摘 要：本文根據(jù)南京中醫(yī)藥大學(xué)校園網(wǎng)出口現(xiàn)狀，提出了一種出口高密度大網(wǎng)關(guān)系統(tǒng)的優(yōu)化解決方案并加以實(shí)現(xiàn)，改造后的系統(tǒng)可以實(shí)現(xiàn)防火墻、負(fù)載均衡、入侵防御和流量遷移的高密度集成。實(shí)施運(yùn)行以來，達(dá)到了良好的使用效果，解決了管理和應(yīng)用難題。

關(guān)鍵詞：高密度；負(fù)載均衡；入侵防御；流量遷移

中圖分類號：TP393.0

南京中醫(yī)藥大學(xué)校園網(wǎng)自建成至今，校園網(wǎng)業(yè)務(wù)的不斷發(fā)展，出口結(jié)構(gòu)也在發(fā)生著一系列的變化。配合著日益加強(qiáng)的網(wǎng)絡(luò)安全需求，校園網(wǎng)不僅要滿足多條出口鏈路的接入，還要考慮到帶寬的有效合理分配，并且要求接入鏈路必須安全、可靠、可控、可防和可管理。

為此我校對校園網(wǎng)出口做了如下部署：設(shè)置防火墻實(shí)現(xiàn)了多條鏈路接入和公網(wǎng)地址NAT轉(zhuǎn)換；為了保證網(wǎng)絡(luò)安全，在防火墻上部署了各種安全策略防止來自校園網(wǎng)內(nèi)外的網(wǎng)絡(luò)攻擊行為；為了帶寬的有效合理分配，設(shè)置出口鏈路負(fù)載均衡設(shè)備；為了有效規(guī)范校園網(wǎng)用戶的上網(wǎng)行為，防止用戶BT、迅雷等應(yīng)用影響到其他用戶的正常使用，設(shè)置網(wǎng)絡(luò)行為管理設(shè)備。

上述系統(tǒng)，從校園網(wǎng)內(nèi)網(wǎng)到外網(wǎng)，分別部署了網(wǎng)絡(luò)行為管理系統(tǒng)、防火墻、網(wǎng)絡(luò)安全防護(hù)系統(tǒng)和出口鏈路負(fù)載均衡系統(tǒng)。這樣一種校園網(wǎng)出口系統(tǒng)在實(shí)際使用和管理的過程中，出現(xiàn)了一些問題，如：校園網(wǎng)出口結(jié)構(gòu)復(fù)雜，網(wǎng)絡(luò)故障難以準(zhǔn)確定位，排錯時間較長；出口設(shè)備數(shù)量較多，故障點(diǎn)增加，校園網(wǎng)的穩(wěn)定性和健壯性難以保證；網(wǎng)絡(luò)安全新問題層出不窮，原有安全解決方案難以滿足要求；各類網(wǎng)絡(luò)設(shè)備不是同一廠家提供，難以實(shí)現(xiàn)深度融合和集成；某些協(xié)議由于部分設(shè)備不支持，造成一些特定的網(wǎng)絡(luò)應(yīng)用無法實(shí)現(xiàn)。上述問題制約了校園網(wǎng)應(yīng)用的發(fā)展，給管理和維護(hù)造成了較大的困難。

1 設(shè)計(jì)需求

為了解決上述問題，本文提出了一種校園網(wǎng)出口高密度系統(tǒng)集成的解決方案，將網(wǎng)絡(luò)出口設(shè)備的各項(xiàng)功能和需求整合到高密度集成的出口大網(wǎng)關(guān)上，該大網(wǎng)關(guān)支持傳統(tǒng)防火墻的功能和網(wǎng)絡(luò)安全防護(hù)，具有出口鏈路負(fù)載均衡和網(wǎng)絡(luò)入侵防御IPS等功能模塊，并且可以基于流量遷移技術(shù)實(shí)現(xiàn)部分性能較差出口鏈路負(fù)載均衡的優(yōu)化。

1.1 基本需求。高密度出口大網(wǎng)關(guān)首先應(yīng)該具有傳統(tǒng)防火墻的功能，提供基本的網(wǎng)絡(luò)安全防護(hù)等。（1）允許授權(quán)用戶通過網(wǎng)關(guān)訪問校內(nèi)外的資源，限制未授權(quán)用戶的訪問；（2）提供雙向NAT和端口映射功能，實(shí)現(xiàn)公網(wǎng)地址的復(fù)用；（3）實(shí)現(xiàn)用戶訪問權(quán)限的控制，控制用戶同網(wǎng)段和跨網(wǎng)段的訪問行為，如協(xié)議、訪問時間等高安全級的行為控制；（4）提供接口策略，隱藏內(nèi)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)，嚴(yán)格區(qū)分內(nèi)外網(wǎng)，禁止外部主機(jī)盜用內(nèi)網(wǎng)地址；（5）對IP、端口和用戶等信息提供狀態(tài)檢查、管理和控制，提供較為高效、精細(xì)粒度應(yīng)用層協(xié)議和業(yè)務(wù)的管理和控制；（6）支持多種業(yè)務(wù)、協(xié)議和應(yīng)用，支持所有的互聯(lián)網(wǎng)服務(wù)，包括安全的web訪問、電子郵件、ftp、telnet等，支持sql、oracle等服務(wù)器的數(shù)據(jù)庫訪問業(yè)務(wù)，以及如H.323等多媒體視頻和音頻等協(xié)議的傳輸；（7）實(shí)現(xiàn)地址綁定功能，如IP與mac地址以及IP與用戶的綁定。

1.2 鏈路負(fù)載均衡的需求。校園網(wǎng)由于存在多家運(yùn)營商提供的出口鏈路，因此在不具備鏈路負(fù)載均衡的條件下，勢必存在某些鏈路負(fù)載較重，某些鏈路較為空閑的現(xiàn)象，造成學(xué)校帶寬投入費(fèi)用的損失。鏈路負(fù)載均衡針對鏈路狀態(tài)和用戶行為的進(jìn)行策略性部署，根據(jù)用戶訪問的目的地址等信息對照運(yùn)營商列表進(jìn)行比對，如果和某一運(yùn)營商相匹配，則將流量引導(dǎo)向該運(yùn)營商所對應(yīng)的出口，實(shí)現(xiàn)數(shù)據(jù)引流；或者設(shè)定指定的策略，使某些特定應(yīng)用，如精品課程等教學(xué)資源走特定的運(yùn)營商出口鏈路。綜合部署之后，使得多條鏈路的帶寬均勻、合理分布，得到充分的利用[1]。

1.3 網(wǎng)絡(luò)入侵防御的需求。校園網(wǎng)在使用的過程中不可避免的會遭受到各種各樣的網(wǎng)絡(luò)攻擊，常見的如：DDOS攻擊、口令入侵、木馬攻擊、www欺騙、安全漏洞和端口掃描等，對校園網(wǎng)的安全運(yùn)行造成一定的危害。網(wǎng)絡(luò)攻擊行為分布較廣，有外部的主動攻擊，也有來自內(nèi)部感染主機(jī)的被動攻擊，因此大網(wǎng)關(guān)需要迅速對來自校內(nèi)外的入侵行為進(jìn)行定位、查找、記錄、告警和防御，保證校園網(wǎng)業(yè)務(wù)正常不中斷。

網(wǎng)絡(luò)入侵防御必須同時滿足以下條件才能實(shí)現(xiàn)實(shí)時的安全防護(hù)：采用嵌入模式，實(shí)時阻攔所有可疑的數(shù)據(jù)包；具備深入分析能力，確定哪些入侵行為已經(jīng)被攔截，根據(jù)攻擊類型、策略等來確定哪些行為應(yīng)該被攔截、怎么被攔截；高質(zhì)量的入侵特征庫是IPS高效運(yùn)行的必要條件，特征庫必須要求保持最新并且能夠?qū)崟r更新；具有高效處理數(shù)據(jù)包的能力，進(jìn)行防御的同時不影響大網(wǎng)關(guān)的正常業(yè)務(wù)運(yùn)行[2]。

1.4 流量遷移的需求。校園網(wǎng)不同運(yùn)營商出口鏈路的質(zhì)量有高低之分，實(shí)施鏈路負(fù)載均衡后，某些性能較差的鏈路還是無法充分利用，因此需要將指定流量強(qiáng)制的遷移到該鏈路上，增加該鏈路的利用率。

校園網(wǎng)適合用來遷移的流量一般是對出口鏈路要求較低的應(yīng)用，其中的要求包括：吞吐量、延時、丟包率、抖動和QoS等，常見的應(yīng)用包括：FTP、P2P下載業(yè)務(wù)、電子郵件和視頻播放等。由于上述業(yè)務(wù)不要求網(wǎng)絡(luò)具備實(shí)時性，比如P2P下載業(yè)務(wù)支持?jǐn)帱c(diǎn)續(xù)傳、視頻播放有緩存支持，因此即使運(yùn)行在鏈路質(zhì)量不高的情況下，依然可以正常運(yùn)行。經(jīng)監(jiān)測發(fā)現(xiàn)，校園網(wǎng)高峰期視頻和P2P下載業(yè)務(wù)占到總應(yīng)用的75%左右，因此對上述應(yīng)用實(shí)施流量遷移不僅可以提高性能較差鏈路的利用率，還可以大大降低其余高質(zhì)量帶寬的使用壓力[3]。

2 系統(tǒng)實(shí)現(xiàn)

2.1 基本架構(gòu)。出口大網(wǎng)關(guān)系統(tǒng)必須具備以下特性：高性能、高密度（高集成度）、高擴(kuò)展性和高可靠性。高性能除了傳統(tǒng)防火墻吞吐量指標(biāo)外，新建連接數(shù)和系統(tǒng)并發(fā)連接數(shù)這兩個指標(biāo)也很重要。高密度主要體現(xiàn)在單位空間下對外提供的處理性能，以及端口密度；更高擴(kuò)展性主要為了適應(yīng)網(wǎng)絡(luò)建設(shè)的需求，能夠根據(jù)用戶的業(yè)務(wù)現(xiàn)狀定制性能，伴隨用戶的業(yè)務(wù)發(fā)展平滑升級（性能和端口）。高可靠性要解決的是傳統(tǒng)防火墻依靠雙機(jī)熱備帶來的部署復(fù)雜問題，面對日益復(fù)雜的網(wǎng)絡(luò)需求，應(yīng)從簡單的雙機(jī)熱備形式變成更加有機(jī)融合的形式，如：虛擬化部署。

因此，對于本文的大出口網(wǎng)關(guān)，應(yīng)該具備如下基本架構(gòu)形式：具有處理大型企業(yè)、園區(qū)網(wǎng)出口、高性能云計(jì)算數(shù)據(jù)中心、運(yùn)營商骨干網(wǎng)的設(shè)計(jì)標(biāo)準(zhǔn)，滿足校園網(wǎng)日益增加的業(yè)務(wù)和安全需要。硬件上基于多級多平面架構(gòu)、配合高性能多核處理器，軟件上基于最新專用操作系統(tǒng)，在滿足用戶多業(yè)務(wù)處理需求的基礎(chǔ)上實(shí)現(xiàn)最高400G的處理性能。關(guān)鍵業(yè)務(wù)單元采用冗余保護(hù)設(shè)計(jì)，滿足電信級可靠性要求。主控引擎1+1備份，獨(dú)立交換引擎N+1備份，單槽位達(dá)到T級帶寬，滿足無阻賽大容量交換能力的同時，便于后續(xù)業(yè)務(wù)/IO引擎的持續(xù)升級，電源、風(fēng)扇均具備N+1備份。

系統(tǒng)業(yè)務(wù)處理單元應(yīng)包括：（1）主控引擎：整個系統(tǒng)的管理控制中心，在各單板管理CPU的配合下實(shí)現(xiàn)分布式的配置管理、狀態(tài)監(jiān)控、路由/LACP/STP等網(wǎng)絡(luò)協(xié)議的運(yùn)算學(xué)習(xí)、二三層轉(zhuǎn)發(fā)表項(xiàng)的維護(hù)和下刷；（2）IO引擎：處理與外部的互聯(lián)互通，負(fù)責(zé)將接收到的數(shù)據(jù)根據(jù)引流規(guī)則通過交換矩陣轉(zhuǎn)發(fā)到指定的業(yè)務(wù)引擎，同時業(yè)務(wù)引擎處理完的數(shù)據(jù)通過IO引擎轉(zhuǎn)發(fā)到外部；（3）交換引擎：作為整個系統(tǒng)的數(shù)據(jù)中轉(zhuǎn)站，提供無阻塞的數(shù)據(jù)交換；（4）業(yè)務(wù)引擎：集成所有業(yè)務(wù)的處理單元，多業(yè)務(wù)引擎作為一個統(tǒng)一的邏輯整體，系統(tǒng)實(shí)時檢測該邏輯引擎內(nèi)成員的狀態(tài)，根據(jù)業(yè)務(wù)引擎的增加、刪除、故障、恢復(fù)動態(tài)調(diào)整數(shù)據(jù)流向，實(shí)現(xiàn)多引擎的負(fù)載分擔(dān)和冗余備份。本文中應(yīng)用的業(yè)務(wù)引擎主要包括防火墻、鏈路負(fù)載均衡、網(wǎng)絡(luò)入侵防御和流量遷移等引擎，還需考慮到后期業(yè)務(wù)擴(kuò)展所需要的，如：網(wǎng)絡(luò)行為管理引擎等。

2.2 鏈路負(fù)載均衡的實(shí)現(xiàn)。為實(shí)現(xiàn)鏈路負(fù)載均衡功能做出如下操作：網(wǎng)絡(luò)拓?fù)浜偷刂芬?guī)劃、初始化配置、全局表項(xiàng)配置、配置IP（Vlan Tag）、配置路由和網(wǎng)關(guān)、配置雙機(jī)的全局參數(shù)和業(yè)務(wù)配置。其中業(yè)務(wù)配置較為關(guān)鍵，需要實(shí)現(xiàn)Router Farm、Router Server（NHR）、Farm Flow、Flow Policy、Smart NAT和Proximity等相關(guān)功能。

以Flow Policy為例，需要建立ISP地址文件列表，下圖為中國電信的ISP地址文件列表，列表列出訪問地址的范圍和對應(yīng)的電信出口網(wǎng)關(guān)和端口。當(dāng)用戶訪問的目的地址與目的范圍匹配后，數(shù)據(jù)將從電信的出口網(wǎng)關(guān)和對應(yīng)端口訪問目的地址，從而實(shí)現(xiàn)鏈路負(fù)載均衡的功能。

2.3 網(wǎng)絡(luò)入侵防御的實(shí)現(xiàn)。攻擊防范一般包括類型：流量類（SYN Flood、UDP Flood、ICMP Flood、TCP Flood等）、應(yīng)用層類（HTTP Flood和DNS Flood）、掃描類、畸形報(bào)文類和特殊報(bào)文控制類。以SYN Flood攻擊為例，各端口上配置告警速率、最大速率和TCP代理狀態(tài)燈參數(shù)，根據(jù)特征庫判斷為SYN Flood攻擊行為時，當(dāng)攻擊報(bào)文數(shù)量超過告警速率之后，執(zhí)行“丟棄”處理，從而保證整個校園網(wǎng)在受到攻擊的情況下可以進(jìn)行有效防護(hù)，不影響正常業(yè)務(wù)的開展。

2.4 流量遷移的優(yōu)化。本文以校園網(wǎng)中常用的P2P流量選路部署為例，需要先建立一個Qos的策略ACL，新建一個P2P流量的特殊的類，再建立一個該類的行為，將它指定到某條運(yùn)營商的端口上并路由出去，最后將它加入到Qos策略列表中。當(dāng)用戶的流量滿足P2P流量策略時，根據(jù)設(shè)置將該流量通過強(qiáng)制的運(yùn)營商端口上行，即可完成該流量的遷移。

3 結(jié)束語

校園網(wǎng)出口高密度大網(wǎng)關(guān)設(shè)計(jì)簡化了網(wǎng)絡(luò)出口結(jié)構(gòu)、減少了故障點(diǎn)、滿足了網(wǎng)絡(luò)安全需求、實(shí)現(xiàn)了深度融合、保證了網(wǎng)絡(luò)協(xié)議和應(yīng)用的正常使用。我校按照該方案對校園網(wǎng)出口結(jié)構(gòu)進(jìn)行了改造，改造后校園網(wǎng)出口僅保留了網(wǎng)絡(luò)行為管理系統(tǒng)和高密度大網(wǎng)關(guān)系統(tǒng)，在后期考慮將網(wǎng)絡(luò)行為管理系統(tǒng)的功能并入高密度大網(wǎng)關(guān)中，使得出口設(shè)備數(shù)量僅為一臺。實(shí)施和運(yùn)行管理半年以來，達(dá)到了良好的使用效果，解決了管理和應(yīng)用難題。

參考文獻(xiàn)：

[1]張克柱.高校多出口鏈路負(fù)載均衡系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].南陽理工學(xué)院學(xué)報(bào)，2013（06）.

[2]矯健，韓芳溪，毛忠東.網(wǎng)絡(luò)攻擊手段及防御系統(tǒng)設(shè)計(jì)[J].計(jì)算機(jī)工程與應(yīng)用，2003（33）.

[3]張引，盧建國，黃善國.基于路徑計(jì)算單元的光網(wǎng)絡(luò)故障恢復(fù)中的并行流量遷移[J].光子學(xué)報(bào).2013（06）.

作者簡介：繆其勇（1979-），男，工程師，碩士研究生，主要研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。

作者單位：南京中醫(yī)藥大學(xué) 網(wǎng)絡(luò)中心，南京 210023