李軼

摘? 要：隨著校園網(wǎng)接入方式由傳統(tǒng)靜態(tài)IP向?qū)拵нh程接入服務(wù)（BRAS）的遷移，通過實施基于MacVlan的網(wǎng)絡(luò)功能虛擬化（NFV）技術(shù)應(yīng)用，實現(xiàn)了在實驗室環(huán)境下多PPPoE連接的校園網(wǎng)接入;并配合以策略路由技術(shù)，達成了多PPPoE出口的均衡負載。其不僅為師生提供了無縫的網(wǎng)絡(luò)訪問體驗，同時還達到了帶寬疊加的效果，有效提高了網(wǎng)絡(luò)服務(wù)質(zhì)量。

關(guān)鍵詞：寬帶遠程接入服務(wù)器? 網(wǎng)絡(luò)功能虛擬化? MacVlan? 策略路由

中圖分類號：TP393.1? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A? ? ? ? ? ? ? ? ? ?文章編號：1674-098X（2021）01（a）-0094-08

Abstract：With the migration of campus network access mode from traditional static IP to broadband remote access service （BRAS）， by applying MacVlan based network function virtualization technology， a multiple PPPoE connected campus network access is implemented in BRAS environment. Aided with policy-based routing technology， network load-balancing is implemented among these PPPoE exports. It not only provides users with a seamless network access experience， but also realized bandwidth superposition and load-balancing， which improved network service quality effectively.

Key Words：Broadband remote access server; Network function virtualization; MacVlan; Policy-based routing

傳統(tǒng)上，校園網(wǎng)用戶是以靜態(tài)IP的方式接入校園網(wǎng)。近年來，隨著園區(qū)網(wǎng)接入技術(shù)的發(fā)展。各個大型機構(gòu)、企業(yè)及大學院校紛紛采用了基于BRAS（Broadband Remote Access Server，即：寬帶遠程接入服務(wù)器）的接入方式。而在BRAS環(huán)境下，用戶若要接入校園網(wǎng)，需要手動建立一個PPPoE撥號連接，并完成相應(yīng)的用戶名和密碼認證，而后再由BRAS分配IP地址并接入校園網(wǎng)。因此，在接入方式發(fā)送改變后，如何在實驗室環(huán)境下為師生提供一個無縫的校園網(wǎng)服務(wù)，并在此基礎(chǔ)上充分利用網(wǎng)絡(luò)的物理帶寬，為師生提供較好的網(wǎng)絡(luò)服務(wù)質(zhì)量，成為需要解決的問題。

1? BRAS與PPPoE協(xié)議

BRAS（Broadband Remote Access Server）又稱為寬帶遠程接入服務(wù)器[1]是面向?qū)拵ЬW(wǎng)絡(luò)應(yīng)用的新型接入網(wǎng)關(guān)。它位于骨干網(wǎng)的邊緣層，是寬帶接入網(wǎng)與骨干網(wǎng)之間的橋梁。BRAS主要完成兩方面功能：一是網(wǎng)絡(luò)承載功能，其負責響應(yīng)用戶的PPPoE連接，匯聚用戶流量以及路由轉(zhuǎn)發(fā);二是控制實現(xiàn)功能，其與認證系統(tǒng)、計費系統(tǒng)和客戶管理系統(tǒng)及服務(wù)策略控制系統(tǒng)相配合，實現(xiàn)用戶接入的認證、計費和管理。

PPPoE（Point-to-Point Protocol Over Ethernet）[2-3]，又稱為以太網(wǎng)上的點對點協(xié)議。該協(xié)議是一種將PPP協(xié)議（Point-to-Point Protocol）封裝在以太網(wǎng)幀中的一種網(wǎng)絡(luò)隧道協(xié)議。由于該協(xié)議中集成了PPP協(xié)議，所以提供了傳統(tǒng)以太網(wǎng)不能提供的身份驗證、加密以及壓縮等功能。因此，其最常被應(yīng)用于終端用戶的接入中。比如，在采用BRAS技術(shù)的校園網(wǎng)和園區(qū)網(wǎng)的用戶接入中。由于該協(xié)議已經(jīng)是一個成熟，且被應(yīng)用已久的技術(shù)。因此，本文只做簡要介紹，不再贅述。

2? 網(wǎng)絡(luò)功能虛擬化與MacVlan

2.1 網(wǎng)絡(luò)功能虛擬化

網(wǎng)絡(luò)功能虛擬化（Network Function Virtualization，簡稱NFV）[4]是近年來興起的一種新興技術(shù)，其是指利用虛擬化技術(shù)，將不同的功能網(wǎng)絡(luò)節(jié)點以軟件方式實現(xiàn)，而不再局限于硬件架構(gòu)。它將以往由硬件實現(xiàn)的網(wǎng)絡(luò)功能（如路由器、防火墻、CDN等）轉(zhuǎn)而使用軟件實現(xiàn)，并部署到網(wǎng)絡(luò)服務(wù)器上，從而降低采購和維護成本，提高生產(chǎn)效率。

2.2 MacVlan

作為網(wǎng)絡(luò)功能虛擬化的具體技術(shù)之一，MacVlan[5]是Linux系統(tǒng)內(nèi)核（Linux kernel v3.09—v3.19 及 v4.0以上）提供的一種網(wǎng)卡虛擬化技術(shù)。它能夠在一塊物理網(wǎng)卡上構(gòu)造出多塊虛擬網(wǎng)卡，且每塊虛擬網(wǎng)卡都具有獨立的MAC地址。在用戶看來，就如同多塊真實的物理網(wǎng)卡。MacVlan有四種操作模式[6]，分別是：私有（Private）、虛擬端口聚合（VEPA）、橋接（Bridge）模式和直通（Passthru）。在Private模式下，虛擬網(wǎng)卡之間不可相互通信;在VEPA模式下，虛擬網(wǎng)卡間的通信依賴于外部的交換機，且交換機需要支持802.1Qbg邊緣虛擬網(wǎng)橋協(xié)議;Bridge模式與VEPA模式相同，只不過MacVlan本身就提供了虛擬網(wǎng)橋，而無需外部交換機支持;在Passthru模式下，虛擬網(wǎng)卡將直接與外部網(wǎng)絡(luò)連接，且初始具有物理網(wǎng)卡的MAC地址，用戶可根據(jù)需要變更其MAC地址，也可將其置于雜收（promiscuous）模式。

2.3 結(jié)合MacVlan與PPPoE

通常，為保證服務(wù)質(zhì)量網(wǎng)管機構(gòu)都會對每條接入的PPPoE鏈路，配置一定的流量及帶寬控制策略。為充分利用網(wǎng)絡(luò)物理帶寬，可考慮運用MacVlan網(wǎng)絡(luò)虛擬化技術(shù)，創(chuàng)建多塊虛擬以太網(wǎng)卡;然后將其作為PPPoE的撥號設(shè)備，這樣就得到了多條PPPoE鏈路，進而還可將網(wǎng)絡(luò)流量分攤到這些鏈路上，從而達到帶寬疊加及負載均衡的目的。

3? 案例實踐

3.1 案例拓撲

本案例的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示。其中，交換機B為實驗樓樓層核心交換機，交換機A為校園網(wǎng)接入交換機。二者之間，掛接了一臺雙網(wǎng)卡服務(wù)器作為網(wǎng)關(guān)，其內(nèi)網(wǎng)網(wǎng)卡eth0（IP地址為：192.168.1.253/30）與交換機B的Fa0/23號三層端口連接（IP地址為：192.168.1.254/30）;外網(wǎng)網(wǎng)卡eth1與交換機A連接，用于實現(xiàn)到校園網(wǎng)的PPPoE撥號連接。

樓層核心交換機B共劃分了5個VLAN，分別對應(yīng)實驗室1到實驗室4和服務(wù)器區(qū)。其VLAN ID及本地IP分配如表1所示。

3.2 創(chuàng)建MacVlan虛擬網(wǎng)卡

本案例中，采用一臺運行CentOS7.0的部門級服務(wù)器作為PPPoE網(wǎng)關(guān)。在此環(huán)境下，可使用“ip link”命令創(chuàng)建MacVlan的虛擬網(wǎng)卡。其命令格式為：ip link add <虛擬網(wǎng)卡設(shè)備名> link <物理網(wǎng)卡設(shè)備名> type? macvlan? mode

其中MacVlan的模式“mode”可以是Private、VEPA、Passthru、bridge四種之一。在本案例中，根據(jù)實際需要選擇了“bridge”模式。

創(chuàng)建的虛擬網(wǎng)卡可通過不帶參數(shù)的ip link命令查看。如圖2所示，本案例中共創(chuàng)建了四塊虛擬網(wǎng)卡，其設(shè)備名分別為：macvlan1、macvlan2、macvlan3和macvlan4。

3.3 創(chuàng)建多個基于虛擬網(wǎng)卡的PPPoE連接

在虛擬網(wǎng)卡創(chuàng)建好后，還要針對每塊虛擬網(wǎng)卡，創(chuàng)建對應(yīng)的PPPoE撥號配置文件，設(shè)置撥號用戶和密碼。其具體格式和配置過程可參考相關(guān)手冊，因此不在此贅述。在正確配置撥號配置文件后，就可通過ifup 命令撥號，在用戶認證成功后，PPPoE網(wǎng)關(guān)服務(wù)器將獲得對應(yīng)的校園網(wǎng)IP地址。本例中獲得的4個校園網(wǎng)IP地址如圖3所示（出于地址安全原因，圖中已將IP地址的前24位隱去）。

3.4 配置策略路由

為實現(xiàn)均衡負載，需要一定的負載策略?；诙嗦酚杀淼牟呗月酚蒣7]，是一種靈活而簡單的分配方法。

（1）配置交換機B的默認路由。

交換機B是本案例中的樓層核心交換機，其各個VLan間屬于直連網(wǎng)絡(luò)，無需單獨配置路由，需要進行配置的是其默認路由。也正是由于默認路由的存在，樓內(nèi)用戶才可訪問外部網(wǎng)絡(luò)。在本案例中，需要將交換機B的默認路由指向PPPoE網(wǎng)關(guān)服務(wù)器，即默認路由下一跳地址為：192.168.1.253/30。具體的交換機配置命令，因各種設(shè)備差異格式各有不同，可查閱相關(guān)手冊，因此不在此贅述。

（2）配置PPPoE網(wǎng)關(guān)服務(wù)器的本地路由。

除配置樓層核心交換機的默認路由外，還要為PPPoE網(wǎng)關(guān)服務(wù)器的主路由表（名稱為“main”，表號為254）添加本地網(wǎng)絡(luò)間的路由。配置本地路由的目的，是為了讓其能在之后的NAT過程中，正確地將來自外網(wǎng)的IP包轉(zhuǎn)發(fā)到不同內(nèi)網(wǎng)中。如表2中所示，前往本地的不同網(wǎng)絡(luò)，其下一跳地址為192.168.1.254/30;即樓層核心交換機（交換機B）的Fa0/23號三層端口的IP地址。

（3）配置PPPoE網(wǎng)關(guān)服務(wù)器的策略路由表。

配置策略路由的第一步，是要創(chuàng)建多張路由表以對應(yīng)不同的策略路由規(guī)則。在本案例中，需要將流量分擔到4條PPPoE鏈路上，因此需要創(chuàng)建4張具有默認路由的路由表?？墒褂胕p route命令創(chuàng)建路由表，具體參數(shù)和格式不在此贅述。本案例中，創(chuàng)建的四張策略路由表表號分別為：10，11，12，13;其默認路由出口，分別為ppp0、ppp1、ppp2、ppp3（如表3所示）。

（4）創(chuàng)建策略路由規(guī)則。

策略路由的最后一步，是定義策略規(guī)則。路由策略的依據(jù)靈活多變，可按照IP包的源地址、目的地址、端口號、協(xié)議或報文長度等信息來制定策略進行IP包的轉(zhuǎn)發(fā)。在本案例中，將依據(jù)IP包的源地址制定路由策略規(guī)則。其具體規(guī)則如表4所示。

可使用ip rule命令創(chuàng)建策略規(guī)則，其具體參數(shù)及格式不在此贅述。依據(jù)內(nèi)網(wǎng)源地址的類別數(shù)量，本例中共創(chuàng)建了4條規(guī)則，規(guī)則號從100到103（如圖5所示）。

（5）定義NAT規(guī)則。

在策略路由配置完成后，還有最后一個步驟，即：配置NAT（Network Address Translation）網(wǎng)絡(luò)地址轉(zhuǎn)換[8]。這是因為，當來自樓層內(nèi)網(wǎng)的某個IP包依據(jù)路由策略規(guī)則經(jīng)由網(wǎng)關(guān)轉(zhuǎn)發(fā)時，其IP包源地址仍舊為樓內(nèi)私有地址，這樣的IP包是無法在校園網(wǎng)及公網(wǎng)上傳輸?shù)?。因此，?nèi)網(wǎng)的IP包在最后交付校園網(wǎng)前，還需要進行NAT地址轉(zhuǎn)換。被路由分配給某一PPPoE出口的IP包，其源地址要被轉(zhuǎn)換為該出口對應(yīng)的外部IP地址。

使用iptables命令定義NAT規(guī)則。其具體命令格式為：

iptables -t nat -A POSTROUTING -o <轉(zhuǎn)發(fā)設(shè)備名> -j SNAT --to-source <外部ip地址>

其中，“轉(zhuǎn)發(fā)設(shè)備名”就是撥號之后得到的PPPoE連接名，如：ppp0，ppp1等。“外部ip地址”就是該PPPoE連接具有的校園網(wǎng)IP地址。

以上全部五個步驟，在實際運用中可通過bash腳本實現(xiàn)，以便于維護和管理。其具體編寫過程，則不在此贅述。

3.5 性能測試及結(jié)果分析

為驗證上述配置是否起到了流量分攤及均衡負載的作用，需要進行有效的性能測試及結(jié)果分析。

3.5.1 測試目標

由于Web服務(wù)是當前互聯(lián)網(wǎng)的主要服務(wù)形式，因此以Web站點的首頁響應(yīng)時間作為主要的測試指標依據(jù)。具體指標包括：（1）Web首頁的平均響應(yīng)時間;（2）Web首頁響應(yīng)時間的用戶百分比分布;（3）平均網(wǎng)絡(luò)吞吐率。

3.5.2 測試方案

測試采用HP LoadRunner 8.0[9，10，11]作為測試工具;為使測試更具有真實性和一般性，選取了一定數(shù)量的國內(nèi)主流門戶站點作為目標集合。在測試運行時，每個Vuser的每次Web請求將從目標集合中隨機選擇一個。測試分為四個等級，分別模擬每個實驗室在25、50、75和100并發(fā)請求（本案例中共四個實驗室，故并發(fā)請求總數(shù)分別為：100、200、300、400）下的負載情況。

作為對比，測試分為兩個步驟。首先，在單條PPPoE連接下的情況下，分別測試四個并發(fā)等級下的測試目標;然后，在4條PPPoE連接及配置了均衡負載的情況下，再次測試四個并發(fā)等級下的測試指標。

3.5.3 結(jié)果分析

（1）Web首頁平均響應(yīng)時間。

如表5所示，當并發(fā)用戶數(shù)在200及以下時，單PPPoE連接與4PPPoE連接間差異不大，平均響應(yīng)時間均在2秒左右;但當并發(fā)用戶達到300及以上時，單連接與多連接的差異明顯，單連接的平均響應(yīng)時間達到5s以上，而4連接的平均響應(yīng)時間仍舊保持在2s左右。

（2）Web首頁響應(yīng)時間的百分比分布。

如下所示，圖5～8分別展示了在100、200、300和400并發(fā)請求下Web首頁響應(yīng)時間的百分比分布?？梢园l(fā)現(xiàn)，在100并發(fā)請求下，單連接和4連接的差異并不明顯，二者90%請求的響應(yīng)時間均在3s以下;在200并發(fā)請求下，二者之間出現(xiàn)明顯差異，單連接下90%請求的響應(yīng)時間已經(jīng)近乎5s，而4連接下90%請求的響應(yīng)時間仍保持在3s以下;在300并發(fā)請求下，二者差距進一步拉大。單連接90%請求的響應(yīng)時間已經(jīng)達到10s以上，而4連接下90%請求的響應(yīng)時間則只在5s以下;在400并發(fā)請求下，二者差距顯著，單連接下90%請求的響應(yīng)時間達到了11s以上，而4連接下90%請求的響應(yīng)時間則繼續(xù)保持在5s以下。

（3）平均網(wǎng)絡(luò)吞吐率。

如圖9所示，在不同并發(fā)數(shù)請求下，單連接和4連接在平均網(wǎng)絡(luò)吞吐率的提升上也有明顯差異。隨著并發(fā)數(shù)的增加，單連接平均網(wǎng)絡(luò)吞吐率從253kbyte/s，提高到479kbytes/s;而4連接的平均網(wǎng)絡(luò)吞吐率從327kbyte/s，提高到1150kbytes/s?？梢钥吹?，4連接下的平均網(wǎng)絡(luò)吞吐率提升非常顯著。

從測試結(jié)果的分析來看，在高并發(fā)請求負載下，使用多條PPPoE連接能有效保障Web請求響應(yīng)時間，顯著提升網(wǎng)絡(luò)吞吐率。在提供無縫網(wǎng)絡(luò)接入的同時，也提高了網(wǎng)絡(luò)帶寬的利用率，改善了用戶瀏覽體驗，達到了帶寬疊加和負載均衡的目的。

4? ?結(jié)語

綜上，通過MacVlan虛擬化技術(shù)的應(yīng)用，實現(xiàn)了BRAS環(huán)境下的多PPPoE鏈路校園網(wǎng)接入。其不僅為用戶提供了無縫的網(wǎng)絡(luò)訪問體驗，同時還實現(xiàn)了帶寬疊加及負載均衡，有效提高了網(wǎng)絡(luò)服務(wù)質(zhì)量。此外，本案例只是一個簡單的技術(shù)驗證性案例。在實際應(yīng)用中，還可依據(jù)網(wǎng)關(guān)服務(wù)器的硬件水平和網(wǎng)絡(luò)帶寬容量，進一步增加虛擬網(wǎng)卡及PPPoE連接的數(shù)量，并配合以不同的負載均衡策略，以期獲得更大的網(wǎng)絡(luò)性能提升。

參考文獻

[1] 王懷濱，王延松.BRAS SDN&NFV的演進思路[J].中興通訊技術(shù)，2017，23（4）：60-62.

[2] 馮振.PPPoE技術(shù)在寬帶城域網(wǎng)應(yīng)用研究[J].工程技術(shù) （引文版），2016（2）：244.

[3] 蕭斌.PPPOE在校園網(wǎng)升級改造中的應(yīng)用[J].電腦知識與技術(shù)：學術(shù)交流，2017，13（3）：59-60.

[4] 周偉林，楊芫，徐明偉.網(wǎng)絡(luò)功能虛擬化技術(shù)研究綜述[J].計算機研究與發(fā)展，2018，55（4）：675-688.

[5] Struye J， Spinnewyn B， Spaey K， et al. Assessing the value of containers for NFVs： A detailed network performance study[C]//2017 13th International Conference on Network and Service Management （CNSM）. IEEE， 2017： 1-7.

[6] Claassen J， Koning R， Grosso P. Linux containers networking： Performance and scalability of kernel modules[C]//Network Operations and Management Symposium （NOMS）， 2016 IEEE/IFIP. IEEE， 2016： 713-717.

[7] 孫光懿.基于策略路由和NAT的多出口校園網(wǎng)仿真實驗設(shè)計[J].西北民族大學學報：自然科學版，2017，38（2）：14-20.

[8] 孫宇，嵩天.網(wǎng)絡(luò)地址轉(zhuǎn)換環(huán)境下的隱蔽通道構(gòu)建方法[J].信息網(wǎng)絡(luò)安全，2019（7）：59-66.

[9] 李娟.基于LoadRunner的Web系統(tǒng)性能測試的研究和應(yīng)用[J].信息技術(shù)與信息化，2019（12）：226-228.

[10] Abbas R， Sultan Z， Bhatti S N. Comparative analysis of automated load testing tools： Apache jmeter， microsoft visual studio （tfs）， loadrunner， siege[C]//2017 International Conference on Communication Technologies （ComTech）. IEEE， 2017： 39-44.

[11] Khan R， Amjad M. Web application's performance testing using HP LoadRunner and CA Wily introscope tools[C]//2016 International Conference on Computing， Communication and Automation （ICCCA）. IEEE， 2016： 802-806.