王冠宇 蔡大鹏 秦爱梅

1 北京青年政治学院 北京 100102

2 北京京北职业技术学院 北京 101400

0 引言

随着网络用户的不断增加，各种网络教育实践活动(如远程教学、网上招生和在线培训考试等)的广泛开展，各高校对网络的应用也越来越广泛。由于种种条件的限制，大部分高校校园网接入CERNET的出口带宽相对较低，访问公众网的速度很慢。因此大部分高校校园网还另外租用一条或几条因特网链路介入，如中国电信等。以北京青年政治学院为例，校园网络共有三个应用出口，分别为 Cernet(教育科研网)、中国电信和北京教育信息网。

采用多链路接入的网络结构，意味着即使其中的一条Internet链路或路由器发生故障，数据的传输仍然可以不受影响，而且到Internet的接入带宽是每个链路可用带宽的总和。当然，只有当所有的链路都得到应用的时候才能达到最佳性能。

图1 多链路接入的典型拓扑

1 多链路接入方案分析比较

1.1 传统的解决方案

图1是一个多链路接入的典型拓扑。

在图1中内部网络到Internet有两条接入链路，其中一条通过ISP1进行链接，而另一条则通过ISP2链接。其中最重要的是IP寻址机制，它通常有两种做法。这两种做法是根据图1中内网使用的IP机制来配置的：

(1) 对内网指定一个惟一的IP地址段。这需要两个ISP之间进行沟通和合作，为这个IP网段到Internet其它部分的链接指定正确的路由，同时必须确保这两个链接都是用于输入流量的。

(2) 每个ISP为内网分配一个不同的IP地址网段。因而，对内网来说两个IP网段同时生效，这就存在输入流量使用什么IP网段的问题。如果使用网段1(由ISP1分配)，若到ISP1的链接失败了，那么相应的流量就失去了返回到网络的路径，因为网段1只能通过ISP1才可达到。同样的原因，如果只使用了网段2，那么ISP1的链接就不会用于输入流量，所以问题在于必须指出输入流量的IP地址。如果两个网段的地址都指定了，那么DNS(域名服务器)的故障恢复及其弹性将变成需要寻址的附加因素。

1.2 基于LinkProof流量管理设备的解决方案

采用Radware的LinkProof实现多链路接入网络的解决方案，其典型拓扑图如图2所示。

图2 采用LinkProof实现多链路接入的典型拓扑

采用 LinkProof实现多链路网络的接入较传统的方案有以下好处：(1) LinkProof可智能地管理分配给网络的不同ISP的 IP网段；(2)对所有通过可用链路输出的流量进行智能化的负载均衡，LinkProof确保了所有ISP的链路达到最优化状态，同时管理用于对外流量的网段； (3) LinkProof利用Radware已被证明有效的就近性算法，综合考虑链路的可用性、负载和带宽，为对外流量选择最佳的ISP链路；(4)作为智能DNS server，它可以管理流入网络的流量，保证全部流量同时从两条链路进入。就近性的算法同样可以保证一条最佳的链路给对内的访问流量。

2 基于LinkProof的流量管理在校园网中的应用

以青年政治学院为例，三出口带宽为：cernet(2Mbps)，中国电信(100Mbps)，教育信息网(100Mbps)。校园网现有教务平台，数字化平台，邮件系统平台，图书馆系统平台，教育资源平台和学生管理系统，各项业务并行运行。校园网中网络应用的多样性，造成了不同应用对带宽、流速存在完全迥异的需求。目前多数校园网采用租用多家运营商的多条链路，实现链路层的冷备份或不完全备份。针对校园网的实际需求，采用Radware的LinkProof设备，设计了一套多链路接入方案，将客户的出网流量根据不同的流量均衡策略分流到多条租用链路上。这样不仅节约了租用成本，而且进一步优化了网络性能和安全性。

由于青年政治学院的 dns中 ns服务记录对映的地址为cernet地址，且校园网使用的域名处于二级域名edu.cn下，因此dns必须通过Cernet出口出去。去往教育信息网的流量走教育信息网出口，以内网的形式访问速度更快。去往cernet免费地址列表中的数据包可以分别从cernet出口和教育信息网出口平分出去。其余访问互联网的数据包结合实际情况分别走电信和教育信息网出口。

2.1 网络结构

为更好地阐明 LinkProof设备对流量的管理作用，实验中选用了3家ISP的3条出口链路进行分流，该方案的网络拓扑图如图3所示。

图3 网络拓扑图

2.2 实现功能

出于对访问速度、链路冗余保护等网络实效性和安全性的考虑，该方案通过 LinkProof对流量的管理功能实现了以下的几个要求：

(1) 需要被访问的 Web应用服务器，其流量不通过LinkProof被分流到ISP的3条出口(也可以针对个别Web服务器启用LinkProof对Inbound流量的管理)。

(2) 不需要被访问的应用的出口流量，分为以下 3种情况进行分流：

① 访问二级域名 edu.cn网内的流量保持原来路由，从Cernet网内通过，即目标地址为edu.cn网内地址的流量不指向LinkProof；

② 访问二级域名edu.cn网外的流量通过LinkProof分流送往电信和教育信息网的两条出口，其中部分访问edu.cn的流量从Cernet的2M链路上通过，即目标地址为指定的部分edu.cn地址段的流量在LinkProof上以edu.cn的2M出口链路作为主用链路；

③ 去往教育信息网的流量走教育信息网出口，以内网的形式访问速度更快。去往cernet免费地址列表中的数据包可以分别从cernet出口和教育信息网出口平分出去。其余访问互联网的数据包结合实际情况分别走电信和教育信息网出口。同时通过 LinkProof提供的轮询算法在这两条链路上实现流量的负载均衡。

如果三条ISP链路中的任何一条发生故障断开，流量可以自动切换到另一条ISP链路上通过；例如如果电信链路发生故障断开，流量可以自动切换到两条ISP链路上负载均衡地通过(也可以采用最小跳数、最小时延等就近性算法计算并选择最佳路由通过)；如果两条ISP链路Cernet和电信都断开，流量可以自动切换到教育网链路上通过，尽管会有拥塞现象，但应用不会完全中断，可以在抢通时间内保障主要应用的使用。

3 结束语

总的来说，多链路接入已经是校园网的普遍选择，这就对实现多链路流量管理的设备提出了更高的要求，方案成功实施后，既充分整合了CERNET和本地ISP的优势资源，实现了流量的多链路负载均衡，又提高了网络接入速度，增强了网络安全性。改进后的多链路接入校园网具有以下优势：

(1) 实用性和先进性。在满足当前的多种业务和相关网络需求的基础上，尽可能采用更先进成熟的接入技术，提供了更高的数据传输能力，使整个系统具有良好的发展潜力，以适应未来业务的发展和技术升级的需要。

(2) 安全可靠性。在采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术，能够提供较强的管理机制、控制手段、事故监控和网络安全保密等技术措施，提高了整个网络系统的安全可靠性。

(3) 灵活性与可扩展性。具有良好的扩展性，能够根据将来信息化不断深入发展的需要，方便地扩展网络接入能力。

(4) 经济性/投资保护。资金的产出投入比达到最大值。能够以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。

(5) 可管理性。有智能化、可管理的性能，能够实现运行状况的监控、监测，带宽资源的合理分配、链路负载的动态配置、链路故障的快速定位和先进的分布式管理。

[1] NorthAmerica Radware Inc. LinkproofWhite Paper[EB/OL].http： //www. radware. com /content/products/lp/whtpaper/default.

[2] North America Radware Inc. Solution Architecture[EB/OL].http： //www. radware. com /content/products/lp/whtpaper/default.

[3] TEARE D.CCDA自学指南——设计Cisco互连网络解决方案(DESGN)[M].北京：人民邮电出版社.2004.

[4] KARENW.组建 cisco多层交换网络[M].北京：人民邮电出版社.2000.

[5] MATTHEW H B.cisco互连网络设计[M].北京：人民邮电出版社.2000.

[6] North America Radware Inc. Radware Solutions for Enterprise Customer[EB/OL]. http： //www. radware. com /content/products/lp/whtpaper/default.