广东工业大学现有广州、揭阳两地六个校区,在校师生总数5.5万人,上网终端同时在线万余个。
为了支撑学校庞大的用户群体、基础设施和应用系统,学校着手建设了新一代超宽网络架构——100G核心校园网。这一先进的网络基础设施旨在进一步提升校园网络性能,确保高效的数据传输和无缝的应用运行。
校园网在学校师生学习、科研和生活等多方面提供了不可或缺的基础设施支持。它应用广泛,涵盖了众多关键业务场景,对于确保良好的应用体验至关重要。
在面对需要传输大量数据的场景中,例如高清视频流和大文件下载,足够的带宽成为保障用户体验的关键因素。对于实时性要求较高的应用,包括在线游戏、视频会议和语音通话等,低延迟则成为用户体验的重要考量。在处理校园支付、云应用等场景时,对网络稳定性的高要求更是不可忽视的因素。
广东工业大学拥有庞大的师生规模,而学生上网习惯呈现潮汐现象,容易导致了突发流量的涌现,造成拥堵和丢包现象,为校园网络带来了极大的挑战。当前的40G核心层带宽已经无法满足校内师生上网的需求。流量高峰的出现使得校园网络不断接近极限,流量常常达到39G左右,这对整体校园网的可用性和性能提出了巨大挑战。在这种情况下,各种应用场景对带宽、延迟和稳定性的要求无法得到全面照顾,使得校园网面临更为复杂的挑战。
在当前校园网络架构中,主要使用年限较长的设备,其中大部分运用万兆接口技术。然而,这些设备的设计容量已经不能满足迅猛增长的网络流量需求。关键设备,如防火墙和流量控制设备,其设计容量最高仅支持40G,导致网络扩容变得困难。由于设备老旧,校园网络正面临着安全防护和流量管理方面的双重挑战。
由于学校校区众多,建设时间跨度较大,校内采用了各种不同时期的网络准入设备,包括锐捷、新华三、华为等厂家的AC无线控制器,以及BRAS设备用于承载PPPOE拨号上网。
在IPv6推广的过程中,各厂家在IPv4/IPv6双栈准入实现上存在不一致性的情况,准入溯源困难,对接工作繁琐,对安全事件的排查造成了一定的影响。
这种多厂家、多设备的异构性不仅使得网络运维和故障排障变得相当复杂,还增加了维护的难度。不同设备之间的兼容性和不一致性问题给校园网络带来了不便,使得学校对整体网络的监控和管理变得更为复杂和耗时。
用户体验为核心。校园网的建设以提升应用体验为核心目标。建设过程中注重满足不同应用场景对带宽、延迟和稳定性的需求,以确保师生在学习、科研和生活等方面都能享受到高质量的网络服务。
网络架构全面升级。通过引入100G以太网接口技术100G防火墙、100G流量控制设备,对校园网的逻辑架构进行全面升级。包括校园网出口、网络管理层、网络承载层、安全设计和认证设计等多个方面,以提升整体网络性能、安全性和管理效率。
网络安全与稳定并重。在新架构设计中,安全防护设计得到了充分考虑,包括出口防火墙、入侵检测、DDoS防护等多层次的安全机制,以应对来自互联网的各种潜在威胁。同时,通过统一的准入认证设计,确保网络的稳定性和可控性。
整体规划与细致实施。100G校园网的建设过程应采取周全考虑、安全稳妥、分步割接的策略,确保升级过程的有序推进,把对校园网用户的影响降到最小。
校园网逻辑架构(图1)分为校园网出口(出口防火墙)、网络管理层、网络承载层、安全设计和流量调度设计。
在校园出口区域,两台防火墙扮演关键角色,不仅负责对校园网用户进行NAT外网,还对数据中心内业务NAT映射,以实现外网访问。为了有效对抗内部终端用户潜在的挖矿安全威胁,防火墙利用防病毒和威胁情报技术进行全方位防御。为了应对外网的攻击,出口防火墙还启用了入侵检测功能,确保校园内外的数据传输安全,维护校园网网络边界的稳定。
通过整合校内原有不同厂家准入设备的准入规则,在BRAS设备上实现对校园网内接入用户进行Portal/PPPOE/MAC的统一身份认证。不同厂家的设备仅负责管理AP、ONU等接入设备,而用户流量则通过由不同厂家构建的异构形式的大型二层网络传输。这样不仅实现了准入认证规则的统一,而且使用户能够在不同楼宇,甚至不同校区实现无感知漫游,从而提高了网络的易用性。
凭借对准入流程的改进,管理维护过程变得更加便捷。对于新业务的部署,能够在不同厂家的接入设备上实现统一快速配置,无需担心各厂家在安全准入方面的配置差异。同时,对于用户的认证上线故障排查,管理员无需逐个访问不同准入设备进行查看,只需通过BRAS设备进行认证排查,即可迅速定位认证故障。
通过使用无源分光器将校园网出口流量镜像到态势感知平台,实现对用户上网行为的深度分析。这使得我们能够及时发现潜在的安全事件,并通过与认证计费系统的联动,迅速定位到用户信息并采取阻断措施,从而避免问题的进一步扩散,极大地提高校园网络的安全性和可靠性。
网络承载层是校园网的核心,分为核心层、汇聚层和接入层。核心层在整个校园网络中扮演着高速互联的核心角色,涵盖南北向的汇聚、出口防火墙以及流量控制设备的联接,以及东西向的数据中心。在网络流量调优方面,核心层与防火墙之间的流控设备发挥着至关重要的作用。核心层在各个方向的互联中均采用了100G以太网接口,相较于万兆接口,它不仅在同等传输线路上提供更大的带宽,而且具备更高的传输效率,为后期管理带来了更大的便捷性。
汇聚层以扁平化大二层网络的方式将众多接入设备和大量用户进行汇聚,然后接入核心层,从而扩展了核心层接入用户的数量。在接入层,各类终端通过以太网交换机接入校园网络,包括无线接入的AP设备和物联接入网关。
广州的三大主校区通过采用20G DWDM设备形成了环形互联,实现了大学城、东风路和龙洞校区之间的20G环形保护。五山校区则通过SD-WAN与大学城校区核心进行互联,实现了统一的出口访问。这样的设计不仅提高了网络的可靠性,同时也为校园网的整体性能和管理提供了更为灵活和高效的解决方案。
出口的安全防护实现对出口边界的有效隔离。采用了DDoS防御技术,有效抵挡了来自互联网的大规模流量攻击。为了更全面地保护网络,还引入了沙箱技术,对未知威胁进行深度防御。这种综合的安全策略不仅防范了已知攻击手段,还极大提高了对0day威胁的抵御能力。
同时,通过与云端威胁情报中心的紧密合作,实现了云端情报能力与本地安全设备的协同联动。及时获取最新的威胁情报,迅速适应网络安全态势的变化。通过及时分享信息,能够更有力地阻断网络中存在的恶意攻击或挖矿行为,为整个系统提供了强大的保护屏障。
这种综合的安全架构通过深入到网络流量和威胁监测的层面,为校园网络的安全性奠定了坚实的基础。
在综合考虑不同应用场景对带宽、延迟和稳定性的需求,采取提前进行流量编排的策略。策略充分考虑了用户需求的多样性,以及不同应用在网络资源利用方面的特殊性。比如,对于用户访问国际数据库的流量,将其引流至访问质量更佳的CERNET线路,以确保能够最优地满足用户对国际资源的需求。对于大文件下载,根据流量出口空闲情况进行负载,避免了单一线路的满载问题,从而提高了整体网络的性能。此外,对于视频聊天、语音和游戏,则优先引流至延迟最低的线路,以保障用户在实时性应用中的良好体验。
在基于应用场景的流量编排策略基础上,也充分利用了DNS设备和流控设备的联动。通过这两者的协同工作,不仅能够根据DNS进行正确运营商的出口调度,避免了跨运营商访问引起的卡顿问题,同时也能够最大程度地提高互联网出口多线路资源的利用率。使得流量能够智能地根据出口大小进行合理分配,确保各线路均衡负载,从而优化了整体网络性能。
通过多层次的流量调度设计,不仅仅考虑了网络的带宽需求,还关注了延迟和稳定性等方面,从而实现了更全面、灵活的网络资源管理。这一综合性的流量调度设计为校园网络提供了更高效、更稳定的服务,为满足不同用户和应用场景的需求提供了强有力的支持。
升级建设超宽校园网是学校信息化办的整体规划下,由网络中心各部门协同进行的一项重要工程。项目采用分步割接的策略,以充分利用暑假空档为工程施工提供有力支持,同时尽最大努力避免对假期留校的科研人员和高考招生人员造成不良影响。
第一步,细致勘察梳理网络。在项目实施的初期,对校园网进行了详细勘察和确认,涵盖拓扑结构、接线配置、流量流向等各方面。通过重新勘察,补充了网络细节,以确保现有网络配置的准确性,并输出了大量详实的现网资料。这一步是整个项目实施的基础,为后续工作提供了全面而可靠的数据支持。
第二步,新网络配置翻译。在完成对现网的细致梳理后,根据新设计的校园网架构,结合旧的配置资料,进行了配置的翻译制作。这一过程包括对现有配置的逐一核对和调整,确保新的网络架构能够无缝取代旧有的配置。同时,制定了详尽的实施方案,为下一步的部署工作奠定了坚实的基础。
第三步,实施前测试验证。考虑到新校园网架构与旧校园网存在一些差异,为了降低割接后可能出现的问题风险,在每次割接前都建立了完备的测试环境,并对关键业务进行了详细的测试验证。这一步的目标是确保新架构在实际运行中的稳定性和兼容性,有效减少在正式割接中可能出现的潜在问题,以确保整个升级过程的顺利进行。
网络运行稳定。通过本次升级建设,成功地构建了一个更为高效和稳定的校园网络架构。截至2023年12月,学校校园网核心层运行稳定,未发生任何重大故障,流量调度正常运行。这证明了新的网络架构(图2)满足了当前校园网络的需求,弥补了之前的不足。同时也为未来的扩展预留了相应的容量,具备支撑学校未来5-10年发展的潜力。
校园网承载能力显著提升。新校园网的承载能力得到了显著提升(图3-4),目前运行以来,最大总出口流量可达80G。
这一数字较之前承载能力翻倍,标志着校园网升级工程的成功实施。原先学校主校区(大学城校区)生活西区流量经常爆满,接近20G,现在流量最高可达26G。主校区的最大流量更是达到了46G,为校园网的高负荷使用提供了强有力的支持。
与全光校园网的融合。通过与学校基于F5G打造的高品质XGPON全光校园网充分融合,为全光网络提供统一的准入认证,成功发挥了全光网的诸多优势。这一整合为全校师生带来了卓越的高速上网体验,为校园内部的信息传输提供了更加可靠和高效的网络支持。新的校园网架构不仅满足了日常教学、科研和管理的需求,更为未来的数字化发展奠定了坚实的基础。
作者:冯广、李梓航、黄慧武、邱敬怀(广东工业大学网络信息与现代教育技术中心)