设为首页   锐捷官网
用其他帐号登录:
查看: 2718|回复: 4

[高教] 小论高校校园网出口设备的变迁

[复制链接]

96

主题

297

帖子

2826

积分

版主

Rank: 7Rank: 7Rank: 7

积分
2826
发表于 2015-3-21 14:39:22 | 显示全部楼层 |阅读模式
本帖 * 后由 linghanzi 于 2015-3-21 16:12 编辑

       随着互联网技术的不断向前发展,新技术不断涌现,给了高校校园网很大的变化,自己也亲身经历了近8年来校园网的变迁,今天借这个机会谈谈对高校校园网出口设备一点个人感受。
      在2006年前后,那个时候高校信息化建设内容还是相对简单的,主要局限在邮件,web,防毒等应用,记得很清楚那会的bbs还是通过telnet 字符界面访问,出口设备(防火墙或者路由器)的主要作用还是nat,由于设备性能普遍较低,单单nat转换就吃掉了出口设备的大部分资源,那会防火墙大部分是外商的设备,当然也有国产,记忆当中两个设备比较清晰 华为Edomen(自己喜欢叫华为一道门),netscreen isg算是性能很好的设备,其主要作用也是做校园网用户和服务器某些80 443端口的对外地址转换,随着p2p下载和电驴的盛行,校园网就开始了出现时常拥堵的局面,本来不多的带宽很快被p2p 所吞噬,结果师生用户怨声一片,流控设备犹然而生,国内国外的都有,国外的以allot,Packteer和cisco 的sce,国内的主要是深信服网康等上网行为管理厂商、panabit类厂商,当然那会锐捷也有了自己的流控设备ace,流控设备串在核心设备和出口设备之间,刚开始大都没有bypass 功能,一旦流控挂了,整个校园网也就断了,添加了流控设备,也就等于自己的校园网多了一个单点故障隐患(后来各流控厂商有了bypass功能,再也不用担心流控挂掉了),个人感觉当时国内的设备在界面优化和特征库识别方面做的比国外好一些,但是性能方面就要差一些了(归根结底都是基于x86架构),在这样的情况下我们也采购了自己4G吞吐量的流控设备串在了核心和防火墙之间,通过限制p2p下载来提升整体用户的体验,策略是正常时段对p2p整体进行限制到一定的带宽,每个ip限制一定的出口带宽(为了满足某些下载爱好者,晚上12点至早上六点, * 服务器带宽的前提下对校园网普通IP不做任何的限速处理),专门安装了一个开源软件ntop,来观察网络中流量的成分。
   随着教育部72号令和实名制的呼声,应国家部门的要求,校园网又添加了上网行为管理设备,上网行为管理基本是基于x86的,对于超过G级别流量肯定会增加访问外网的延时,所以当时对采购的上网行为管理设备我挂到了核心的旁路,镜像到行为管理设备。随着时光的推移,IPS,IDS,IPsec vpn\Sslvpn,等也都以串行或者旁路的形式加入到了校园网当中,当时还有一个插曲就是多运营商线路问题,结合单位网站对外访问,效果一直不好,当时市面上有智能dns解析产品,但是个人感觉不是特别靠谱,就没有测试和接触。对于运营商线路问题始终通过策略路由的方式来勉强解决(把联通电信移动ip地址库加到出口设备里)。
简图如下:
绘图1.png




2013年以后,计算机网络技术发展开始突飞猛进,移动互联网盛行,各式各样的终端出现,虚拟化在网络行业遍地开花,单位的骨干网络以及运营商提供的带宽也都双双升级成万兆,这个时候各防火墙厂商也发生了很大变化,吞吐量几十G甚至上百G级别的出口设备层出不穷,让人看花了眼,从国家安全层面提出了去IOE,也给国内网络厂商带来发展的好机遇,由于设备性能有了很大的提高,性能再也不会成为校园网出口设备的瓶颈了,所以多种设备的功能也开始有回归防火墙设备,多种设备一体话的趋势,个人认为以后的设备应该集成了负载均衡、网络流控、防火墙、sslvpn、ipsec vpn、上网行为管理、ips、ids等多种功能为一体的设备,由于虚拟化技术(一虚多、多虚一)的大量应用,核心设备和出口设备分别两台设备做虚拟化, * 骨干设备冗余运行,完全摒弃原来讨厌的vrrp, 出口与运营商之间,核心设备与出口设备之间通过万兆互联,内网服务器(建议是基于刀箱的刀片服务器,如cisco ucs、hp BladeSystem c7000)通过万兆连接至核心设备,同时共享存储(IP SAN或者FC SAN)通过FCoE 万兆互联至核心交换机,所有的应用跑在基于刀箱的服务器虚拟化的平台之上,同时核心设备下,串接一台缓存设备,这样一来会带来如下好处:

1、网络结构简单,便于排除故障

2、 极大提高内网用户的访问体验

3、多个设备集成到了一台,便于节约资金

4、个人喜欢通过上网行为设备来诊断受攻击的服务器,对服务器的异常连接,上网行为设备可以展示的非常直观

5、单台出口设备和服务器虚拟化会很大程度减低数据中心 * 空调的压力,并且节约电力实现绿色节能。

6、核心设备和出口设备 * 统一平台架构,使用同样的命令,同样的ui 界面,便于管理

7、有相应支持安卓和苹果终端的管理app,便于远程操控

如图:

拓扑.jpg






未来是什么样的发展,谁也说不清,个人感觉高校信息化建设会在智慧校园、绿色节能、大数据挖掘方面会有更多的新东西等着我们,让我们拭目以待吧。(随便写写,权当娱乐,欢迎吐槽拍砖,visio2013真心用不惯,还真不如在gns3里面截图了)




点评

个人以为大数据挖掘还有一段距离,数据格式没有统一,业务系统没有打通,任重道远啊  发表于 2015-3-21 15:06
回复

使用道具 举报

11

主题

117

帖子

671

积分

高级会员

Rank: 4

积分
671
发表于 2015-3-21 21:28:29 | 显示全部楼层
作者貌似对x86有偏见呀现在不要说高校,骨干网出口设备都大量切换到x86平台。只能说迈科的流控是锐捷选型的一个败笔,同期同一水平线的流控产品无论网优 * 还是Panabit现在都成长为有竞争力的niche player。DPI终究要进校园网的核心交换的,估计也就是未来几年的事吧。
回复 支持 反对

使用道具 举报

96

主题

297

帖子

2826

积分

版主

Rank: 7Rank: 7Rank: 7

积分
2826
 楼主| 发表于 2015-3-22 09:01:34 | 显示全部楼层
asiaeagle 发表于 2015-3-21 21:28
作者貌似对x86有偏见呀现在不要说高校,骨干网出口设备都大量切换到x86平台。只能说迈科的流控是锐捷选 ...

对x86没有偏见,只是在2010年左右,串接设备的x86的性能普遍不强,不可否认x86架构下所带来的丰富应用特性是其他平台比拟不了的,我也非常希望能够有更多优秀的x86平台应用到骨干设备之中,必然给网络运维的层次带来一个较大的提高。
回复 支持 反对

使用道具 举报

11

主题

117

帖子

671

积分

高级会员

Rank: 4

积分
671
发表于 2015-3-22 13:12:07 | 显示全部楼层
linghanzi 发表于 2015-3-22 09:01
对x86没有偏见,只是在2010年左右,串接设备的x86的性能普遍不强,不可否认x86架构下所带来的丰富应用特 ...

恩,确实是,10年的时候x86的流控在真实场景下也就8个G的吞吐到头了;时过境迁,现在运营商集采都要求80G/U的性能了
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则