DOIT 发表于:13年12月25日 00:45 [综述] DOIT.com.cn
我国众多高校的校园网经过持续不断升级与创新,已经形成了较为稳定的基础架构和相对丰富的应用平台。随着高校信息化应用在教学、科研、办公、生活等方面不断深入,用户对于校园网平台的依赖性越来越强。然而,在校园网多元化应用发展的同时,网络出口问题也逐渐暴露出来,网络不稳定、网速慢、安全能力差等异常情况,严重影响了校园网的健康发展。
剖析校园网出口性能低下的原因与对策
校园网的出口带宽在不断扩容,而需要承载的应用也越来越多,但是网络出口却没有提供相应的吞吐性能。首先,从大多数校园网的实际应用环境来看,其网络带宽巨大,而且用户常会运用大量的P2P类应用(视频、下载),这些P2P应用会产生大量的连接,从而导致并发连接数几十倍甚至上百倍于实际上网用户数。而且,校园网出口往往会需要网络地址转换(NAT,Network Address Translation),但无论是防火墙还是路由器,其核心功能都不是为NAT专门打造的,地址转换过程会极大的消耗硬件性能,导致吞吐量大幅下降,这就让网络出口无法发挥最大的效能。
其次,校园网出口提供商众多,环境较为复杂。所有的大学出口链路都不止一条,除了教育网出口以外,可能还有电信、联通、移动等多家运营商。而大部分的高校外出流量策略都比较简单,可能采用源地址选路或者简单的靠路由表区分外出流量,但是这些都不能让流量最优化的利用带宽。所以外向访问请求和应用发布如何在多个链路出口之间进行优化选路,让各个链路能够充分利用又互相备份就是一个问题。如果解决不好,无疑会对出口性能造成很大影响。
校园网在网络流量、应用场景等方面的特殊性导致了其网络出口很容易发生拥堵。而且,高校对外发布了诸多应用,但是许多应用都是部署在一台服务器上,缺乏冗余性,一旦该服务器出现问题,则部署在上面的应用就会中断。另外,当单台服务器出现应用负载过高之后,服务器满负荷工作却无法动态扩展,致使访问者的体验感受只能用“慢”来形容。
A10Networks公司副总裁兼大中华区总经理蔡劼表示:“要解决校园网出口遇到的难题,需要‘对症下药’,对网络系统进行针对性的部署和升级。比如,要实现如此高的并发连接数以及新建连接数,依靠防火墙或路由器来做网络出口设备显然是不行的,而是选择在并发连接性能、4层新建连接数和吞吐量方面都表现优秀的出口NAT设备。而且,设备的吞吐量不能简单的等同于出口带宽,而应该至少10倍于出口带宽,这样才能为NAT消耗资源预留下足够的空间。其次,理想的出口设备应该是高可用的,同时还需具备服务器负载均衡的功能,这样,当用户需要的时候,可以直接将单台服务器扩展为一个服务资源组,而对外发布的IP和端口却不需要做任何改变,以实现应用的无缝扩展。”
对于链路优化选择的问题,蔡劼给出了这样的建议:高校网络采用的灵活选路策略至少应同时支持以下几种处理方式--根据各运营商的IP地址库、根据协议及目标的端口、根据IP方式等进行选路,并在某条链路出现问题的时候能够根据事先配置的优先级,将原本该发往该链路的数据发往较低优先级的链路出口,并实现NAT,从而避免正常上网流量的中断。
校园网出口如何“立足当下、面向未来”
在网络出口管理难题中,IP地址的供需矛盾则是另一个非常难调和的问题。在校园网内部,有大量不同的应用系统网站需要对外进行发布。但是,随着全球公网IPv4地址的分配完毕,国内可供分配的公网IPv4地址越来越少。高校内部院系部门很多,大量不同的应用系统网站需要对外进行发布。这样一来,紧张的IPv4地址和越来越多需要发布的应用网站就产生了尖锐的矛盾。
蔡劼指出:从目前的情况来看,IPv4地址已经枯竭,向IPv6演进是一个不可逆转的进程。现在各大高校都在兴建自己的IPv6网络,以后也会有越来越多的应用跑在IPv6网络上。这就要求负载均衡设备与内部IPv6网络无缝结合,以便将来更顺利的转换,A10 Networks的解决方案是通过运营商级网络地址翻译(CGN/CGNAT)、DS-Lite、IPv6快速部署(6rd)等方式,保证IPv6和IPv4网络的相互访问,实现IPv6的大规模部署。
A10 Networks的Thunder/AX系列是应用交付市场上包含最完整IPv6迁移技术特性的设备,提供了4~7层的全面功能和一系列虚拟技术,帮助高校用户在这个可扩展的高性能平台同时运行各种IPv4和IPv6特性。由于设备采用了A10 Networks64位高级核心操作系统(ACOS),并搭配高效共享内存架构,充分利用超级并行计算处理(SMP)技术,利用独有的“零拷贝”、“零IPC(处理器间通信)”、“零中断”、“零队列”以及“零锁定”技术能够让CPU线性的处理应用流量,从而提供最大的处理性能。