近年來,隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,運(yùn)營商的網(wǎng)絡(luò)架構(gòu)正從復(fù)雜化的多層架構(gòu)走向扁平化架構(gòu)。借鑒運(yùn)營商的成功經(jīng)驗(yàn),校園網(wǎng)架構(gòu)模式也發(fā)生了變化,“扁平化純路由架構(gòu)”悄然在高校中興起。目前一些高校已經(jīng)部署或正在部署“扁平化網(wǎng)絡(luò)”,但是“扁平化純路由架構(gòu)”是否真的適合校園網(wǎng)的需求,還須進(jìn)一步分析和研究,本文正是針對傳統(tǒng)的“三層交換架構(gòu)”和“扁平純路由架構(gòu)”做以下分析與探討,為高校的組網(wǎng)架構(gòu)選型提供一些參考。
校園網(wǎng)中網(wǎng)絡(luò)架構(gòu)模式
三層交換架構(gòu)模式
1. 三層交換架構(gòu)模式簡介
目前絕大多數(shù)高校校園網(wǎng)采用的是以路由交換機(jī)技術(shù)為主的分級模型架構(gòu),即“核心-匯聚-接入”。每個層次分別實(shí)現(xiàn)不同的業(yè)務(wù)功能。
核心和匯聚采用三層交換機(jī),接入采用二層交換機(jī)。其結(jié)構(gòu)為交換方式,協(xié)議以二層交換協(xié)議為主,三層路由協(xié)議為輔,三層、兩層協(xié)議混用,其三層路由協(xié)議在核心層和匯聚層上實(shí)現(xiàn),二層交換協(xié)議在核心層、匯聚層、接入層三個層次上實(shí)現(xiàn)。
2. 三層交換架構(gòu)模式功能特點(diǎn)核心層是校園網(wǎng)的主干,主要目的是盡可能快地交換數(shù)據(jù),這一層不應(yīng)該進(jìn)行復(fù)雜的、消耗系統(tǒng)資源較大的數(shù)據(jù)包操作,也不能進(jìn)行減慢數(shù)據(jù)交換的處理。不應(yīng)當(dāng)在核心層進(jìn)行諸如訪問控制列表和數(shù)據(jù)包過濾之類的操作。核心負(fù)責(zé)傳輸穿過校園的數(shù)據(jù)流,不進(jìn)行任何處理器密集(如路由選擇)的操作。核心層所處理的數(shù)據(jù)流比其它層次要大很多,核心層應(yīng)當(dāng)能盡可能快地傳輸數(shù)據(jù)流。
匯聚層是訪問層和核心層之間的分界點(diǎn),它負(fù)責(zé)用戶的三層終結(jié)、路由、ACL、QoS等功能實(shí)現(xiàn)。匯聚層保證了整個校園網(wǎng)的穩(wěn)定性,例如,如果一個或若干個子網(wǎng)遭受到廣播風(fēng)暴攻擊,分布層設(shè)備可以防止該風(fēng)暴擴(kuò)散到核心和網(wǎng)絡(luò)其它區(qū)域。
接入層是最終用戶被許可接入校園網(wǎng)的大門,它是負(fù)責(zé)用戶的接入、相互的隔離、802.1x或Web認(rèn)證的準(zhǔn)入,以及DHCP偵聽和ARP動態(tài)檢測(避免ARP攻擊)、雙棧組播控制與分發(fā)等功能。另外,在客戶端使用Web或802.1x準(zhǔn)入認(rèn)證后,交換機(jī)可自動綁定用戶的IP+MAC+端口信息做源地址報文檢查,可以有效地防范賬號盜用、防IP篡改、防MAC篡改、防ARP攻擊等,從而實(shí)現(xiàn)了靈活性與安全性的有效結(jié)合。
扁平純路由架構(gòu)模式
1. 扁平純路由架構(gòu)模式簡介
扁平化架構(gòu)不是簡單地把網(wǎng)絡(luò)從三層結(jié)構(gòu)壓縮成二層結(jié)構(gòu),而是考慮網(wǎng)絡(luò)規(guī)模的大小、業(yè)務(wù)的多樣性、功能區(qū)的劃分等多種因素,盡量簡化網(wǎng)絡(luò)層次,使網(wǎng)絡(luò)趨近扁平。扁平化的架構(gòu)模式并非必須或一定就是物理聯(lián)接層次上的減少,而是指網(wǎng)絡(luò)邏輯層次的簡化。對于大型高校可以是三層架構(gòu)、二層架構(gòu)混合方式組網(wǎng)。
2. 扁平純路由架構(gòu)模式特點(diǎn)
扁平化網(wǎng)絡(luò)架構(gòu)將傳統(tǒng)三層架構(gòu)各個層次模糊的功能區(qū)分清晰化,實(shí)現(xiàn)了核心業(yè)務(wù)控制層和網(wǎng)絡(luò)接入層分離,實(shí)現(xiàn)用戶、業(yè)務(wù)控制的集中化。
核心層作為整個網(wǎng)絡(luò)的控制層,提供集中的業(yè)務(wù)控制和管理功能,要求設(shè)備性能足夠強(qiáng)大;從接入層直接到核心層之間的設(shè)備都是使用二層功能,通過802.1qVLAN直接連結(jié)到核心路由器,所以網(wǎng)絡(luò)接入層設(shè)備一般只需提供基本的二層VLAN隔離功能,不涉及到業(yè)務(wù)功能。因此部署新的業(yè)務(wù)和功能時,網(wǎng)絡(luò)接入層設(shè)備無需考慮其是否支持,也無需考慮設(shè)備型號,只需要考慮接入端口的擴(kuò)充、上行帶寬的增加,充分保護(hù)了原有低端設(shè)備的建設(shè)投資。
兩種組網(wǎng)模式比較
校園網(wǎng)的特點(diǎn)
校園網(wǎng)主要是為學(xué)校教學(xué)、科研、辦公、管理和生活等提供安全、高速的網(wǎng)絡(luò)服務(wù),有資源共享、信息交流、協(xié)同辦公以及娛樂休閑等多種功能。與運(yùn)營商的網(wǎng)絡(luò)環(huán)境、用戶環(huán)境、應(yīng)用環(huán)境相比有著很大的不同,呈現(xiàn)以下特點(diǎn):
1. 高速的鏈路通道
當(dāng)前高校校園網(wǎng)一般是萬兆骨干,萬兆或千兆匯聚上聯(lián),百兆桌面接入,有著高速的鏈路通道。
2. 校內(nèi)資源豐富,應(yīng)用系統(tǒng)種類多
校園網(wǎng)內(nèi)資源豐富,存在多種應(yīng)用系統(tǒng),既有BBS、FTP和在線視頻等應(yīng)用服務(wù),又有OA等辦公系統(tǒng),主要滿足師生的科研、辦公與學(xué)習(xí),還提供一定娛樂休閑功能。
3. 用戶群密集且活躍
校園網(wǎng)內(nèi)包括大量的學(xué)生機(jī)房,有的高校還包括學(xué)生宿舍網(wǎng),學(xué)生用戶數(shù)量大,且大量使用各種P2P應(yīng)用,消耗了大量的校園網(wǎng)核心帶寬和出口帶寬;學(xué)生用戶群體有著強(qiáng)烈的好奇心,喜歡嘗試新鮮事物,網(wǎng)絡(luò)攻擊現(xiàn)象活躍。
4. 路由簡單
校園網(wǎng)IP分配較固定,且有規(guī)律;內(nèi)部路由數(shù)量較少(最多在幾百條左右),無需復(fù)雜尋址。
5. 校園網(wǎng)數(shù)據(jù)流向規(guī)律
每個學(xué)校由于資源建設(shè)情況和用戶的組成不同,校園網(wǎng)的流量分布也有所區(qū)別,且具有一定的規(guī)律性。校園網(wǎng)數(shù)據(jù)流向主要分三類:①客戶端至數(shù)據(jù)中心服務(wù)器;②客戶端至Internet出口;③各個業(yè)務(wù)區(qū)域之間互訪。例如,如果校園網(wǎng)資源豐富(BBS、在線視頻或FTP服務(wù)),第一種流量較大;相反如果校園網(wǎng)資源比較少,校園的用戶獲取資源主要是通過Internet,則第二種流量為主要流量;校園網(wǎng)內(nèi)各業(yè)務(wù)之間的互訪比較頻繁,第三種流量也占有一定比重。校園網(wǎng)數(shù)據(jù)流向比較集中,需要快速轉(zhuǎn)發(fā)。
兩種組網(wǎng)架構(gòu)在校園網(wǎng)中的應(yīng)用比較
在校園網(wǎng)中,三層交換架構(gòu)和扁平純路由架構(gòu)對比如表1所示。
表1 三層交換架構(gòu)和純路由扁平架構(gòu)對比
|
三層交換架構(gòu) |
扁平純路由架構(gòu) | |
| 設(shè)備 要求 | 核心和匯聚設(shè)備:性能較強(qiáng)的三層交換機(jī);接入層設(shè)備:控制功能較強(qiáng)的二層交換機(jī)。由于很多功能需要接入層設(shè)備支持,比如端口限速,端口隔離,pvlan,portal,802.1x等,對接入層設(shè)備功能要求很高,且最好為同一廠商。 | 核心設(shè)備:高性能路由器,性能足夠強(qiáng)大、接口豐富; 接入和匯聚層設(shè)備:只需支持Vlan功能的二層交換機(jī),兼容多家廠商設(shè)備。 |
| 核心層 | 核心采用高性能的三層交換機(jī),利用ASIC實(shí)現(xiàn)三層數(shù)據(jù)的高速轉(zhuǎn)發(fā),效率很高。大多數(shù)校園網(wǎng)數(shù)據(jù)流向比較集中,且內(nèi)部路由數(shù)量較少,需要快速轉(zhuǎn)發(fā),無需復(fù)雜尋址,高性能的三層交換機(jī)能夠很好滿足這方面的要求。 | 核心采用高性能的路由器,基于軟件的查找路由表,對數(shù)據(jù)進(jìn)行投遞,效率不及高性能三層交換機(jī)。但路由器有著比交換機(jī)更靈活的Qos和更強(qiáng)大的路由處理能力。 |
| 架構(gòu) 特點(diǎn) | 校園網(wǎng)用戶內(nèi)部數(shù)據(jù)交換直接通過接入交換機(jī)或者匯聚交換機(jī)轉(zhuǎn)發(fā),無需經(jīng)過核心骨干網(wǎng),減少核心骨干網(wǎng)流量,降低核心骨干網(wǎng)超負(fù)荷風(fēng)險,有效、合理的使用了核心骨干網(wǎng)資源。校園網(wǎng)IP分配較固定,且有規(guī)律,內(nèi)部路由數(shù)量較少,組網(wǎng)模式采用全交換,滿足校園網(wǎng)的高速數(shù)據(jù)交換。 | 組網(wǎng)采用純路由模式,在轉(zhuǎn)發(fā)每個數(shù)據(jù)報文前,都需要CPU去查找路由表。校園網(wǎng)用戶內(nèi)部數(shù)據(jù)交換量比較多,如QQ文件傳送、文件共享等,所有流量都需經(jīng)過BRAS,增加了BRAS的負(fù)擔(dān)。同時,這些流量經(jīng)過核心骨干網(wǎng)轉(zhuǎn)發(fā),增加了核心骨干網(wǎng)的額外開銷,增加了擴(kuò)容核心骨干網(wǎng)帶寬的幾率。 |
| 運(yùn)維管理 | 由圖2可以看出,有些配置在核心層完成,有些在匯聚和接入層完成,許多策略配置需要各層統(tǒng)籌規(guī)劃。接入層的策略較多,且設(shè)備數(shù)量非常龐大,維護(hù)人員工作量大。 | 由圖4可以看出,策略配置與維護(hù)集中在核心層,很多配置只在核心層即可完成,且該層設(shè)備數(shù)量少,維護(hù)量集中,但對維護(hù)人員技術(shù)水平要求高。 |
| 精細(xì)化管理 | 為了提高校園網(wǎng)內(nèi)部的高速轉(zhuǎn)發(fā),校園網(wǎng)的精細(xì)化管理應(yīng)在網(wǎng)絡(luò)出口和接入層。因?yàn)檎嬲龓捑o缺的地方是在出口,而不是在內(nèi)部。在校園網(wǎng)出口部署專業(yè)的流控設(shè)備,通過流控設(shè)備可實(shí)現(xiàn)基于IP或用戶名的策略定義,比如下行帶寬、會話數(shù)和多種應(yīng)用類型的控制。在接入層部署:在接入層主要實(shí)現(xiàn)802.1x或WEB的用戶準(zhǔn)入和安全的自動防護(hù)功能,從而保證了網(wǎng)絡(luò)的穩(wěn)定性。 | 每個接入層端口對應(yīng)核心設(shè)備的一個子接口,所有控制都在核心設(shè)備完成,方便實(shí)施,并可批量化管理,可以多交換機(jī)上某個端口或某些端口做特定的設(shè)置(如限速、保障帶寬等)。由于BRAS設(shè)備只能對上下行帶寬進(jìn)行控制,對會話數(shù)和應(yīng)用無法控制。因此當(dāng)用戶在使用P2P和訪問WEB時,用戶訪問WEB瀏覽會非常慢,從而用戶上網(wǎng)體驗(yàn)較差。 |
| 認(rèn)證 方式 | 準(zhǔn)入認(rèn)證:采用802.1x或WEB認(rèn)證方式,便于為不同用戶提供靈活接入,在接入層部署,針對端口管理,接入層設(shè)備存在廠商要求。802.1x或WEB認(rèn)證可提供用戶訪問校內(nèi)資源免費(fèi),訪問校外資源收費(fèi);同時,用戶訪問校外資源被限速的情況下,校內(nèi)資源的訪問帶寬不會被限速。網(wǎng)關(guān)認(rèn)證:學(xué)校校園網(wǎng)無需認(rèn)證即可接入,需要訪問校外網(wǎng)絡(luò)的時候,采用專門的認(rèn)證計費(fèi)設(shè)備實(shí)現(xiàn)。 | 準(zhǔn)入認(rèn)證:PPPoE,在核心部署,針對端口管理,需要增加BRAS設(shè)備。在PPPoE認(rèn)證下,利用Qos對每個用戶訪問校內(nèi)和校外資源帶寬進(jìn)行統(tǒng)一限速。假如用戶認(rèn)證后訪問校外資源的帶寬限制為2M,同時訪問校內(nèi)資源的帶寬也被限制為了2M,導(dǎo)致用戶訪問內(nèi)網(wǎng)速度慢,失去了高速校園網(wǎng)的意義。網(wǎng)關(guān)認(rèn)證:BRAS設(shè)備作為校園網(wǎng)出口的網(wǎng)關(guān),用戶使用L2TP VPN撥號的方式訪問訪問校外網(wǎng)絡(luò),故障較多。 |
| 安全 控制 | 利用802.1x或WEB,實(shí)現(xiàn)校園網(wǎng)準(zhǔn)入機(jī)制,多個用戶還可處于同一個Vlan,進(jìn)行局域網(wǎng)的共享。也可通過plan技術(shù)實(shí)現(xiàn)單用戶隔離,但對接入層交換機(jī)要求較高,且配置量大。 | 利用PPPoE實(shí)現(xiàn)校園網(wǎng)準(zhǔn)入機(jī)制,在實(shí)現(xiàn)準(zhǔn)入的同時,也實(shí)現(xiàn)了單用戶的隔離,即每用戶一個Vlan,完全的二層隔離,有效的解決了網(wǎng)絡(luò)病毒的干擾,但同時也損失了局域網(wǎng)的共享功能,比如共享打印機(jī)和文件共享。 |
| 投資 | 前期核心和匯聚層設(shè)備投資較小,但由于對接入層交換機(jī)要求高,且不同廠商的設(shè)備兼容性不好,后期網(wǎng)絡(luò)擴(kuò)建接入層交換機(jī)投資較多。 | 前期核心設(shè)備投資多,但由于對匯聚和接入設(shè)備要求較低,且對不同廠商的設(shè)備兼容性好,后期網(wǎng)絡(luò)的擴(kuò)展投資較小。 |
綜上所述,扁平化純路由架構(gòu)在運(yùn)營商網(wǎng)絡(luò)中大面積部署,帶來很好的收益,但能否滿足校園網(wǎng)特有的業(yè)務(wù)需求以及用戶環(huán)境,還未經(jīng)過大量實(shí)際應(yīng)用來證明,且技術(shù)上還存在許多不足。三層交換組網(wǎng)技術(shù)目前較為成熟,但也存在一些問題。在校園網(wǎng)的環(huán)境中,兩種組網(wǎng)方式都不是完美的,各有自己的優(yōu)勢,同樣也存在自身的缺點(diǎn)。
當(dāng)然,每個高校的業(yè)務(wù)需求也不盡相同,網(wǎng)絡(luò)建設(shè)者應(yīng)該分析自己學(xué)校的特點(diǎn)與業(yè)務(wù)需求,選擇適合本校情況的組網(wǎng)模式。建議在校園網(wǎng)中,針對路由查找能力需求不強(qiáng),校園網(wǎng)內(nèi)業(yè)務(wù)數(shù)據(jù)訪問比較多,數(shù)據(jù)轉(zhuǎn)發(fā)能力要求高的環(huán)境,采用三層交換架構(gòu);建議校園網(wǎng)內(nèi)部交換流量較少、對用戶隔離要求較高或存在大量路由查找業(yè)務(wù)的環(huán)境,為保證良好的安全管理和高效的路由投遞,采用扁平純路由架構(gòu)模式。
![[舒華跑步機(jī)]跑步機(jī)品牌高層指導(dǎo)工作](../../2012/image/8/W444.jpg)
