实现用户的精细化管理，原有相当数量网络设备无法支持IPv6协议，更无法实现校园网络IPv6的组播，有线无线难于统一认证与双栈开通、无线网络的用户控制等等；因此，探索一个全新的校园网络架构体系以及相应的管理模式是目前高校网络管理者必须面对的一个紧迫课题。2023/1/132纯路由两层架构校园网组网模式的探索传统架构目前绝大多数高校校园网采用的是已交换技术为主的经典三层组网架构，分核心、汇聚、接入三层面组成，各层分别实现不同的业务功能。其中，接入层负责用户的接入，相互的隔离，速率的限制，802.1X等接入功能的实现，DHCP侦听和ARP动态检测（避免ARP攻击），双栈组播控制与分发等；汇聚层负责用户的三层终结、路由，ACL、QoS功能实现，双栈组播控制与分发；核心层负责全校（或校际）数据的高速路由数据交换，ACL、QoS功能实现，双栈组播控制与分发等。2023/1/133纯路由两层架构校园网组网模式的探索组网模式2023/1/134纯路由两层架构校园网组网模式的探索从组网模式可以看出：每个层面都在做用户双栈业务的接入和控制，协调实现部分的功能；核心层相对能力强的设备，功能相对弱化；越靠近用户接入边缘的设备，数量最多，功能要求却很多，加上资金的限制，不可能具有较高的性能；此前建设并仍在运行的接入设备，大部分不支持IPv6协议，更谈不上对组播的支持；不同的用户、应用没有有效的隔离措施和保障手段，导致相互的干扰影响；随着规模扩大，功能的叠加，校园网中设备的稳定性、可靠性大幅降低，管理维护压力越来越大。会在校园网里频频发生此类现象：处理一个故障往往涉及多个层面的多个设备；出现问题后，很难定位，恢复时间较长；出问题最多，维护工作量最大的是接入层、汇聚层；难以部署新功能新应用，IPv6多点组播性能较低等问题；难以实现细致的管理和控制。2023/1/135纯路由两层架构校园网组网模式的探索扁平化架构参考运营商大规模网络发展的经验，网络架构正从复杂化的多层架构向扁平化架构方向发展。扁平化的架构模式并非必须或一定就是物理联接层次上的减少，而是指网络逻辑层次的简化。扁平化的网络有着更高的效率也更有利于管理。2023/1/136纯路由两层架构校园网组网模式的探索扁平化组网模式2023/1/137纯路由两层架构校园网组网模式的探索扁平化的架构的优势：将原先各个层次模糊的功能区分清晰化，各司其职，有利于管理、维护和业务的部署；实现用户、业务控制的集中化由能力最强、功能最丰富的核心设备提供集中的业务控制和管理，在提供功能和业务时，发挥核心设备的高性能、稳定性、可靠性等优势；汇聚、接入设备一般只需提供基本的二层VLAN隔离功能（充分保护了原有低端设备的建设投资），不涉及到业务功能，因此部署新的业务和功能时，无需考虑其是否支持，也无需考虑设备型号，有利于降低数量众多的汇聚/接入层设备投资；功能划分清晰后，整个网络更有利于扩展，核心层设备性能很强，对新功能新业务能够提供良好的支持，汇聚层和接入层只需要考虑接入端口的扩充、上行带宽的增加。2023/1/138纯路由两层架构校园网组网模式的探索2023/1/139目前在南京大学，全网采用了以纯路由为核心的两层架构模式，选用了以Juniper公司的MX960作为核心路由器，华为交换机作为汇聚交换机，神码及H3C多厂商接入交换机作为接入，利用QinQ技术实现了扁平化架构模式，并利用MX960实现精细化控制。用户采用DHCP模式接入校园网，自动获取IPv4/IPv6双栈地址，然后通过BRAS拨号访问校外网络。纯路由两层架构校园网组网模式的探索2023/1/1310纯路由两层架构校园网组网模式的探索出口精细化管理我校目前有多条出口链路，采用负载均衡设备选路。针对部分服务器做智能DNS，进行访问加速，优化外部访问质量。在出口流量控制设备上针对不同的用户群制定不同的策略（对P2P类应用进行适当抑制，对WEB访问等常规应用提供最小带宽保证，对部分用户进行连接数上限限制），保证教学科研的网络质量。在出口防火墙设备上除了进行常规控制外，对部分只需要访问外网功能的用户制定单向访问策略，大大减少被攻击、被肉鸡的可能性。2023/1/1311纯路由两层架构校园网组网模式的探索网络设备精细化管理集合网络管理系统，把校园网内的可网管的交换机、路由器、无线等设备纳入网络管理综合监控平台，定时轮巡采集数据，收集交换机工作状态、CPU、链路流量等，并自动记录交换机的中断、恢复时间，方便故障回溯；采集数据，自动分析IP、MAC、端口对应情况，并纳入数据库备查；采集交换机日志，只能分析交换机异常情况，包括cpu异常、网关冲突、回路检测等。2023/1/1312纯路由两层架构校园网组网模式的探索针对用户的精细化用户通过DHCP获取地址的过程中，提供了用户接入网络的丰富的信息（用户PC的接入时间、用户PC所处的交换机端口、用户PC的MAC地址、用户PC获取的IP地址），这些信息可以帮助网络管理者准确定位某台PC在何时/从何处连接进网络，上线/下线的时间，通过IP地址，可以明确直接地定位到用户上网的地点，到终端，统计分析不同区域的用户的网络使用习惯，在存储在数据库中作为历史记录有据可查。2023/1/13132023/1/13142023/1/1315纯路由两层架构校园网组网模式的探索针对用户的精细化通过Netflow的采集和分析，能够将网络中大量的、不可识别的流量，统计分析成清晰的、基于源IP地址和目的IP地址间传输的单向数据包流，每个数据流具有共同的传输层源、目的端口号，并且能够统计数据流的流量信息，帮助管理者掌握校园网内的流量特征和用户行为特征，感知用户的应用类型和使用习惯，及时采取措施，应对异常流量的攻击。2023/1/1316纯路由两层架构校园网组网模式的探索针对用户的精细化由于全网采用了两层的架构，校园网络管理员可以远程针对校园网内的任意一个接入层交换机端口实施端口镜像，针对特殊用户问题，无需管理员赶赴现场排查，极大地方便了管理与服务。2023/1/1317纯路由两层架构校园网组网模式的探索针对用户的精细化路由器+QinQ可以实现多层次的用户速率控制及权限控制的策略。在任意一个逻辑接口（等同一个物理接口）上实现速率限制、访问权限控制，因此可以提供针对全校任意接入区域或用户单独的策略管理。针对全校的无线接入部分，尽管每个AP只能划分在一个VLAN中，但由于策略是v针对无线用户的，我们设置基于用户的每个IP的速率控制，即便有用户使用了P2P类高带宽的应用，仍然可以确保此AP提供上其他用户的稳定服务；能够基于不同类型的用户开放/关闭相应的业务功能，由于AP的性能问题，可针对性关闭IPv4/IPv6multicast业务，仅开放单播业务。2023/1/1318纯路由两层架构校园网组网模式的探索

该模式可以保障大量前期投入建设的不能支持IPv6协议特别是IPv6组播的普通交换机实现双栈并组播功能。通过路由器进行IPv6组播信号的硬件复制和下发。2023/1/13192023/1/1320纯路由两层架构校园网组网模式的探索

对于校园网内的任意一个接入层交换机端口，都能够在网络核心提供基于逻辑接口的IPv6上下行速率限制2023/1/1321纯路由两层架构校园网组网模式的探索南京大学改用