通过双向“公网加速”,北大有效利用了公网带宽资源,改善了校园内用户对公网资源的访问体验,同时也推动了校园外用户对北大资源的共享,轻松实现了知识的传递。
几年前,海外留学多年的李博士进入北京大学任教,并在校外购买了一套商品房。国外多年,李老师习惯了一切都依靠电脑和网络:上网查询资料、电脑制作课件……回国后,每天的备课时间,李老师仍是习惯性地打开电脑,登录学校网站。但他发现从校外访问学校网络格外慢。因此,李老师有时会选择在办公室备完课再回家,却又发现从校内访问校外某些网站也会很慢。
李老师的遭遇并非个例。几年前北大众多师生都曾面临这样的无奈。
作为中国第一所实现校园无线上网的高校,北京大学建设了国内最大规模之一的校园网络,目前,该网络已通达燕园的每一个角落。作为北京大学信息化建设的生力军,北大计算中心完成了教学楼、办公楼、学生宿舍、教工宿舍等三百多栋楼宇的光纤互连,可提供八万余个有线信息点,无线网络也覆盖了教室、图书馆、办公区和部分学生宿舍。全校四万多名教职员工及学生能够随时方便地接入校园网络,使用丰富的网络资源和网络信息服务。不仅如此,享受北大继续教育服务的上班族,也同样能感受到北大校园网所传递的知识的力量。
美好的事物往往是一柄双刃剑。仅从燕园内部来看,目前校园网内计算机已超过9万台,高峰期同时在线的计算机超过2.5万台,双向流量可达8G左右,随着互联网业务的发展,流量还在不断增长。同时,师生们对网络的安全性及速率要求也越来越高。
为了满足用户日益增长的网络需求,北大校园网在原有CERNET教育科研网络10G物理链路(限速3G)的基础上,增加了多条到公网(中国联通、中国移动以及中国电信等)的链路,目前出口总带宽超过4.3G。公网是相对于教育网而言的一个概念,教育网内有丰富的教学科研类的资源,而公网则拥有更多生活娱乐类的信息。随着网络的发展,教育网和公网的资源呈现出融合和互补的趋势。
引入多条互联网出口链路,一方面可以通过链路冗余达到高可用性,另一方面也改善了校园网用户访问公网的体验。在中国目前的网络体系下,不同运营商网络之间互访是有瓶颈限制的,且不同运营商网络与教育网之间互联带宽有限,跨网的访问因为拥塞或策略限制往往很慢,导致用户体验差。李老师面临的问题就是由公网和教育网之间的带宽限制引起的。因此,对于北大计算中心来说,合理利用多链路,实现“公网加速”,让用户直接感受到公网链路带来的好处,且用户无需做任何设置和改动就能体验到“加速”的效果,是基础工作,也是一个很大的挑战。
“公网加速”不仅要实现从校园网内部访问公网的加速,还要实现从公网访问校园网资源的加速,两个方向的加速目的和实现方式不同。在北大校园网目前的链路连接模式下,各条链路需要分别使用不同的IP地址段。北大校园网用户都使用真实的IP地址,从教育网链路出去直接就是用户的真实IP地址,使用公网链路时则需要转换到对应链路的IP地址。
“出”方向的加速,主要是对用户访问公网资源时的处理,难点在于对复杂的选路策略的处理,包括如何平衡各条链路带宽的使用效率、不同流量如何选择出口链路、链路备份等,而且要支持对FTP、SIP等特殊应用层协议做NAT的能力。“入”方向的加速,主要针对服务器而言,服务器端不做任何修改,通过出口设备上设置在不同链路的地址映射,同一台服务器相当于拥有不同链路上的多个IP地址。“入”方向的难度在于“原路径入原路径回”,从哪个链路进来的流量,返回的报文也要走相应的链路。通常情况下,返回的报文是依据目的路由确定转发出去的链路,这样就有可能出现选择非进入链路的情况。
众所周知,校园网出口位置关键,是校园网与公网连接的喉舌,如果该位置出现问题,将会导致校园网与公网连接的瘫痪。因此,对于北大校园网的“公网加速”项目来说,还有一个重要的要求是设备要稳定可靠,有足够的性能和扩展性。
北大计算中心以服务北大的教学、科研和管理为己任,为北大创造了一个良好的信息网络环境,对北京大学“创建世界一流大学”战略的全面实施起到了重要的支撑和保障作用。从2010年开始,北大计算中心开始在北大校园网出口测试华为USG9000防火墙,并于2011年正式部署该产品。
USG9000采用核心路由器硬件平台,提供模块化部件,业务处理模块(SPU)是基于多核多线程架构,能确保NAT等多种业务高速并行处理,而且处理能力不受CPU处理性能的限制。在部署前我们发现,USG9000的单板并发连接数≥800万,每秒新建连接数≥100万,其性能完全可以满足北大校园网出口的需求。
USG9000防火墙在北大校园网中实现了多种功能。一方面,凭借产品本身提供的防火墙和IPS功能,其对常见的网络攻击设置了抵御能力,提升了校园网在防御公网攻击时的稳健性和可控性。另一方面,我们利用该设备的特性,实现了进出双向的“公网加速”:USG9000支持策略路由,有足够的灵活性来实现复杂情况下的路由选择,支持常见应用的NATALG,支持链路的状况检测,当某条链路不通时,其相关的转发策略会自动失效,流量可以自动切换到其他链路。
同时,经过我们的试用和建议,USG9000当前已经支持“原路返回”功能,只需要在相应的接口进行配置即可,服务器端无需做任何设置。
通过部署USG9000,北大校园网实现了按策略的“出”方向公网加速,例如访问位于电信ISP的网站走电信链路,提高了校内用户访问外网的平均速度。同时,北大校园网为北京大学三百多个网站/主页提供公网访问加速服务,有效改善了从公网访问北大校园网的网络速度。如今,李老师从家中访问校园网资源的速度明显快了很多。
完成部署三年多来,华为USG9000高端防火墙一直在北大校园网出口稳定可靠地运行,成功保障了李老师及其他北大教职员工、学生的网络生活。通过在USG9000上配置实现双向“公网加速”方案,北大计算中心有效利用了公网带宽资源,改善了校园内用户对公网资源的访问体验,保障了校园关键业务的速度,同时也推动了校园外用户对北大资源的共享,轻松实现了知识的传递。
不仅如此,USG9000防火墙多个扩展插槽还将充分满足北大校园网未来流量增长以及接口扩充的需要。此外,在IPv4网络中运行的同时,北大计算中心也在IPv6网络中对USG9000进行了基本的功能测试,结果显示良好。我们相信,在IPv4及IPv6共存时期,该产品一定能够在北大校园网中发挥更大的作用。