高校校园网出口解决方案最佳实践

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

高校校园网出口解决方案最佳实践 - 华南农业大学展示^

锐捷公司项目展示~不为参赛~只想展示

1.2.1 项目背景

2007年,锐捷网络携手华南农业大学,进行了万兆校园网升级改造:

图1-1 华南农业大学全网拓扑图

•骨干网升级为10G网络。学校任何重要区域到服务区群和出口路由器均为万兆链

路;

•多核心、圆锥形骨干网设计。学校任何重要区域到服务器群和出口均只有1跳路

由;

•四层架构,区域汇聚双归属设计。从架构上充分保证网络稳定可靠;

•全网的统一身份认证。基于SAM系统的用户管理,以及符合学校特色的大量二次

开发。

在骨干网络改造中,华山、东区、五组团三个区域增加了三台核心交换机RG-S8610,

组成万兆环网,承担华南农业大学核心网,同时三台核心交换机与出口路由器Cisco C7606组成圆锥形的网络框架,万兆骨干数据流积聚于出口路由器。万兆骨干的升级,使得校内流量剧增,校内带宽瓶颈得到很好的解决,同时也给出口网络带来了新的调整。

华南农业大学校园网共有信息点将近40000个,如此密集的信息点,对华南农大的出口形成了强大的冲击。出口带宽利用率接近100%,出口带宽极其紧张(华南农业大学2007年的出口线路情况是:教育网1000M、电信100M),师生普遍反映Internet访问常有缓慢现象,影响了办公、教学、生活的网上应用开展。

1.2.2 项目目标

提升出口NAT地址转换性能

♦电信广域网带宽升级到300M;

♦教育网链路升级为10G链路,动态带宽最高为1.5G。

准确分析出口应用带宽占比

♦多少用户在使用哪些应用;

♦每种应用占用了多少带宽资源。

精细管控出口应用带宽

♦保证教学、办公、科研的关键应用;

♦分时段限制P2P应用流量。

访问日志记录

♦08奥运将至,公安部要求对所有校内用户访问校外进行行为记录,因此需要有一套高效的日志管理系统对出口设备的NAT日志进行收集,通过图形化查询界面快速查找相关

日志信息。

2 案例分析

该章节主要可从网络现状、业务现状、问题或需求等多个角度去分析,是对上一章案例概述的详细分析。通过分析现状及问题,为下一章案例方案奠定基础。

2.1 网络现状

出口网络还未改造前拓扑图如下:

图2-1 校园出口网络升级改造前

如上图所示,出口网络采用单台Cisco路由器7606,连接Cernet、Cernet2、电信三条广域网线路。出口路由器C7606在负责出口网络基于路由策略的路由寻址的同时,为校内所有用户提供NAT(网络地址转换)。随着校园网骨干网络升级的进行,出口路由器负荷越发沉重,在网络高峰期,CPU负载普遍在60%以上。

2.2 业务现状

• 对外业务系统包括:精品课程、校园主页、招生就业等

•对内开展业务系统包括:信息服务、Internet接入、视频会议等•师生的网上生活娱乐类应用:WEB应用、即时通信、在线视听、网上银行等由于出口带宽有限,业务应用之间存在带宽竞争关系。随着P2P应用的广泛开展,出口应用的带宽被P2P大量占用,直接影响了对外业务系统和办公、科研类应用的带宽保障。出口带宽有限、带宽的分配不合理成为校园网出口的最主要矛盾。

2.3 问题分析

从改造前的网络结构图及描述中我们可以看出,华南农业大学出口网络主要存在如下的

需要升级改造的地方:

•出口路由器NAT性能难以满足大容量要求,随着Cernet及电信出口带宽的增加,

性能瓶颈将会越发凸显;

•出口带宽应用无法辨别,无法获知各种应用对出口带宽的占用比例,从而无法提供有效的数据分析以便于针对各应用定制带宽控制策略;

•关键业务应用系统(如,视频会议、精品课程、网上招生等)的带宽无法保障;•无法有效、动态、分时段的对各种应用进行合理的带宽分配,降低P2P应用对带

宽的大量占用;

•通过通用的SYSLOG系统记录出口NAT信息,查找相关日志犹如大海捞针。

3 案例方案

3.1 方案原则

在本项目实施中,锐捷网络遵循如下的原则:

•高速 - 通过出口设备及带宽升级,为校园网出口有效提速;

•智能 - 对出口各种应用进行精确的智能识别;

•精细 - 对出口进行基于用户及应用的精细化带宽管控;

•易管理 - 通过图形化界面可简单、快速的查找相关用户的访问日志。

3.2 方案思路

针对华南农业大学出口网络存在的矛盾,锐捷网络在充分调研并论证的基础上,确定了

以下改造思路:

•出口广域网链路带宽升级;

•策略路由与NAT功能分离,采用专用的高性能NAT路由设备,提升出口网络NAT

的性能;

•增加应用带宽控制设备,对出口各种应用进行智能识别,实时监控出口各应用的带宽占用情况,为制定动态的带宽分配策略提供数据依据;

•通过应用带宽控制设备,实施动态带宽分配,控制P2P应用对出口带宽的过量占

用,保障关键业务应用的带宽分配;

•部署日志审计系统,与现有认证计费系统RG-SAM进行联动,提供基于实名用户的访问日志记录与审查,以符合公安部的日志记录要求。

3.3 方案解析

经升级改造,出口网络拓扑如下:

图3-1 升级改造后的出口网络拓扑

如上图所示,改造后的出口网络,广域网链路带宽有所提高,电信网络带宽从原来的100M增加至300M,教育网出口采用10G链路直接连接至教育网华南节点(华南理工大学),

享有1.5G的动态带宽。

网络出口平台增加了三台网络出口引擎RG-NPE作为出口NAT的专用设备。通过创新的旁挂路由方式,把原有都部署在思科路由器C7606上的策略路由及NAT功能进行有效分离,

大大的提高了出口网络平台的传输效率。

同时,增加部署两台具备管理“3进3出”的千兆级高性能应用控制引擎RG-ACE3000。通过桥接方式,两台RG-ACE3000管理5条千兆链路的应用控制,实现出口应用带宽的准确识别与精确控制。通过精细化的管控机制,有效的保证了出口网络的关键应用如视频会议、精品课程、网上招生等。并且对整体的P2P应用进行限制在80M带宽以内。

另外,在网管中心,部署一套日志管理系统RG-eLog,通过收集来自RG-NPE及RG-ACE 的NAT日志及URL日志,与现有的接入认证计费系统RG-SAM进行用户信息联动,真正实现

了基于用户实名制的日志记录与检索查询。

相关文档
最新文档