河南工程学院基于Super Vlan的扁平化网络实践
来源:河南工程学院现代教育技术中心 作者:胡耀东 发表于:2017.03.31 3590浏览
网络技术的发展,网络终端用户体验的新的需求,以及移动互联网、物联网的发展,对校园网提出了更高的要求。高校校园网络技术正在经历一个从核心、汇聚、接入的三层结构向扁平化转换的过程中,是照搬运营商的经验?还是发挥园区网的特性?……诸多问题的出现,诸多的解决方案。本文将结合实践分享河南工程学院的校园网建设经验,以供参考。
一、引言
高校的校园网建设从1994年启动至今,大体可以分为三个阶段:
阶段一,可用的网络:PC数量的增加带来高校用户互通需求,高校的重点集中在基础网络建设上,主要关注网络的连通性和兼容性。用户通过校园网内部互联互通,并实现对INTERNET的访问。
阶段二,可管控的网络:用户规模不断扩大,互联网应用浪潮兴起,校园网承载了越来越多的应用,校园网安全问题也日益凸显,构建安全可管可控的网络是建设的重点。
阶段三,可扩展的网络:随着移动互联网和物联网的兴起,智能移动终端和传感器的接入和应用成为校园网建设的关注点,网络向服务转型,注重终端用户体验,网络运维效率的提升和网络弹性可扩展是重点。
二、厂商提供的方案
网络架构经过网络厂商的努力,从最初的单一的子网划分,发展到核心、汇聚、接入的三层架构。目前随着网络设备性能的提高及网络需求的持续提升,网络架构又逐渐回归到大二层网络或扁平化网络。在目前网络逐步扁平化的过程中,主要有PPPOE、Super Vlan两种技术方案。
PPPOE技术方案:该方案是基于以太网的点到点协议(Point-to-Point Protocal Over Ethernet),在RFC-2516中定义,以宽带接入服务器(BRAS)为核心,在电信运营商中有广泛的应用,经过运营商多年的检验,稳定性毋容置疑,且具有天然的防止ARP攻击等特性。少部分高校已经采用了这样的方案。当然在享用对用户细粒度控制的同时,高校也要接受多余的包开销及不支持组播等特性。
Super Vlan技术方案:Super Vlan又称为VLAN聚合(VLAN Aggregation),其原理是一个Super Vlan包含多个Sub Vlan,每个Sub Vlan是一个广播域,不同Sub Vlan之间二层相互隔离。在RFC 3069-VLAN Aggreation for Efficient IP Address Allocation中对此有详细的描述。其实质内容是Sub Vlan就是我们常见的普通VLAN,只不过这些Sub Vlan共享一个Super Vlan的网关,其最大优势是节省了网络和广播地址,简化了管理,特别是IPV4/IPV6双栈的情况下,在大部分网络设备对IPV6仅支持/128和/64掩码的情况下,极大提高了IPV6地址的利用率,简化了配置管理。在网络厂商提供的方案中,大部分是将接入交换机按端口划分,一个端口划分为一个VLAN,和中心设备的Sub Vlan对应,这样很好地解决了广播和ARP攻击的情况。但是这样的配置太复杂,且交换机配置不统一,维护难度很大。
三、我们的实践
下面结合2015年我校网络万兆升级时对国内网络厂商的测试情况,谈一下我们对此问题的解决办法。
在长期的实践中,我们摸索出了在三层启用Super Vlan,启用DHCP OPTION82,在二层交换机上启用端口隔离,强制DHCP,限制端口MAC地址数量,打开STP生成树避免双环,打开端口环路检测,关闭形成单环的端口等手段,保证用户在出现问题的时候将问题限制在一个端口的范围里,形成的结果是用户只能自动获得IP地址才能上网,甚至用户设置成自动获得的IP地址也不能上网,用户只能看到网关的MAC地址,出现双环时没有影响,出现单环时所在的端口会立即关闭,私自提供DHCP服务也只能限制在校方提供的一个端口范围。这样基本实现了PPPOE的优点而避开了其不能组播的缺点,同时交换机配置单一,一个区域的配置基本一致,可以使其在寿命周期内基本不需要更改。下面给出主要配置信息:
Super Vlan的配置,以华为的CE6851和锐捷的RG-S8610为例。
华为CE6851的主要配置
dhcp enable
dhcp option82 format extend
dhcp relay server group dhcpgroup1
server 10.27.100.99 0
server 10.27.100.100 1
vlan 81
dhcp option82 insert enable
ip pool 172.18.1.10 to 172.18.10.255
vlan 82
dhcp option82 insert enable
ip pool 172.18.20.1 to 172.18.30.255
vlan 1000
aggregate-vlan
access-vlan 81 to 82
#interface Vlanif1000
ipv6 enable
ip address 172.18.0.1 255.255.0.0
ipv6 address 2001:DA8:500D:50::1/64
ipv6 nd ra halt disable
dhcp select relay
dhcp relay binding server group dhcpgroup1
锐捷RG-S8610主要配置
vlan 25
subvlan-address-range 172.17.50.0 172.17.57.255
vlan 26
subvlan-address-range 172.17.60.0 172.17.67.255
vlan 999
supervlan
subvlan 21-26
service dhcp
ip helper-address 10.27.100.99
ip dhcp relay information option82
interface VLAN 999
no ip proxy-arp
ip address 172.17.0.1 255.255.0.0
ipv6 address 2001:DA8:500D:20::1/64
ipv6 enable
no ipv6 nd suppress-ra
两层交换机的配置,以锐捷的RG-S2600和华为的S5700-SI为例,给出主要的配置信息。
锐捷RG-S2600的主要配置
interface GigabitEthernet 0/1
switchport access vlan 81
switchport protected
switchport port-security maximum 16
switchport port-security aging time 5
switchport port-security
ip verify source port-security
rldp port loop-detect shutdown-port
interface GigabitEthernet 0/52
switchport mode trunk
ip dhcp snooping trust
address-bind ipv6-mode loose
华为S5700-SI主要配置信息
dhcp enable
dhcp snooping enable ipv4
nd snooping enable
vlan 10
dhcp snooping enable
nd snooping enable
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
mac-limit maximum 16
loopback-detect enable
stp disable
stp edged-port enable
port-isolate enable group 1
carrier up-hold-time 0
ip source check user-bind enable
interface GigabitEthernet0/0/52
port link-type trunk
port trunk allow-pass vlan 10 31
dhcp snooping trusted
nd snooping trusted
对于端口隔离来说,锐捷使用的是switchport protected,华为使用的是port-isolate enable group 1,强制DHCP,也就是说用户必须使用DHCP获得IP地址的命令,两者基本一致。对于华为的配置来说,需要在端口关闭STP,然后打开边界STP;如果不这样做,新接入一个PC时,原来在线的PC会有8-10个ping丢包。这是经过和华为技术人员n次沟通后获得的配置与功能。
上面给出配置的版本中,三层的CE6851的版本为VRP(R) software, Version 8.100 (CE6851HI V100R005C10SPC200),S8610的版本为Software version : RGOS 10.4(2b12)p1 Release(160818);两层的S5700的版本为Software Version : VRP (R) Software, Version 5.130 (V200R003C00SPC300),S2600的版本为System software version :RGOS 10.4(3b2)p1 Release(136500)。经过我们的测试,锐捷的57系列、62系列、86系列、18K系列,以及华为的68系列,都有符合我们要求的型号。值得称赞的是H3C的10500系列和中兴的8900E,因原有版本不符合要求,研发人员在规定的时间里提供了测试的版本,满足了要求。
两层配置的版本符合我们要求的除了上面两款,中兴的ZTE2950、ZTE5950,H3C的S2652以及锐捷的S2900等也符合上面的配置要求。
最终,三层我们选择了华为的CE6851,这是针对数据中心开发的产品,被我们用在了扁平化的三层,它共有48个万兆/千兆端口,6个40G的端口,价格在5万人民币以内,6000以内并发在线IP稳定,值得推荐。
由于采用了端口隔离,用户在二层不能互通,这给一些类似网络打印机的使用带来了不便,PPPOE也存在此问题,解决的方法有:第一种是需要使用共享打印机的需求方提供交换机,然后接入校园网;第二种是给这种共享的设备独立提供一个VLAN,端口隔离后通过三层是互通的。这个问题需要在规划时考虑到。
四、总结
目前校园网络在向大二层转换的过程中,对于10万用户,一个交换机一个网络是一种方式,传统运营商的BRAS的PPPOE是一种方式,同这些方式比较,我们的分布式大二层结构有一些优点:首先,多种技术的运用,基本实现了PPPOE或QinQ的优点;第二,多个区域的大二层结构,避免了单一故障点;第三,整体价格和网络的可靠度占有优势;第四,结构简单,极易扩充;第五,二层交换机在其使用周期中,不再有配置的更改和版本的升级,维护方便。
关于设备支持情况,在2015年的设备测试中,国内主流交换厂商都有支持的产品,华为、锐捷的三层产品、二层产品的某些型号可以直接使用,H3C、中兴的三层产品需要更新版本才能支持所需的功能。
这说明,国内主流厂商的产品是能够支持这样的功能需求的,只是这样的使用方式没有出现在厂商的经典案例中,希望我们的实践能给大家一些参考。