通過雙向“公網(wǎng)加速”，北大有效利用了公網(wǎng)帶寬資源，改善了校園內(nèi)用戶對公網(wǎng)資源的訪問體驗，同時也推動了校園外用戶對北大資源的共享，輕松實現(xiàn)了知識的傳遞。

幾年前，海外留學(xué)多年的李博士進入北京大學(xué)任教，并在校外購買了一套商品房。國外多年，李老師習(xí)慣了一切都依靠電腦和網(wǎng)絡(luò)：上網(wǎng)查詢資料、電腦制作課件……回國后，每天的備課時間，李老師仍是習(xí)慣性地打開電腦，登錄學(xué)校網(wǎng)站。但他發(fā)現(xiàn)從校外訪問學(xué)校網(wǎng)絡(luò)格外慢。因此，李老師有時會選擇在辦公室備完課再回家，卻又發(fā)現(xiàn)從校內(nèi)訪問校外某些網(wǎng)站也會很慢。

李老師的遭遇并非個例。幾年前北大眾多師生都曾面臨這樣的無奈。

校園網(wǎng)通達燕園每個角落

作為中國第一所實現(xiàn)校園無線上網(wǎng)的高校，北京大學(xué)建設(shè)了國內(nèi)最大規(guī)模之一的校園網(wǎng)絡(luò)，目前，該網(wǎng)絡(luò)已通達燕園的每一個角落。作為北京大學(xué)信息化建設(shè)的生力軍，北大計算中心完成了教學(xué)樓、辦公樓、學(xué)生宿舍、教工宿舍等三百多棟樓宇的光纖互連，可提供八萬余個有線信息點，無線網(wǎng)絡(luò)也覆蓋了教室、圖書館、辦公區(qū)和部分學(xué)生宿舍。全校四萬多名教職員工及學(xué)生能夠隨時方便地接入校園網(wǎng)絡(luò)，使用豐富的網(wǎng)絡(luò)資源和網(wǎng)絡(luò)信息服務(wù)。不僅如此，享受北大繼續(xù)教育服務(wù)的上班族，也同樣能感受到北大校園網(wǎng)所傳遞的知識的力量。

美好的事物往往是一柄雙刃劍。僅從燕園內(nèi)部來看，目前校園網(wǎng)內(nèi)計算機已超過9萬臺，高峰期同時在線的計算機超過2.5萬臺，雙向流量可達8G左右，隨著互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展，流量還在不斷增長。同時，師生們對網(wǎng)絡(luò)的安全性及速率要求也越來越高。

多鏈路遭遇加速難題

為了滿足用戶日益增長的網(wǎng)絡(luò)需求，北大校園網(wǎng)在原有CERNET教育科研網(wǎng)絡(luò)10G物理鏈路（限速3G）的基礎(chǔ)上，增加了多條到公網(wǎng)（中國聯(lián)通、中國移動以及中國電信等）的鏈路，目前出口總帶寬超過4.3G。公網(wǎng)是相對于教育網(wǎng)而言的一個概念，教育網(wǎng)內(nèi)有豐富的教學(xué)科研類的資源，而公網(wǎng)則擁有更多生活娛樂類的信息。隨著網(wǎng)絡(luò)的發(fā)展，教育網(wǎng)和公網(wǎng)的資源呈現(xiàn)出融合和互補的趨勢。

引入多條互聯(lián)網(wǎng)出口鏈路，一方面可以通過鏈路冗余達到高可用性，另一方面也改善了校園網(wǎng)用戶訪問公網(wǎng)的體驗。在中國目前的網(wǎng)絡(luò)體系下，不同運營商網(wǎng)絡(luò)之間互訪是有瓶頸限制的，且不同運營商網(wǎng)絡(luò)與教育網(wǎng)之間互聯(lián)帶寬有限，跨網(wǎng)的訪問因為擁塞或策略限制往往很慢，導(dǎo)致用戶體驗差。李老師面臨的問題就是由公網(wǎng)和教育網(wǎng)之間的帶寬限制引起的。因此，對于北大計算中心來說，合理利用多鏈路，實現(xiàn)“公網(wǎng)加速”，讓用戶直接感受到公網(wǎng)鏈路帶來的好處，且用戶無需做任何設(shè)置和改動就能體驗到“加速”的效果，是基礎(chǔ)工作，也是一個很大的挑戰(zhàn)。

“公網(wǎng)加速”不僅要實現(xiàn)從校園網(wǎng)內(nèi)部訪問公網(wǎng)的加速，還要實現(xiàn)從公網(wǎng)訪問校園網(wǎng)資源的加速，兩個方向的加速目的和實現(xiàn)方式不同。在北大校園網(wǎng)目前的鏈路連接模式下，各條鏈路需要分別使用不同的IP地址段。北大校園網(wǎng)用戶都使用真實的IP地址，從教育網(wǎng)鏈路出去直接就是用戶的真實IP地址，使用公網(wǎng)鏈路時則需要轉(zhuǎn)換到對應(yīng)鏈路的IP地址。

“出”方向的加速，主要是對用戶訪問公網(wǎng)資源時的處理，難點在于對復(fù)雜的選路策略的處理，包括如何平衡各條鏈路帶寬的使用效率、不同流量如何選擇出口鏈路、鏈路備份等，而且要支持對FTP、SIP等特殊應(yīng)用層協(xié)議做NAT的能力。“入”方向的加速，主要針對服務(wù)器而言，服務(wù)器端不做任何修改，通過出口設(shè)備上設(shè)置在不同鏈路的地址映射，同一臺服務(wù)器相當于擁有不同鏈路上的多個IP地址。“入”方向的難度在于“原路徑入原路徑回”，從哪個鏈路進來的流量，返回的報文也要走相應(yīng)的鏈路。通常情況下，返回的報文是依據(jù)目的路由確定轉(zhuǎn)發(fā)出去的鏈路，這樣就有可能出現(xiàn)選擇非進入鏈路的情況。

眾所周知，校園網(wǎng)出口位置關(guān)鍵，是校園網(wǎng)與公網(wǎng)連接的喉舌，如果該位置出現(xiàn)問題，將會導(dǎo)致校園網(wǎng)與公網(wǎng)連接的癱瘓。因此，對于北大校園網(wǎng)的“公網(wǎng)加速”項目來說，還有一個重要的要求是設(shè)備要穩(wěn)定可靠，有足夠的性能和擴展性。

USG9000實現(xiàn)雙向“公網(wǎng)加速”

北大計算中心以服務(wù)北大的教學(xué)、科研和管理為己任，為北大創(chuàng)造了一個良好的信息網(wǎng)絡(luò)環(huán)境，對北京大學(xué)“創(chuàng)建世界一流大學(xué)”戰(zhàn)略的全面實施起到了重要的支撐和保障作用。從2010年開始，北大計算中心開始在北大校園網(wǎng)出口測試華為USG9000防火墻，并于2011年正式部署該產(chǎn)品。

USG9000采用核心路由器硬件平臺，提供模塊化部件，業(yè)務(wù)處理模塊（SPU）是基于多核多線程架構(gòu)，能確保NAT等多種業(yè)務(wù)高速并行處理，而且處理能力不受CPU處理性能的限制。在部署前我們發(fā)現(xiàn)，USG9000的單板并發(fā)連接數(shù)≥800萬，每秒新建連接數(shù)≥100萬，其性能完全可以滿足北大校園網(wǎng)出口的需求。

USG9000防火墻在北大校園網(wǎng)中實現(xiàn)了多種功能。一方面，憑借產(chǎn)品本身提供的防火墻和IPS功能，其對常見的網(wǎng)絡(luò)攻擊設(shè)置了抵御能力，提升了校園網(wǎng)在防御公網(wǎng)攻擊時的穩(wěn)健性和可控性。另一方面，我們利用該設(shè)備的特性，實現(xiàn)了進出雙向的“公網(wǎng)加速”：USG9000支持策略路由，有足夠的靈活性來實現(xiàn)復(fù)雜情況下的路由選擇，支持常見應(yīng)用的NATALG，支持鏈路的狀況檢測，當某條鏈路不通時，其相關(guān)的轉(zhuǎn)發(fā)策略會自動失效，流量可以自動切換到其他鏈路。

同時，經(jīng)過我們的試用和建議，USG9000當前已經(jīng)支持“原路返回”功能，只需要在相應(yīng)的接口進行配置即可，服務(wù)器端無需做任何設(shè)置。

通過部署USG9000，北大校園網(wǎng)實現(xiàn)了按策略的“出”方向公網(wǎng)加速，例如訪問位于電信ISP的網(wǎng)站走電信鏈路，提高了校內(nèi)用戶訪問外網(wǎng)的平均速度。同時，北大校園網(wǎng)為北京大學(xué)三百多個網(wǎng)站/主頁提供公網(wǎng)訪問加速服務(wù)，有效改善了從公網(wǎng)訪問北大校園網(wǎng)的網(wǎng)絡(luò)速度。如今，李老師從家中訪問校園網(wǎng)資源的速度明顯快了很多。

公網(wǎng)加速輕松實現(xiàn)知識傳遞

完成部署三年多來，華為USG9000高端防火墻一直在北大校園網(wǎng)出口穩(wěn)定可靠地運行，成功保障了李老師及其他北大教職員工、學(xué)生的網(wǎng)絡(luò)生活。通過在USG9000上配置實現(xiàn)雙向“公網(wǎng)加速”方案，北大計算中心有效利用了公網(wǎng)帶寬資源，改善了校園內(nèi)用戶對公網(wǎng)資源的訪問體驗，保障了校園關(guān)鍵業(yè)務(wù)的速度，同時也推動了校園外用戶對北大資源的共享，輕松實現(xiàn)了知識的傳遞。

不僅如此，USG9000防火墻多個擴展插槽還將充分滿足北大校園網(wǎng)未來流量增長以及接口擴充的需要。此外，在IPv4網(wǎng)絡(luò)中運行的同時，北大計算中心也在IPv6網(wǎng)絡(luò)中對USG9000進行了基本的功能測試，結(jié)果顯示良好。我們相信，在IPv4及IPv6共存時期，該產(chǎn)品一定能夠在北大校園網(wǎng)中發(fā)揮更大的作用。