文/李瑞

使用了銳捷網(wǎng)絡(luò)NPE網(wǎng)絡(luò)出口引擎之后，華南農(nóng)業(yè)大學(xué)的網(wǎng)絡(luò)出口性能提升至原來的3.7倍。

“銳捷網(wǎng)絡(luò)NPE網(wǎng)絡(luò)出口引擎的使用，解決了我校網(wǎng)絡(luò)出口設(shè)備性能與校內(nèi)用戶規(guī)模和需求不斷增長的矛盾。從實(shí)際在線數(shù)據(jù)來看，NPE的使用大大提升了我校網(wǎng)絡(luò)出口的帶寬實(shí)際利用率，NAT地址轉(zhuǎn)換問題也得到了解決?！比A南農(nóng)業(yè)大學(xué)相關(guān)人士表示。

建設(shè)背景

早在1996年，華南農(nóng)業(yè)大學(xué)便開始建設(shè)校園網(wǎng)，當(dāng)時通過10M線路接入教育科研網(wǎng)；1997年，采用100M光纖鏈路為主干實(shí)現(xiàn)光纖聯(lián)接到部分辦公樓和圖書館；2000年，升級到1000M主干網(wǎng)絡(luò)，并開通首期學(xué)生宿舍試點(diǎn)網(wǎng)；2002年對部分設(shè)備進(jìn)行了升級調(diào)整；2007年華南農(nóng)業(yè)大學(xué)進(jìn)行整網(wǎng)萬兆的改造升級，并與銳捷網(wǎng)絡(luò)攜手打造了十萬兆產(chǎn)品應(yīng)用的萬兆校園網(wǎng)。此次改造升級一共采用了四臺RG-S8610，數(shù)十臺RG-S3760和一千多臺RG-2100系列接入交換機(jī)，并在全校范圍內(nèi)啟用基于RG-SAM系統(tǒng)的接入認(rèn)證解決方案。

網(wǎng)絡(luò)出口遭遇性能瓶頸

升級之后，骨干網(wǎng)升級為10G網(wǎng)絡(luò)，學(xué)校重要區(qū)域到服務(wù)器群和出口路由器均為萬兆鏈路；在多核心、圓錐形骨干網(wǎng)的設(shè)計(jì)下，學(xué)校重要區(qū)域到服務(wù)器群和出口均只有1跳路由；通過四層架構(gòu)，區(qū)域匯聚雙歸屬設(shè)計(jì)，從架構(gòu)上充分保證網(wǎng)絡(luò)的穩(wěn)定、可靠；而全網(wǎng)的統(tǒng)一身份認(rèn)證，基于SAM系統(tǒng)的用戶管理，以及符合學(xué)校特色的大量二次開發(fā)。

華南農(nóng)業(yè)大學(xué)校園網(wǎng)共有信息點(diǎn)近40,000個。萬兆骨干網(wǎng)的升級，使得校內(nèi)流量劇增，這對出口設(shè)備形成了強(qiáng)大的沖擊。學(xué)校原有網(wǎng)絡(luò)出口設(shè)備為思科路由器，分別連接CERNET、CNGI-CERNET2、電信三條廣域網(wǎng)線路（教育網(wǎng)1000M、電信100M）。出口路由器在承擔(dān)策略路由的同時，還要開啟NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）功能。出口路由器超負(fù)荷運(yùn)轉(zhuǎn)，在網(wǎng)絡(luò)高峰期，CPU負(fù)載普遍在60%以上，在校師生普遍反映上網(wǎng)速度慢，嚴(yán)重影響科了學(xué)校的科研、教學(xué)、管理等工作的開展，網(wǎng)絡(luò)出口的改造迫在眉睫。

圖1 全網(wǎng)應(yīng)用識別情況

圖2 P2P應(yīng)用控制效果

出口網(wǎng)絡(luò)解決方案破繭而出

在此次網(wǎng)絡(luò)出口的改造中，校方希望既能解決當(dāng)前存在的出口瓶頸，也滿足未來的發(fā)展需要。因此，校方要求出口改造后，出口帶寬能繼續(xù)擴(kuò)容，電信出口帶寬要從100M升級到300M，教育網(wǎng)鏈路升級為10G鏈路，動態(tài)帶寬最高為1.5G；出口流量要可視化，能清楚地看到多少用戶在使用哪些應(yīng)用，每種應(yīng)用占用了多少帶寬資源；同時，能合理分配出口流量，保證科研、教學(xué)、管理等關(guān)鍵應(yīng)用，分時段限制P2P應(yīng)用流量；更要有完整的出口日志，有一套高效的日志管理系統(tǒng)對出口設(shè)備的NAT日志進(jìn)行收集，且利于事后快速查找。

經(jīng)過與學(xué)校老師多次溝通，并且內(nèi)部反復(fù)論證，銳捷網(wǎng)絡(luò)提出了“銳捷網(wǎng)絡(luò)出口網(wǎng)絡(luò)解決方案”。

在該方案中，策略路由與NAT功能分離。采用銳捷網(wǎng)絡(luò)專用的出口設(shè)備RGNPE承擔(dān)NAT轉(zhuǎn)換的重任，從而提升出口網(wǎng)絡(luò)整體NAT性能；增加銳捷網(wǎng)絡(luò)專用的應(yīng)用帶寬控制設(shè)備RG-ACE，智能識別出口各種應(yīng)用，并監(jiān)控各應(yīng)用帶寬的占用情況，為制定動態(tài)的帶寬分配策略提供數(shù)據(jù)依據(jù)；同時，采用應(yīng)用帶寬控制設(shè)備RGACE，實(shí)施動態(tài)帶寬分配，控制P2P應(yīng)用對出口帶寬的過量占用，保障關(guān)鍵應(yīng)用的帶寬分配；更部署功能完善的日志審計(jì)系統(tǒng)RG-eLog，與現(xiàn)有認(rèn)證計(jì)費(fèi)系統(tǒng)RGSAM進(jìn)行聯(lián)動，提供基于實(shí)名用戶的訪問日志記錄與審查，以符合公安部的日志記錄要求。

改造后性能飆升至3.7倍

經(jīng)過出口網(wǎng)絡(luò)升級后，CERNET雙向出口流量由切換前不足400Mbps，到切換后的1500Mbps，出口性能提升至原來的3.7倍！同時能準(zhǔn)確識別網(wǎng)絡(luò)中的應(yīng)用，合理分配帶寬，并詳細(xì)記錄基于實(shí)名的訪問日志記錄與審查。

應(yīng)用控制引擎RG-ACE能準(zhǔn)確地識別全網(wǎng)各應(yīng)用的帶寬占用情況，實(shí)現(xiàn)基于應(yīng)用、主機(jī)、用戶的帶寬占用情況的圖形化統(tǒng)計(jì)。

在沒有開啟P2P應(yīng)用控制的時候，迅雷的流量達(dá)到了1.25Gbps，當(dāng)啟用了P2P應(yīng)用控制后，有效地限制了P2P應(yīng)用過量占用帶寬（迅雷被控制在80Mbps以下），更有效提高HTTP應(yīng)用帶寬比例。

RG-eLog日志管理系統(tǒng)，能夠準(zhǔn)確地記錄全網(wǎng)所有用戶的實(shí)名上網(wǎng)記錄，包括NAT記錄、URL記錄以及帶寬流量記錄，方便網(wǎng)絡(luò)中心管理者快速、直觀地進(jìn)行全網(wǎng)訪問行為審計(jì)及用戶帶寬流量監(jiān)控。

在整個出口網(wǎng)絡(luò)解決方案中，RGNPE網(wǎng)絡(luò)出口引擎的使用，解決了華南農(nóng)業(yè)大學(xué)網(wǎng)絡(luò)出口設(shè)備性能與校內(nèi)用戶規(guī)模和需求不斷增長的矛盾。從實(shí)際在線數(shù)據(jù)來看，RG-NPE的使用大大提升了網(wǎng)絡(luò)出口的帶寬實(shí)際利用率，NAT地址轉(zhuǎn)換問題也得到了解決。

RG-ACE應(yīng)用控制引擎解決了學(xué)校出口網(wǎng)絡(luò)被P2P應(yīng)用惡意占用，影響辦公等正常應(yīng)用的問題。從實(shí)際在線數(shù)據(jù)看來，ACE的使用大大提升了學(xué)校網(wǎng)絡(luò)出口的帶寬利用率，保證了關(guān)鍵業(yè)務(wù)的使用。在校師生不再苦惱于網(wǎng)絡(luò)的速度太慢，網(wǎng)絡(luò)體驗(yàn)較之改造前，有了極大的提高。