一、前言
高校校园网是高校发展的重要基础设施,是提高学校教学和科研水平不可缺少的支撑环境。校园网一方面为学校提供各种本地网络应用,另一方面是沟通学校内外部网络的桥梁。建立起可运营、可管理的校园网可以保证教学、科研、管理和服务等重要业务稳定地运行,可以让广大教职员工和学生充分享受校园网带来的便利。
随着校园网信息化建设的开展,教学、科研、办公、生活对于校园网平台的依赖性越来越强。国内众多高校校园网经过多年持续不断的基础设施建设和应用提升,已经形成了较为稳定的基础架构和相对丰富的应用平台。在师生们利用校园网获得更多更及时的教育资源的时候,一些网络管理方面和应用方面的问题被暴露了出来,严重影响了校园网络的健康发展。
二、常见问题
相信所有的大学在出口上或多或少都会碰到以下几个困惑:
1、出口带宽大,需要设备的NAT性能强
一般按照传统,客户都习惯在出口部署防火墙或者路由器。但是不管是防火墙或者路由器,其核心作用都不是用来做NAT的。
防火墙本身的核心作用是用来做内网安全区域的划分,所以其硬、软件设计也是围绕这个核心思路来的。防火墙处理并发连接数等性能并不算太强,往往100万级就不算小了,并且因为其自身的硬件,软件架构,NAT会大量消耗设备的性能。所以NAT后的吞吐量和平时标称吞吐量相差甚远。
路由器本身的核心作用是用来处理各种路由协议,根据路由表进行高速的3层数据包转发,所以其软,硬件设计也为了以上目的,NAT同样会大量消耗其资源,且路由器也无法提供高效的NAT体验和众多的NAT功能。
2、出口提供商众多,出口环境复杂
基本上,所有的大学出口链路都不止一条,除了教育网出口以外,可能还有电信,联通,移动等多家运营商。所以将外向访问请求如何在大量的链路出口之间进行优化选路,让各个链路能够充分利用又互相备份就是一个问题。
3、需要对外发布的应用很多,占用了大量的公网IP
学校内部不同的部门,大量不同的应用系统网站需要对外进行发布。但是,随着2012年2月份,全球公网Ipv4地址分配完毕,国内的公网Ipv4地址越来越紧张了。各大运营商随着自身地址的资源的匮乏,对用户分配IP地址也越来越“小气”了。这样一来,紧张的Ipv4地址和越来越多需要发布的应用网站就行程了矛盾。
4、出口设备需要能够与内部ipv6网络的无缝结合,便于未来的发展
随着大学校园里Ipv6网络的日益成熟与扩大,出口设备也迫切需要能够与内部校园网的Ipv6网络互联,这充分要求出口设备能同时支持Ipv4和Ipv6网络,且能实现相互之间的互访:比如能实现Ipv4的访问请求到Ipv6服务器的映射,或者反之。
5、在多条出口链路上发布相同的应用,实现智能域名解析
许多大学在对外发布应用的时候,都会碰到一个问题:出口链路有多个提供商,电信、联通,移动等,如果在每个出口链路上都对同一个的应用做映射IP,那在公网dns上设置域名解析的时候,应该解析到哪条链路出口上的映射IP呢?而如果只使用一个运营商的IP,那造成其他运营商用户访问缓慢如何解决?
6、在大学里对外发布的的应用中,如何实现应用的冗余性,稳定性,动态扩展性
大学对外发布了诸多应用,但是许多应用都是部署在一台服务器上,缺乏冗余性,一旦该服务器出现问题,则部署在上面的应用就会中断;而另一些部署在一台服务器上的应用,当应用负载增高,服务器满负荷工作的时候,却无法动态扩展。
三、解决方案
我们接下来会以如何解决以上6点为主线,详细介绍我们针对对大学出口的详细解决方案。
一、大流量的出口NAT问题
相信在说起出口设备的时候,大家首先都会想到防火墙,路由器,这算是一个约定俗成的共识了,因为大家都这么做。但是说起来,防火墙做NAT却有几个缺点:
A、防火墙普遍并发数比较低,100万,200万都算不低的了。
这个其实不算缺点,因为防火墙本身的本质工作是进行安全区域的划分,外网,内网,DMZ之间的互访,而这种互访对并发连接数要求其实并不算大。因此防火墙的软件设计注定了其并发性能不会太高。而NAT对防火墙而言,只能算一个附带功能,所以其NAT性能是也不会是防火墙主要关心的目标。这样一来,一个NAT性能一般,一个并发连接数不大,如果将防火墙放在出口做NAT,一来碰到异常的大流量,大并发(攻击,病毒),都可能会导致防火墙出现问题。
B、用防火墙在出口做安全防护,本身没有太大的意义
把防火墙用在出口,通常想法是在NAT的同时保护安全,但是这样真的有用吗?
防火墙用在出口主要有2个作用:从内到外流量的NAT转换和从外到内访问的映射。从内到外的正常访问通常不存在安全问题,因为这个只是单向的访问,只能从内网主动访问外网(不包括中毒机器主动向外发起连接),而通常的攻击类型的访问,都是从外网向内网发起的。而在防火墙上,从外向内的途径只有一种,就是公网到内网的映射。通常防火墙上做的映射,都是4层映射,结果就是所有的4层访问请求统统转发到内网服务器,当然也包含了攻击的请求。从这个层面来说,防火墙放在出口,如果是以安全为目的,其实是无效的。
同理,路由器本来是用来处理各种动态静态路由协议,同时进行3层数据包的转发的,用路由器来做NAT,即便是加上特制的NAT板卡,也算是牛头不对马嘴的使用了。所以从以上分析可以看出,路由器和防火墙,其实都不适合用来做出口NAT设备。
那么,理想的出口NAT设备应该具备那些方面的性能特性呢?
1、并发连接性能要非常强。
对于高校而言,除了带宽大以外,用户数也是非常多的,而大部分学生都会运行众多的P2P类应用(视频,下载),这些P2P应用会产生大量的连接。从而导致并发连接数几十倍甚至上百倍于实际上网用户数。所以,出口设备的并发连接数至少需要达到千万级,越高越好。
2、4层新建连接数
并发连接数这个参数,同样是一个重要的指标。这标志了设备同时能处理的新建连接的上限,在面对ddos类的攻击时,该参数越大越表示设备能抗住的异常流量的能力越大。
3、吞吐量
吞吐量这个概念,通常是指非NAT的流量,所以如果是专门部署在出口做NAT设备,则这个数字不能简单的等同于出口带宽,而应该起码10倍于出口带宽,这样才能为NAT消耗资源预留下足够的空间
二、出口提供商众多,出口环境复杂。
各大学的出口结构都类似,一般都为1条或者多条运营商的链路加上教育网出口。大部分的高校外出流量策略都比较简单,可能采用源地址选路,或者简单的靠路由表区分外出流量。但是这些都不能让流量最优化的利用带宽。有如下几个问题:
DNS问题
通常各条链路出口的带宽利用率和dns解析息息相关。即便有1条电信和1条联通,两条带宽相等的链路,如果内网采用了电信的dns服务器,则会出现电信链路上带宽利用率远高于联通链路的情况,这是因为很多ICP(新浪,搜狐类型的网站)会根据发起域名解析的源地址进行判断,如果是电信的地址,则只会返回电信的IP。所以如果只采用某一个运营商的dns,则必然会出现这个问题,从而导致某条出口链路负载很高,而其他链路很低。有些用户会考虑用设置链路阀值的方式来进行流量处理:既当某一条链路的带宽利用率超过阀值以后,就将原本该分配到该链路的流量分配到其他链路上去。但是这样处理会导致访问的问题:比如电信链路上的带宽大,就将原本就该走电信的流量分配到联通的出口,但是这样一来,访问电信的目标地址却从联通链路出去,能否可达都是一个问题了,更别说提高访问速度了。所以这种方式在不同运营商的链路出口的环境下,不觉得实际操作的价值。还有一种部分用户觉得在出口设备上
选路问题
如何为外出流量选择合适的出口链路,这是一个很复杂的问题。简单的有根据目标地址选路,比如电信走电信,联通走联通。即便是这种最简单的处理方式,也会遇到诸如如何快速安全更新路由表的问题。而其他的是否能根据源端口,目标端口,源IP,目标IP,协议等各种方式来选路,都是各个不同情况下可能会遇到的需求。所以灵活的选路策略是对高校出口的很大的挑战。
NAT地址池转换问题
通常,由于高校用户众多,出口链路带宽大,所以不同链路上用来做NAT的地址肯定不止一个,通常会是一个地址池的方式来提供。但是这个时候就会出现问题了,如果同一个用户外出的对同一个应用的访问请求,被分别NAT成不同的地址,则一些应用或者网站的访问就会出现问题。比如淘宝,当登录认证的时候,会记录访问者的源IP地址,如果在访问过程中发生了改变,则会提示重新登录。一般如果用一个公网IP地址来做转换,不会有什么问题。不过基本上所有的高校,因为上网用户多,都不可能只用一个公网IP来做转换,通常都会用有多个IP组成的地址池。这个时候如果在访问过程中,NAT的源IP发生了改变,就会出现问题。而如果单独为这些应用分配IP来做源NAT,又会出现资源浪费的情况。
理想的出口设备在多运营商出口方面应该具备如下的基本功能特性:
1、能够对DNS包进行拦截和重分发的处理
理想状态下,出口设备应该能够拦截所有发往外网的dns包请求,并根据不同运营商链路的带宽比例,将dns请求包的目的dns服务器的IP地址进行修改,发往指定的dns服务器。例如,电信100兆,联通50兆,则将所有dns请求包的3分支2修改后发往电信的dns服务器进行解析,将剩下的3分之一发往联通进行解析,这样所有的http,https类型的流量就能够大概的按照2比1的方式发往电信及联通出口链路。
2、灵活的选路策略
通常,高校的外出流量不能只是简单的电信走电信,联通走联通或者诸如之类的简单处理。各种不同的协议或者流量,很有可能需要分门别类的处理。一般来说,我们可能需要出口设备能同时支持以下各类策略处理方式:
1、设备应该内置各个运营商的IP地址库,且可以通过tftp或者ftp的方式按照设定的频率进行自动更新,并且不能中断设备正常的对上网流量的处理,以避免需要更新路由表时候,还需要冒着断网的风险进行操作。
2、要能够根据内置的各个运营商的IP地址库,将不同的外出流量根据目标IP所属的不同运营商,分别分配到不同的链路上去,并进行匹配的NAT,既是说,从哪个链路出去,就要用那条链路上的地址池来进行NAT。
3、要能够根据协议及目标端口进行选路。我们经常碰到p2p等应用占用了大量出口带宽的情况,而p2p协议的数据连接通常都是使用的udp协议,在未使用专业流量设备的情况下,我们可能需要将所有udp协议数据包或者指定端口的udp包只从一条链路上发送出去,这样一来,即限制了p2p类型流量占用主要的链路带宽。
4、要能够根据源IP方式进行选路。高校内通常都是大量使用教育网公网ip的服务器,而这些服务器的外出请求只能从教育网出口出去,所以简单快捷的源IP方式选路也是必需的。
5、能自动实现链路备份功能。当某条链路出现问题的时候,设备应能够根据事先配置的优先级,将原本该发往该链路的数据发往较低优先级的链路出口,并实现NAT,从而避免正常上网流量的中断。
3、NAT地址转换的粘连性
要避免采用地址池的时候,出现访问某些网站或者应用的过程中出现源地址变化,需要出口设备具备NAT地址粘连性功能,既同一个用户的所有访问都会采用同一个公网IP地址来进行转换,这样就避免出现特殊应用的访问问题。
三、需要对外发布的应用很多,占用了大量的公网IP
随着2012年2月份,全球ipv4公网地址正式分配完,公网IP资源变得越来越紧张。国内的运营商在分配IP地址的时候越发“小气”,但是高校内部的应用却越来越多,需要发布的引用,尤其是网站也是越来越多,所以和公网IP越来越少产生了矛盾。对于通常的防火墙或者路由器上做映射,一个公网IP的80端口只还能做一个网站的映射,这样一来就会大大浪费高校有限的公网IP资源。
理想的出口设备应能够识别各个常用应用的应用层信息,例如对于web网站服务器而言,出口设备应该能够理解用户从外向内发起的http访问的header里的内容,能够从所有访问一个相同公网IP的80端口的请求中,根据不同的http header里访问的url不同,而将这些请求分发到不同的网站服务器上去,这样一来,就能在一个公网IP的80端口上发布个网站,从而提高校大大节省有限的公网IP资源。
四、出口设备需要与内部Ipv6网络无缝结合,便于未来发展。
现在各大高校都在兴建自己的Ipv6网络,以后也会有越来越多的应用跑在Ipv6网络上。但是现在的情况是,通常Ipv6都有自己单独的网络和出口,而学校的出口设备仍然在使用Ipv4的设备。这样的情况会造成内网Ipv6和Ipv6的互联互通问题,也不利于Ipv6用户访问学校内网上Ipv4服务器上的资源,也不能通过学校的多互联网出口对外发起访问。
理想的出口设备在Ipv4和Ipv6共存的情况下,应该具备如下功能:
1、双栈功能
双协议栈(RFC4213),是指在终端设备和网络节点上同时运行IPv4和IPv6两种协议栈,从而在网络中形成逻辑上相互独立的两个网络:IPv4网络和IPv6网络。采用双栈技术部署IPv6,可以在不取消IPv4的同时增加IPv6业务。这种方式的最大优势在于部署简单,在不改变现网网络架构的前提下,通过直接升级现网设备支持IPv6即可。因此,双栈技术目前被认为是部署IPv6网络的最简单的方法,也被国内外运营商广泛采用。
2、NAT64功能
NAT64是由UC3M、Alcatel-Lucent和IMDEA网络公司提出的一种基于地址翻译的过渡方案,目前在IETF正在对该标准进行标准化工作。它主要解决在IPv6接入网环境下,IPv6-only终端访问IPv4-only应用服务的问题。NAT64/DNS64的基本部署方式如下图所示。
NAT64/DNS64技术有两部分构成,NAT64负责进行IPv6到IPv4网络的数据包协议转换;DNS64负责IPv4的DNS A记录解析结果向IPv6的AAAA DNS解析记录的转换。