基于IRF+MDC技術的高性能校園網絡系統(tǒng)設計探究

金海峰 坎香

摘 ?要： 安全、通暢、穩(wěn)定、可靠是大型園區(qū)網絡建設始終追求的目標，而傳統(tǒng)網絡采用單鏈路架構方式，極易出現(xiàn)因為鏈路故障而造成網絡不穩(wěn)定，甚至網絡癱瘓的現(xiàn)象。文章基于虛擬化技術MDC、路由策略、冗余技術IRF，提出一種全新的校園網絡架構解決方案，在保障校園網絡的可靠性、穩(wěn)定性的同時，通過部署校園網絡資源分配策略，優(yōu)先保障教育教學的需求，提升了出口帶寬資源的有效利用率。

關鍵詞： 虛擬化;MDC;IRF;路由策略

中圖分類號： TP393.18 ? ?文獻標識碼： A ? ?DOI：10.3969/j.issn.1003-6970.2020.08.034

本文著錄格式：金海峰，坎香. 基于IRF+MDC技術的高性能校園網絡系統(tǒng)設計探究[J]. 軟件，2020，41（08）：125-128

【Abstract】： Safety， smoothness， stability and reliability are always the goal of large-scale park network construction. However， the traditional network adopts single link architecture， which is prone to network instability or even network paralysis due to link failure. Based on the virtualization technology MDC， routing strategy and redundancy technology IRF， this paper puts forward a new campus network architecture solution. While ensuring the reliability and stability of the campus network， through the deployment of the campus network resource allocation strategy， it gives priority to the needs of education and teaching， and improves the effective utilization of the export bandwidth resources.

【Key words】： Virtualization; MDC; IRF; Routing policy

0 ?引言

隨著云計算技術的發(fā)展，互聯(lián)網應用日益增長，越來越多的高校開始開展線上和線下混合式教學。混合式教學符合當代學生的認知規(guī)律和學習習慣，能夠有效彌補傳統(tǒng)教學的不足、痛點，提升人才培養(yǎng)質量。但同時，混合式教學對校園網的基礎建設、資源分配也提出了新的挑戰(zhàn)。

挑戰(zhàn)1：傳統(tǒng)的網絡架構采用四層架構模式：接入層、匯聚層、核心層，以及出口設備，各層次之間采用單鏈路連接。傳統(tǒng)的網絡架構簡單、成本低，但也帶來了致命的弱點：容易出現(xiàn)單點故障。比如核心層設備或者設備的某一端口出現(xiàn)故障，將直接導致該設備或端口下聯(lián)的設備無法與上層設備相連，不能夠訪問Internet。解決單點故障問題，可以借助IRF技術手段，增加冗余鏈路，增強網絡的冗余性。一方面解決冗余鏈路帶來的交換環(huán)路、廣播風暴、MAC地址表不穩(wěn)定等問題，同時也提升了網絡的穩(wěn)定性與可靠性，增強網絡的健壯性。

挑戰(zhàn)2：隨著互聯(lián)網應用的日益增多，校園網內的數(shù)據(jù)包括了網頁、FTP、DNS、視頻會議，以及觀看音視頻、打游戲所產生的的流量。根據(jù)數(shù)據(jù)的重要程度，或者輕重緩急大致可以分為兩類：教育教學所產生的數(shù)據(jù)，以及其他數(shù)據(jù)。針對有限的網絡資源，尤其是出口帶寬資源。可以借助策略路由和MDC技術手段，設計合理的硬件資源分配方案，優(yōu)先滿足教育教學對網絡資源的需求。

1 ?技術原理介紹

1.1 ?MDC技術

MDC是一種“1∶N”的虛擬化技術，其核心思想是將一臺物理設備劃分為多臺邏輯設備，每臺邏輯設備就成為一臺MDC（Multitenant Device Context，多租戶設備環(huán)境）。每臺MDC有獨立的接口、CPU資源、內存空間，以及獨立運行的二三層協(xié)議、獨立的路由表、獨立的NAT等，為用戶提供與真實設備一樣的體驗[1]。每臺MDC就是一個獨立的設備，通過手工調配接口數(shù)量、CPU資源、內存空間等硬件資源達到資源使用的合理化、有效化，MDC功能示意圖如圖1所示。

1.2 ?路由策略

要實現(xiàn)網絡數(shù)據(jù)按照用戶的需求沿著不同的路徑轉發(fā)，在數(shù)據(jù)入口上定義路由策略，網絡數(shù)據(jù)按照定義的route-map進行轉發(fā)，route-map中包含多條路由策略項，網絡數(shù)據(jù)自頂向下匹配，一旦匹配成功，則結束匹配，按照預設的動作，完成數(shù)據(jù)轉發(fā)。如果匹配失敗，路由策略失效，再根據(jù)靜態(tài)路由、動態(tài)路由轉發(fā)數(shù)據(jù)。路由策略的優(yōu)先級高于靜態(tài)路由、動態(tài) ?路由[2]。

1.3 ?IRF技術

IRF是一種“N∶1”的虛擬化技術，其核心思想是將多臺設備，甚至是不同地理位置的設備虛擬化成一臺“IRF設備”，統(tǒng)一管理、協(xié)同工作。IRF成員設備按照功能不同，分為兩種角色：Master和Standby，Master負責管理整個IRF，Standby作為Master設備的備份運行，IRF通過成員設備的優(yōu)先級選舉產生Master，優(yōu)先級數(shù)字越大，優(yōu)先級越高[3]。

2 ?多鏈路校園網絡架構模型

針對校園網絡的迅速擴大，校園網核心層設備選用四臺交換機，支持靜態(tài)路由、策略路由、IRF、以及二三層鏈路聚合等技術，自左向右分別命名為CORE- 1、CORE-2、CORE-3、CORE-4，四臺核心交換機之間采用千兆鏈路互聯(lián)，組成IRF通信環(huán)路，四臺核心交換機分別與校園網接入設備互聯(lián)。校園網絡出口路由器選用H3C 高性能路由器，支持靜態(tài)路由、NAT、三層鏈路聚合，以及MDC等技術。出口防火墻設置成透傳模式，主要用于病毒防護、入侵檢測，以及上網行為管理等[4-5]。具體網絡拓撲如圖2所示。

3 ?核心層冗余鏈路設計與實施

3.1 ?IRF策略設計

核心層設備CORE-1、CORE-2、CORE-3、CORE-4之間采用千兆鏈路互聯(lián)，組成核心環(huán)網。四臺核心層交換機組成IRF組，編號分別是1、2、3、4，設備的成員優(yōu)先級分別為40、20、30、10，CORE-1為MASTER，負責IRF運行。

3.2 ?IRF策略實施

（1）建立IRF組1，配置各IRF成員設備編號、優(yōu)先級[6]。

[CORE-1]irf member 1 renumber 1 //建立IRF組1，當前設備成員編號為1

[CORE-1]irf member 1 priority 40 //設置IRF成員優(yōu)先級為40

[CORE-1]save //保存配置

[CORE-2]irf member 1 renumber 2

[CORE-2]irf member 1 priority 20

[CORE-2]save

[CORE-3]irf member 1 renumber 3

[CORE-3]irf member 1 priority 30

[CORE-3]save

[CORE-4]irf member 1 renumber ?4

[CORE-4]irf member 1 priority 10

[CORE-4]save

（2）將四臺核心層交換機斷電后，保證線纜連接成功后，重新加電啟動設備。設備啟動成功后，四臺設備的接口編號增加了IRF成員編號，如CORE-2的接口Ten-GigabitEthernet0/1變成了Ten-GigabitEthernet2/0/1。

（3）建立IRF端口，并綁定物理端口。

[CORE-1] interface Ten-GigabitEthernet1/0/1

[CORE-1-Ten-GigabitEthernet1/0/1]shutdown //物理端口加入IRF之前，必須處于關閉狀態(tài)。

[CORE-1-Ten-GigabitEthernet1/0/1]quit

[CORE-1]irf-port 1/1 //創(chuàng)建IRF端口，第一個1表示IRF成員編號，第二個1表示IRF端口編號。

[CORE-1-irf-port1/1]port group interface Ten-Giga-b?itEthernet1/0/1

[CORE-1-irf-port1/1]quit

[CORE-1]interface Ten-GigabitEthernet1/0/1

[CORE-1-Ten-GigabitEthernet1/0/1]undo shutdown ?//物理端口加入IRF端口后，開啟該物理端口。

[CORE-1-Ten-GigabitEthernet1/0/1]quit

[CORE-1]save

參照上述方法，完成其他IRF成員設備上IRF端口的創(chuàng)建。

（4）激活所有IRF端口

[CORE-1]irf-port-configuration active

（5）四臺核心層交換機會進行Master競選，優(yōu)先級最高的CORE-1會自動競選為Master，其他設備重啟后，IRF組建立完成，系統(tǒng)統(tǒng)一命名為CORE-1。

（6）四臺核心層交換機與校園網接入設備互聯(lián)端口設置為二層聚合端口。

[CORE-1]interface bridge-aggregation 1

[CORE-1]interface range Ten-GigabitEthernet1/0/3，Ten-GigabitEthernet1/0/4，Ten-GigabitEthernet2/0/3，Ten-GigabitEthernet2/0/4，Ten-GigabitEthernet3/0/3，Ten-GigabitEthernet3/0/4，Ten-GigabitEthernet4/0/3，Ten-GigabitEthernet4/0/4

[CORE-1-if-range]port link-aggregation group 1

（7）四臺核心層交換機與校園網絡出口路由器互聯(lián)網端口設置成三層聚合端口。

[CORE-1-if-range]interface route-aggregation 2 //創(chuàng)建三層聚合端口2

[CORE-1-route-Aggregation2]ip address ip

[CORE-1]interface range Ten-GigabitEthernet1/0/5，Ten-GigabitEthernet2/0/5

[CORE-1-if-range]port link-mode route //交換端口加入三層聚合端口前必須更改為路由模式。

[CORE-1-if-range]port link-aggregation group 2 //加入聚合端口2

參照上述方法，將端口Ten-GigabitEthernet3/0/5、Ten-GigabitEthernet4/0/5加入聚合端口3中。

（8）可以配置MAD檢測，用于實時監(jiān)控IRF各成員設備狀態(tài)，維護IRF運行狀態(tài)，以免出現(xiàn)故障導致IRF分裂。

4 ?路由策略設計與實施

路由策略的設計是校園流量分配的關鍵，根據(jù)對校園網流量的分析統(tǒng)計可知，白天，校園網用戶主要以訪問網頁、音視頻、FTP應用、內網服務器為主，流量可以分成教學區(qū)數(shù)據(jù)和生活區(qū)數(shù)據(jù)。而晚間，尤其是晚自習時間，Internet流量主要包括學生登錄超星泛雅、爾雅、智慧職教等線上教學平臺，觀看音視頻資料，完成拓展任務和作業(yè)。當然，晚間學生觀看電視、電影、打游戲也比較多，甚至因為占用大量帶寬影響到了其他學生參加線上學習。白天，按照數(shù)據(jù)來源可以分成教學區(qū)、生活區(qū);晚間，則根據(jù)數(shù)據(jù)目的地址分成線上教學平臺數(shù)據(jù)和其他數(shù)據(jù)，學生登錄超星泛雅、爾雅、智慧職教等線上教學平臺，觀看音視頻資料、完成作業(yè)的數(shù)據(jù)劃歸為線上教學平臺數(shù)據(jù)，除此以外的數(shù)據(jù)都劃歸為其他數(shù)據(jù)[7-8]。

（1）定義數(shù)據(jù)流

[CORE-1]time-range teaching 8：00 to 17：59 daily //定義每天的教學時間。

[CORE-1]time-range no-teaching 18：00 to 23：59 daily //定義每天的非教學時間

[CORE-1]time-range no-teaching 00：00 to 7：59 daily

[CORE-1]acl number 2001 //定義教學區(qū)地址段為ACL2001

[CORE-1-acl-basic-2001]rule permit source A.B.C.D mask time-range teaching //設教學區(qū)IP地址段為A.B.C.D。

[CORE-1-acl-basic-2001]quit

[CORE-1] acl number 2002 //定義生活區(qū)地址段為ACL2002

[CORE-1-acl-basic-2002] rule permit source W.X. Y.Z mask time-range teaching //設生活區(qū)IP地址段為W.X.Y.Z。

[CORE-1] acl number 3001 //定義線上學習平臺地址段為ACL3001。

[CORE-1-acl-advanced-3001]rule 0 permit ip destination A1.B1.C1.D1 mask time-range teaching time- range no-teaching //設線上學習平臺IP地址段為A1.B1. C1.D1，存在多條IP地址，只需增加ACL項。

[CORE-1]acl number 3002 //定義線上學習平臺地址段為ACL3001。

[CORE-1-acl-advanced-3002]rule permit ip any any

（2）創(chuàng)建路由策略

[CORE-1]route-policy to-internet permit 1

[CORE-1-route-policy]if-match acl 2001

[CORE-1-route-policy]if-match acl 3001

[CORE-1-route-policy]apply ip-address next-hop A2.B2.C2.D2 //設校園網絡出口路由器內網接口G1/0/1、G1/0/2的聚合端口地址是A2.B2.C2.D2。

[CORE-1]route-policy to-internet permit 2

[CORE-1-route-policy]if-match acl 2002

[CORE-1-route-policy]if-match acl 3002

[CORE-1-route-policy]apply ip-address next-hop W2.X2.Y2.Z2 ////設校園網絡出口路由器內網接口G0/1、G0/2的聚合端口地址是W2.X2.Y2.Z2。

（3）應用路由策略

[CORE-1]interface bridge-aggregation 1 //路由策略應用到與校園網接入設備互聯(lián)的聚合端口上。

[CORE-1-bridge-aggregation1] ip pol-icy-based-route to-interface

（4）可以配置track，與路由策略聯(lián)動。通過track監(jiān)控下一跳地址的可用性，來決定路由策略的可用性。

5 ?出口資源分配方案設計與實施

校園網絡接入設備上數(shù)據(jù)，轉發(fā)至核心層交換機后，經路由策略進行分流，基本分成兩類數(shù)據(jù)：（1）白天的教學區(qū)數(shù)據(jù)、晚間的線上學習平臺數(shù)據(jù)。（2）白天的生活區(qū)數(shù)據(jù)、晚間的非線上教學平臺數(shù)據(jù)。第1類數(shù)據(jù)被轉發(fā)至出口路由器的端口G0/1、G0/2，第2類數(shù)據(jù)被轉發(fā)至出口路由器的端口G0/3、G0/4。在出口路由器上啟用MDC，部署多租戶設備環(huán)境，將出口路由器虛擬化成兩臺MDC設備：MDC-A、MDC-B，MDC-A包含端口G0/1、G0/2、G0/5，MDC-B包含端口G0/3、G0/4、G0/6，端口G0/1、G0/2上的Internet數(shù)據(jù)經過同組端口G0/5轉發(fā)至Internet，端口G0/3、G0/4上的Internet數(shù)據(jù)經過同組端口G0/6轉發(fā)至Internet。同時，為了提升帶寬資源的有效利用率，避免帶寬資源浪費，為MDC-A、MDC-B分別設置CPU權重為7、3，優(yōu)先保障教育教學對網絡的需求[9-10]。

定義MDC等方法。

（1）創(chuàng)建MDC-A、MDC-B

[router]mdc MDC-A //創(chuàng)建MDC-A

[router- mdc-1-MDC-A]allocate interface g0/1 to g0/2， g0/5 //加入端口

[router]mdc MDC-B

[router- mdc-1-MDC-B]allocate interface g0/3 to g0/4， g0/6

（2）配置MDC的CPU權重

[router- mdc-1-MDC-A]limit-resource cpu weight 7

[router- mdc-1-MDC-A]limit-resource cpu weight 3

（3）設置接口地址

[router]switchto mdc MDC-A

[router]sysname MDC-A

[MDC-A]interface route-aggregation 1

[MDC-A-route-Aggregation1]ip address A2.B2.C2. D2 24

[MDC-A]interface range g0/1 to g0/2

[MDC-A-if-range] port link-aggregation group 1

[router]switchto mdc MDC-B

[router]sysname MDC-B

[MDC-B]interface route-aggregation 2

[MDC-B-route-Aggregation2]ip address W2.X2.Y2. Z2 24

[MDC-B]interface range g0/3 to g0/4

[MDC-B-if-range]port link-aggregation group 2

6 ?結語

虛擬化技術已經比較成熟，常見的網絡設備虛擬化技術包括“1∶N”的MDC，以及“N∶1”的IRF。實踐證明，在校園網的骨干網部分采用IRF技術，實現(xiàn)多臺設備相互熱備、協(xié)同工作，出口設備采用MDC策略，為不同Internet應用分配合適的網絡資源，可以有效保障校園網的的高效、暢通，給在校師生的教學、科研、學習、生活提供良好的支撐。

參考文獻

[1] 新華三技術有限公司. H3C S12500X-AF & S12500-X & S9800產品MDC配置舉例[EB/OL]. www.h3c.com.cn， 2019.

[2] 彭偉. 基于策略路由部署的網絡多出口設計研究[J]. 湖南工程學院學報， 2019， 29（3）： 48-52.

[3] 金海峰. 核心虛擬化技術在私有云平臺架構中的應用研究[J]. 湖南工業(yè)職業(yè)技術學院， 2016， 16（3）： 10-12.

[4] 劉玄. 基于網絡虛擬化條件下的資源監(jiān)控研究[J]. 軟件， 2015， 36（1）： 122-124.

[5] 呂杰英. 虛擬機技術在計算機基礎教學中的應用[J]. 軟件， 2015， 36（5）： 113-116.

[6] 杭州華三通信技術有限公司. H3C S5820X&S5800系列以太網交換機IRF配置指導[EB/OL]. www.h3c.com.cn， 2012.

[7] 卓廣平. 下一代互聯(lián)網動態(tài)路由協(xié)議機制分析與改進策略[J]. 軟件， 2018， 39（7）： 202-207.

[8] 牟億， 趙欽， 馬嚴. 基于模板的網絡設備配置系統(tǒng)[J]. 軟件， 2015， 36（11）： 52-55.

[9] 曹龍江， 張勖， 王錕， 等. 網絡應用流量模擬技術[J]. 軟件， 2015， 36（2）： 14-19.

[10] 呂發(fā)智. 企業(yè)網絡數(shù)據(jù)安全問題分析及應對策略研究[J]. 軟件， 2018， 39（6）： 101-104.