如何设计与优化校园专网架构?
设计一个良好架构,以尽可能低成本高效率的建设和运维校园网中的专网,是当下校园信息化建设中的一大挑战。
园区网除了满足于用户访问互联网的需求之外,还需要支持一些特殊功能的业务专用网络,简称“专网”的支持[1]。这里“专网”是指业务上有网络隔离需求的“专用网络”,与具体技术实现方式无关。
以高校园区网为例,除了校园网之外,往往还有“财务专网”,“一卡通专网”等。这些“专网”大多没有访问公网的要求,但有明确的安全隔离需求。
如何设计一个良好架构,以尽可能低成本高效率的建设和运维这些专网,是当下校园网络建设中的一大挑战。
专网成本
我们讨论专网的建设方案,实际上就是选择一个成本最低的优化方案。旨在尽可能的降低建设上的物理成本和运维上的人力成本,从而提升运维效率。
物理成本主要由交换机和综合布线构成,这里我们讨论传统架构,暂时忽略PON(无源光纤网络)。如果某个成本组成项可以复用,那么整体的成本就可以降低。物理成本的组成和可复用性如表1所示。
表1 成本评估项
由于铜缆是直接面向终端的,有多少接入点就必须配备对应的线缆,无法复用降低成本。接入交换机虽然也是面向终端的,但是“专网”通常是接口使用率较低的业务场景,在技术条件允许下可以复用同一台接入交换机从而减少空余接口的浪费。光缆和核心交换机,在多个专网的结构中,是完全可以复用的。所以降低物理成本的方式在于复用光缆和交换机。
人力成本的核心在于运维的一致性,而不在于具体的方式。只要保证网络间的运维模式一致或网络架构一致,人力成本就不会提高。因为在做好统一的规划后,后续就只是低技术含量的重复性工作。而低技术性的重复性工作可以交由自动化脚本或者运维外包来解决。
考虑到实际情况,我们应该将运维模式尽量贴近我们主要的生产网一一校园网。因为校园网是建设最早、规模最大、投入最多、运维最熟悉的网络,运维模式向校园网贴近,无论对架构的复杂性还是具体操作的可行性都有足够的保障。
专网架构
如前文所说,我们所称“专网”,核心诉求是实现网络之间的隔离。实现网络隔离在技术架构的选择上其实很多,例如基于大二层端点隔离架构,基于隧道的架构,基于VXLAN的架构,基于MPLS[2]的架构等。
技术架构本身无论好坏,只要多个网络所选择的技术架构相统一、可以统一运维就是好的技术方案。我们提出了一种基于VLAN+VRF的专网架构,并在华东师范大学得到了很好的应用。
VRF[3],全称Virtual Routing Forwarding,所以顾名思义,它是一个虚拟的路由表。就好像我们通过VLAN来虚拟LAN实现二层隔离,VRF就是三层路由上的虚拟实现。其结构如图1所示。
图1 VRF(虚拟路由转发)
显然在二层上通过VLAN隔离,在三层上通过VRF来隔离的方案,对于传统的核心—汇聚—接入的网络架构匹配度非常高,对现网环境有着非常高的兼容度,可以在完全不影响现网运行的情况下,实现新的专网资源分配。
在这个方案里,在二层接入上只需要给专网分配一个不冲突的VLAN即可。很显然这个模式在接入层的运维上没有任何变化,对于一线的运维人员而言没有新增工作内容,这就消除了方案落地障碍之中的人员培训成本。
同物理隔离相比,现在所有的专网都可以使用相同的上行链路,以Trunk方式接入到汇聚交换机上。因此对于开销最大的楼内光缆资源,光缆的需求量可以减少到物理隔离方案的1/N(这里N是指需要隔离的专网数量)。
对于楼层之间的汇聚光缆,可以使用子接口来复用,也可以简化配置使用物理接口不复用,因为这部分的光缆资源通常并不是瓶颈点。
表2 可降低的成本项
回顾前文的成本评估可以看出,在没有变更运维模式的基础上,我们大部分成本有所降低,没有产生额外的运维成本,方案产生了比较好的预期效果。
应用实践
以华东师范大学为例,华东师范大学的校园网是一个非常传统的架构,二层接入三层汇聚,由路由到核心直至出口。整体的拓扑示意如图2所示。
图2 网络拓扑
由网络架构师在三层点上规划好interface vlan。在接入层层面,运维人员只要做好首次的网络规划和VRF设计,而专网后续的运维模式与原先的架构没有任何区别,这样就保持了运维模式的一致性。
因此该架构下的专网开通,只要经过以下5个步骤即可。
1.网络架构师规划三层架构和地址分配方案,建立对应的interface vlan;
2.在需要实现专网的interface vlan中打上VRF标签,转为VRF模式;
3.专网的上行另外选择接口进行路由,或者使用子接口来复用物理接口;
4.将所有需要的VLAN Trunk向下分配到接入交换机;
5.接入交换机在接口分配具体的VLAN给终端用户。
此方案在华东师范大学得到了较好的应用,尤其在一些早期建设的楼宇中,由于光缆资源不足,采用物理隔离的方案往往难以落地。
现在采用VLAN+VRF架构,不仅很好地实现了专网的业务需求,还有富裕的光缆资源可以实现双链路上行的冗余,整体网络的可用性也得到了提升。
我们可以看到,在这个模式下,三层交换机、楼宇内的光缆完全得到了复用,楼宇间的光缆也通过子接口的模式进行复用。整个物理成本得到显著减低。而由于运维模式保持住了统一,因此人力成本也得到了降低。
在地址分配上,尽管技术上允许在不同的VRF之间使用相同的地址,不过我们建议在规划中还是尽量避免VRF间的地址冲突,从而获得更好的灵活性。
如果想在日后实现专网间的互通,或者希望两个专网合并为一个专网,我们只需要调整VRF的标签即可,而不必因为地址冲突而必须重新规划地址或者做NAT转换。
在设备支持上,由于VRF属于基本功能,只要稍好一些的三层交换机都可以支持。相比其需要高端路由器才能支持的MPLS VPN,使用基于VRF的方案对于网络的建设成本也是一种降低。
参考文献
[1]毛小玲,张朋柱.基于MPLSVPN构建跨域电子政务专网方案研究与设计[J].重庆邮电大学学报(自然科学版),2009,21(03):407-410+431.
[2]符冰.MPLS VPN技术在校园网的研究和实现[D].上海交通大学,2012.
[3]L.AnderssonandT.Madsen,Provider Provisioned Virtual Private Network (VPN) Terminology, IETF RFC 4026, March 2005; https://tools.ietf.org/html/rfc4026#section-8.9
作者:冯骐(华东师范大学信息化治理办公室)