金海峰 坎香

摘 ?要： 安全、通暢、穩(wěn)定、可靠是大型園區(qū)網(wǎng)絡(luò)建設(shè)始終追求的目標(biāo)，而傳統(tǒng)網(wǎng)絡(luò)采用單鏈路架構(gòu)方式，極易出現(xiàn)因?yàn)殒溌饭收隙斐删W(wǎng)絡(luò)不穩(wěn)定，甚至網(wǎng)絡(luò)癱瘓的現(xiàn)象。文章基于虛擬化技術(shù)MDC、路由策略、冗余技術(shù)IRF，提出一種全新的校園網(wǎng)絡(luò)架構(gòu)解決方案，在保障校園網(wǎng)絡(luò)的可靠性、穩(wěn)定性的同時(shí)，通過(guò)部署校園網(wǎng)絡(luò)資源分配策略，優(yōu)先保障教育教學(xué)的需求，提升了出口帶寬資源的有效利用率。

關(guān)鍵詞： 虛擬化;MDC;IRF;路由策略

中圖分類號(hào)： TP393.18 ? ?文獻(xiàn)標(biāo)識(shí)碼： A ? ?DOI：10.3969/j.issn.1003-6970.2020.08.034

本文著錄格式：金海峰，坎香. 基于IRF+MDC技術(shù)的高性能校園網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)探究[J]. 軟件，2020，41（08）：125-128

【Abstract】： Safety， smoothness， stability and reliability are always the goal of large-scale park network construction. However， the traditional network adopts single link architecture， which is prone to network instability or even network paralysis due to link failure. Based on the virtualization technology MDC， routing strategy and redundancy technology IRF， this paper puts forward a new campus network architecture solution. While ensuring the reliability and stability of the campus network， through the deployment of the campus network resource allocation strategy， it gives priority to the needs of education and teaching， and improves the effective utilization of the export bandwidth resources.

【Key words】： Virtualization; MDC; IRF; Routing policy

0 ?引言

隨著云計(jì)算技術(shù)的發(fā)展，互聯(lián)網(wǎng)應(yīng)用日益增長(zhǎng)，越來(lái)越多的高校開始開展線上和線下混合式教學(xué)?；旌鲜浇虒W(xué)符合當(dāng)代學(xué)生的認(rèn)知規(guī)律和學(xué)習(xí)習(xí)慣，能夠有效彌補(bǔ)傳統(tǒng)教學(xué)的不足、痛點(diǎn)，提升人才培養(yǎng)質(zhì)量。但同時(shí)，混合式教學(xué)對(duì)校園網(wǎng)的基礎(chǔ)建設(shè)、資源分配也提出了新的挑戰(zhàn)。

挑戰(zhàn)1：傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)采用四層架構(gòu)模式：接入層、匯聚層、核心層，以及出口設(shè)備，各層次之間采用單鏈路連接。傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)簡(jiǎn)單、成本低，但也帶來(lái)了致命的弱點(diǎn)：容易出現(xiàn)單點(diǎn)故障。比如核心層設(shè)備或者設(shè)備的某一端口出現(xiàn)故障，將直接導(dǎo)致該設(shè)備或端口下聯(lián)的設(shè)備無(wú)法與上層設(shè)備相連，不能夠訪問(wèn)Internet。解決單點(diǎn)故障問(wèn)題，可以借助IRF技術(shù)手段，增加冗余鏈路，增強(qiáng)網(wǎng)絡(luò)的冗余性。一方面解決冗余鏈路帶來(lái)的交換環(huán)路、廣播風(fēng)暴、MAC地址表不穩(wěn)定等問(wèn)題，同時(shí)也提升了網(wǎng)絡(luò)的穩(wěn)定性與可靠性，增強(qiáng)網(wǎng)絡(luò)的健壯性。

挑戰(zhàn)2：隨著互聯(lián)網(wǎng)應(yīng)用的日益增多，校園網(wǎng)內(nèi)的數(shù)據(jù)包括了網(wǎng)頁(yè)、FTP、DNS、視頻會(huì)議，以及觀看音視頻、打游戲所產(chǎn)生的的流量。根據(jù)數(shù)據(jù)的重要程度，或者輕重緩急大致可以分為兩類：教育教學(xué)所產(chǎn)生的數(shù)據(jù)，以及其他數(shù)據(jù)。針對(duì)有限的網(wǎng)絡(luò)資源，尤其是出口帶寬資源。可以借助策略路由和MDC技術(shù)手段，設(shè)計(jì)合理的硬件資源分配方案，優(yōu)先滿足教育教學(xué)對(duì)網(wǎng)絡(luò)資源的需求。

1 ?技術(shù)原理介紹

1.1 ?MDC技術(shù)

MDC是一種“1∶N”的虛擬化技術(shù)，其核心思想是將一臺(tái)物理設(shè)備劃分為多臺(tái)邏輯設(shè)備，每臺(tái)邏輯設(shè)備就成為一臺(tái)MDC（Multitenant Device Context，多租戶設(shè)備環(huán)境）。每臺(tái)MDC有獨(dú)立的接口、CPU資源、內(nèi)存空間，以及獨(dú)立運(yùn)行的二三層協(xié)議、獨(dú)立的路由表、獨(dú)立的NAT等，為用戶提供與真實(shí)設(shè)備一樣的體驗(yàn)[1]。每臺(tái)MDC就是一個(gè)獨(dú)立的設(shè)備，通過(guò)手工調(diào)配接口數(shù)量、CPU資源、內(nèi)存空間等硬件資源達(dá)到資源使用的合理化、有效化，MDC功能示意圖如圖1所示。

1.2 ?路由策略

要實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)按照用戶的需求沿著不同的路徑轉(zhuǎn)發(fā)，在數(shù)據(jù)入口上定義路由策略，網(wǎng)絡(luò)數(shù)據(jù)按照定義的route-map進(jìn)行轉(zhuǎn)發(fā)，route-map中包含多條路由策略項(xiàng)，網(wǎng)絡(luò)數(shù)據(jù)自頂向下匹配，一旦匹配成功，則結(jié)束匹配，按照預(yù)設(shè)的動(dòng)作，完成數(shù)據(jù)轉(zhuǎn)發(fā)。如果匹配失敗，路由策略失效，再根據(jù)靜態(tài)路由、動(dòng)態(tài)路由轉(zhuǎn)發(fā)數(shù)據(jù)。路由策略的優(yōu)先級(jí)高于靜態(tài)路由、動(dòng)態(tài) ?路由[2]。

1.3 ?IRF技術(shù)

IRF是一種“N∶1”的虛擬化技術(shù)，其核心思想是將多臺(tái)設(shè)備，甚至是不同地理位置的設(shè)備虛擬化成一臺(tái)“IRF設(shè)備”，統(tǒng)一管理、協(xié)同工作。IRF成員設(shè)備按照功能不同，分為兩種角色：Master和Standby，Master負(fù)責(zé)管理整個(gè)IRF，Standby作為Master設(shè)備的備份運(yùn)行，IRF通過(guò)成員設(shè)備的優(yōu)先級(jí)選舉產(chǎn)生Master，優(yōu)先級(jí)數(shù)字越大，優(yōu)先級(jí)越高[3]。

2 ?多鏈路校園網(wǎng)絡(luò)架構(gòu)模型

針對(duì)校園網(wǎng)絡(luò)的迅速擴(kuò)大，校園網(wǎng)核心層設(shè)備選用四臺(tái)交換機(jī)，支持靜態(tài)路由、策略路由、IRF、以及二三層鏈路聚合等技術(shù)，自左向右分別命名為CORE- 1、CORE-2、CORE-3、CORE-4，四臺(tái)核心交換機(jī)之間采用千兆鏈路互聯(lián)，組成IRF通信環(huán)路，四臺(tái)核心交換機(jī)分別與校園網(wǎng)接入設(shè)備互聯(lián)。校園網(wǎng)絡(luò)出口路由器選用H3C 高性能路由器，支持靜態(tài)路由、NAT、三層鏈路聚合，以及MDC等技術(shù)。出口防火墻設(shè)置成透?jìng)髂Ｊ?，主要用于病毒防護(hù)、入侵檢測(cè)，以及上網(wǎng)行為管理等[4-5]。具體網(wǎng)絡(luò)拓?fù)淙鐖D2所示。

3 ?核心層冗余鏈路設(shè)計(jì)與實(shí)施

3.1 ?IRF策略設(shè)計(jì)

核心層設(shè)備CORE-1、CORE-2、CORE-3、CORE-4之間采用千兆鏈路互聯(lián)，組成核心環(huán)網(wǎng)。四臺(tái)核心層交換機(jī)組成IRF組，編號(hào)分別是1、2、3、4，設(shè)備的成員優(yōu)先級(jí)分別為40、20、30、10，CORE-1為MASTER，負(fù)責(zé)IRF運(yùn)行。

3.2 ?IRF策略實(shí)施

（1）建立IRF組1，配置各IRF成員設(shè)備編號(hào)、優(yōu)先級(jí)[6]。

[CORE-1]irf member 1 renumber 1 //建立IRF組1，當(dāng)前設(shè)備成員編號(hào)為1

[CORE-1]irf member 1 priority 40 //設(shè)置IRF成員優(yōu)先級(jí)為40

[CORE-1]save //保存配置

[CORE-2]irf member 1 renumber 2

[CORE-2]irf member 1 priority 20

[CORE-2]save

[CORE-3]irf member 1 renumber 3

[CORE-3]irf member 1 priority 30

[CORE-3]save

[CORE-4]irf member 1 renumber ?4

[CORE-4]irf member 1 priority 10

[CORE-4]save

（2）將四臺(tái)核心層交換機(jī)斷電后，保證線纜連接成功后，重新加電啟動(dòng)設(shè)備。設(shè)備啟動(dòng)成功后，四臺(tái)設(shè)備的接口編號(hào)增加了IRF成員編號(hào)，如CORE-2的接口Ten-GigabitEthernet0/1變成了Ten-GigabitEthernet2/0/1。

（3）建立IRF端口，并綁定物理端口。

[CORE-1] interface Ten-GigabitEthernet1/0/1

[CORE-1-Ten-GigabitEthernet1/0/1]shutdown //物理端口加入IRF之前，必須處于關(guān)閉狀態(tài)。

[CORE-1-Ten-GigabitEthernet1/0/1]quit

[CORE-1]irf-port 1/1 //創(chuàng)建IRF端口，第一個(gè)1表示IRF成員編號(hào)，第二個(gè)1表示IRF端口編號(hào)。

[CORE-1-irf-port1/1]port group interface Ten-Giga-b?itEthernet1/0/1

[CORE-1-irf-port1/1]quit

[CORE-1]interface Ten-GigabitEthernet1/0/1

[CORE-1-Ten-GigabitEthernet1/0/1]undo shutdown ?//物理端口加入IRF端口后，開啟該物理端口。

[CORE-1-Ten-GigabitEthernet1/0/1]quit

[CORE-1]save

參照上述方法，完成其他IRF成員設(shè)備上IRF端口的創(chuàng)建。

（4）激活所有IRF端口

[CORE-1]irf-port-configuration active

（5）四臺(tái)核心層交換機(jī)會(huì)進(jìn)行Master競(jìng)選，優(yōu)先級(jí)最高的CORE-1會(huì)自動(dòng)競(jìng)選為Master，其他設(shè)備重啟后，IRF組建立完成，系統(tǒng)統(tǒng)一命名為CORE-1。

（6）四臺(tái)核心層交換機(jī)與校園網(wǎng)接入設(shè)備互聯(lián)端口設(shè)置為二層聚合端口。

[CORE-1]interface bridge-aggregation 1

[CORE-1]interface range Ten-GigabitEthernet1/0/3，Ten-GigabitEthernet1/0/4，Ten-GigabitEthernet2/0/3，Ten-GigabitEthernet2/0/4，Ten-GigabitEthernet3/0/3，Ten-GigabitEthernet3/0/4，Ten-GigabitEthernet4/0/3，Ten-GigabitEthernet4/0/4

[CORE-1-if-range]port link-aggregation group 1

（7）四臺(tái)核心層交換機(jī)與校園網(wǎng)絡(luò)出口路由器互聯(lián)網(wǎng)端口設(shè)置成三層聚合端口。

[CORE-1-if-range]interface route-aggregation 2 //創(chuàng)建三層聚合端口2

[CORE-1-route-Aggregation2]ip address ip

[CORE-1]interface range Ten-GigabitEthernet1/0/5，Ten-GigabitEthernet2/0/5

[CORE-1-if-range]port link-mode route //交換端口加入三層聚合端口前必須更改為路由模式。

[CORE-1-if-range]port link-aggregation group 2 //加入聚合端口2

參照上述方法，將端口Ten-GigabitEthernet3/0/5、Ten-GigabitEthernet4/0/5加入聚合端口3中。

（8）可以配置MAD檢測(cè)，用于實(shí)時(shí)監(jiān)控IRF各成員設(shè)備狀態(tài)，維護(hù)IRF運(yùn)行狀態(tài)，以免出現(xiàn)故障導(dǎo)致IRF分裂。

4 ?路由策略設(shè)計(jì)與實(shí)施

路由策略的設(shè)計(jì)是校園流量分配的關(guān)鍵，根據(jù)對(duì)校園網(wǎng)流量的分析統(tǒng)計(jì)可知，白天，校園網(wǎng)用戶主要以訪問(wèn)網(wǎng)頁(yè)、音視頻、FTP應(yīng)用、內(nèi)網(wǎng)服務(wù)器為主，流量可以分成教學(xué)區(qū)數(shù)據(jù)和生活區(qū)數(shù)據(jù)。而晚間，尤其是晚自習(xí)時(shí)間，Internet流量主要包括學(xué)生登錄超星泛雅、爾雅、智慧職教等線上教學(xué)平臺(tái)，觀看音視頻資料，完成拓展任務(wù)和作業(yè)。當(dāng)然，晚間學(xué)生觀看電視、電影、打游戲也比較多，甚至因?yàn)檎加么罅繋捰绊懙搅似渌麑W(xué)生參加線上學(xué)習(xí)。白天，按照數(shù)據(jù)來(lái)源可以分成教學(xué)區(qū)、生活區(qū);晚間，則根據(jù)數(shù)據(jù)目的地址分成線上教學(xué)平臺(tái)數(shù)據(jù)和其他數(shù)據(jù)，學(xué)生登錄超星泛雅、爾雅、智慧職教等線上教學(xué)平臺(tái)，觀看音視頻資料、完成作業(yè)的數(shù)據(jù)劃歸為線上教學(xué)平臺(tái)數(shù)據(jù)，除此以外的數(shù)據(jù)都劃歸為其他數(shù)據(jù)[7-8]。

（1）定義數(shù)據(jù)流

[CORE-1]time-range teaching 8：00 to 17：59 daily //定義每天的教學(xué)時(shí)間。

[CORE-1]time-range no-teaching 18：00 to 23：59 daily //定義每天的非教學(xué)時(shí)間

[CORE-1]time-range no-teaching 00：00 to 7：59 daily

[CORE-1]acl number 2001 //定義教學(xué)區(qū)地址段為ACL2001

[CORE-1-acl-basic-2001]rule permit source A.B.C.D mask time-range teaching //設(shè)教學(xué)區(qū)IP地址段為A.B.C.D。

[CORE-1-acl-basic-2001]quit

[CORE-1] acl number 2002 //定義生活區(qū)地址段為ACL2002

[CORE-1-acl-basic-2002] rule permit source W.X. Y.Z mask time-range teaching //設(shè)生活區(qū)IP地址段為W.X.Y.Z。

[CORE-1] acl number 3001 //定義線上學(xué)習(xí)平臺(tái)地址段為ACL3001。

[CORE-1-acl-advanced-3001]rule 0 permit ip destination A1.B1.C1.D1 mask time-range teaching time- range no-teaching //設(shè)線上學(xué)習(xí)平臺(tái)IP地址段為A1.B1. C1.D1，存在多條IP地址，只需增加ACL項(xiàng)。

[CORE-1]acl number 3002 //定義線上學(xué)習(xí)平臺(tái)地址段為ACL3001。

[CORE-1-acl-advanced-3002]rule permit ip any any

（2）創(chuàng)建路由策略

[CORE-1]route-policy to-internet permit 1

[CORE-1-route-policy]if-match acl 2001

[CORE-1-route-policy]if-match acl 3001

[CORE-1-route-policy]apply ip-address next-hop A2.B2.C2.D2 //設(shè)校園網(wǎng)絡(luò)出口路由器內(nèi)網(wǎng)接口G1/0/1、G1/0/2的聚合端口地址是A2.B2.C2.D2。

[CORE-1]route-policy to-internet permit 2

[CORE-1-route-policy]if-match acl 2002

[CORE-1-route-policy]if-match acl 3002

[CORE-1-route-policy]apply ip-address next-hop W2.X2.Y2.Z2 ////設(shè)校園網(wǎng)絡(luò)出口路由器內(nèi)網(wǎng)接口G0/1、G0/2的聚合端口地址是W2.X2.Y2.Z2。

（3）應(yīng)用路由策略

[CORE-1]interface bridge-aggregation 1 //路由策略應(yīng)用到與校園網(wǎng)接入設(shè)備互聯(lián)的聚合端口上。

[CORE-1-bridge-aggregation1] ip pol-icy-based-route to-interface

（4）可以配置track，與路由策略聯(lián)動(dòng)。通過(guò)track監(jiān)控下一跳地址的可用性，來(lái)決定路由策略的可用性。

5 ?出口資源分配方案設(shè)計(jì)與實(shí)施

校園網(wǎng)絡(luò)接入設(shè)備上數(shù)據(jù)，轉(zhuǎn)發(fā)至核心層交換機(jī)后，經(jīng)路由策略進(jìn)行分流，基本分成兩類數(shù)據(jù)：（1）白天的教學(xué)區(qū)數(shù)據(jù)、晚間的線上學(xué)習(xí)平臺(tái)數(shù)據(jù)。（2）白天的生活區(qū)數(shù)據(jù)、晚間的非線上教學(xué)平臺(tái)數(shù)據(jù)。第1類數(shù)據(jù)被轉(zhuǎn)發(fā)至出口路由器的端口G0/1、G0/2，第2類數(shù)據(jù)被轉(zhuǎn)發(fā)至出口路由器的端口G0/3、G0/4。在出口路由器上啟用MDC，部署多租戶設(shè)備環(huán)境，將出口路由器虛擬化成兩臺(tái)MDC設(shè)備：MDC-A、MDC-B，MDC-A包含端口G0/1、G0/2、G0/5，MDC-B包含端口G0/3、G0/4、G0/6，端口G0/1、G0/2上的Internet數(shù)據(jù)經(jīng)過(guò)同組端口G0/5轉(zhuǎn)發(fā)至Internet，端口G0/3、G0/4上的Internet數(shù)據(jù)經(jīng)過(guò)同組端口G0/6轉(zhuǎn)發(fā)至Internet。同時(shí)，為了提升帶寬資源的有效利用率，避免帶寬資源浪費(fèi)，為MDC-A、MDC-B分別設(shè)置CPU權(quán)重為7、3，優(yōu)先保障教育教學(xué)對(duì)網(wǎng)絡(luò)的需求[9-10]。

定義MDC等方法。

（1）創(chuàng)建MDC-A、MDC-B

[router]mdc MDC-A //創(chuàng)建MDC-A

[router- mdc-1-MDC-A]allocate interface g0/1 to g0/2， g0/5 //加入端口

[router]mdc MDC-B

[router- mdc-1-MDC-B]allocate interface g0/3 to g0/4， g0/6

（2）配置MDC的CPU權(quán)重

[router- mdc-1-MDC-A]limit-resource cpu weight 7

[router- mdc-1-MDC-A]limit-resource cpu weight 3

（3）設(shè)置接口地址

[router]switchto mdc MDC-A

[router]sysname MDC-A

[MDC-A]interface route-aggregation 1

[MDC-A-route-Aggregation1]ip address A2.B2.C2. D2 24

[MDC-A]interface range g0/1 to g0/2

[MDC-A-if-range] port link-aggregation group 1

[router]switchto mdc MDC-B

[router]sysname MDC-B

[MDC-B]interface route-aggregation 2

[MDC-B-route-Aggregation2]ip address W2.X2.Y2. Z2 24

[MDC-B]interface range g0/3 to g0/4

[MDC-B-if-range]port link-aggregation group 2

6 ?結(jié)語(yǔ)

虛擬化技術(shù)已經(jīng)比較成熟，常見的網(wǎng)絡(luò)設(shè)備虛擬化技術(shù)包括“1∶N”的MDC，以及“N∶1”的IRF。實(shí)踐證明，在校園網(wǎng)的骨干網(wǎng)部分采用IRF技術(shù)，實(shí)現(xiàn)多臺(tái)設(shè)備相互熱備、協(xié)同工作，出口設(shè)備采用MDC策略，為不同Internet應(yīng)用分配合適的網(wǎng)絡(luò)資源，可以有效保障校園網(wǎng)的的高效、暢通，給在校師生的教學(xué)、科研、學(xué)習(xí)、生活提供良好的支撐。

參考文獻(xiàn)

[1] 新華三技術(shù)有限公司. H3C S12500X-AF & S12500-X & S9800產(chǎn)品MDC配置舉例[EB/OL]. www.h3c.com.cn， 2019.

[2] 彭偉. 基于策略路由部署的網(wǎng)絡(luò)多出口設(shè)計(jì)研究[J]. 湖南工程學(xué)院學(xué)報(bào)， 2019， 29（3）： 48-52.

[3] 金海峰. 核心虛擬化技術(shù)在私有云平臺(tái)架構(gòu)中的應(yīng)用研究[J]. 湖南工業(yè)職業(yè)技術(shù)學(xué)院， 2016， 16（3）： 10-12.

[4] 劉玄. 基于網(wǎng)絡(luò)虛擬化條件下的資源監(jiān)控研究[J]. 軟件， 2015， 36（1）： 122-124.

[5] 呂杰英. 虛擬機(jī)技術(shù)在計(jì)算機(jī)基礎(chǔ)教學(xué)中的應(yīng)用[J]. 軟件， 2015， 36（5）： 113-116.

[6] 杭州華三通信技術(shù)有限公司. H3C S5820X&S5800系列以太網(wǎng)交換機(jī)IRF配置指導(dǎo)[EB/OL]. www.h3c.com.cn， 2012.

[7] 卓廣平. 下一代互聯(lián)網(wǎng)動(dòng)態(tài)路由協(xié)議機(jī)制分析與改進(jìn)策略[J]. 軟件， 2018， 39（7）： 202-207.

[8] 牟億， 趙欽， 馬嚴(yán). 基于模板的網(wǎng)絡(luò)設(shè)備配置系統(tǒng)[J]. 軟件， 2015， 36（11）： 52-55.

[9] 曹龍江， 張勖， 王錕， 等. 網(wǎng)絡(luò)應(yīng)用流量模擬技術(shù)[J]. 軟件， 2015， 36（2）： 14-19.

[10] 呂發(fā)智. 企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全問(wèn)題分析及應(yīng)對(duì)策略研究[J]. 軟件， 2018， 39（6）： 101-104.