您的位置:首页 > 参评方案展示 > 基础设施

华中科技大学:多链路BGP接入方法的探讨

  编辑点评:文章在华中科技大学校园网出口,采用BGP协议,有效解决了出口切换需要引起网络中断的问题。结合BFD链路检测机制,保证了出口链路的快速切换。对其他高校校园网出口维护具有一定的参考意义。

  1 引言

  华中科技大学校园网拥有7.8万多上网用户,上网高峰期、在线用户达4万之多,华中科技大学校园网接入CERNET的带宽是6G,接入中国电信的带宽是3.2G(主校区2G、同济校区1.2G),接入中国联通的带宽是1.2G,接入CERNET2的带宽是1G,接入湖北高校联盟网的带宽是1G,其校园网总出口带宽达12.4G。校园网多出口的网络设备由一台Cisco6509和两台网络出口引擎设备组成,其改造前校园网与多ISP互联的网络拓扑图如图一所示:

  图一、校园网出口

  在图一中,C6509占有校园网出口的重要位置,在正常工作时间范围内,对C6509设备的测试和维护,势必大面积影响用户的正常上网,为减轻网络出口中断的影响,网络维护人员不得不选择从深夜零点开始维护和调整网络出口,从另一个侧面说明校园网的出口缺乏柔性,不可及时动态调整的问题。

  2 单链路接入

  校园网与ISP互联、一般采用单链路接入,该链路的接入具有一定的普遍性,但是ISP为满足校园网接入带宽的需求,也会提供多个1G和多个10G光纤链路接入,这里的多个1G和多个10G的链路其重点是解决接入带宽的问题。在图一中,接入电信的网络带宽为2G,电信给学校提供了2个1G的光纤链路,使用IEEE 802.3ad标准的lacp(link aggregation control protocol)将一台设备的2个1G的光口聚合为一个逻辑的端口,其技术优点:(1)带宽相当于组成端口的带宽之总;(2)只要组内不是所有的端口都down掉,仍然可以继续通信;(3)流量可以在这些端口上自动进行负载均衡。在图一中,2条接入电信网的千兆链路主要是满足带宽的接入需求,并不考虑网络带宽链路的冗余和热备[1],在互联网+催生经济社会发展新形态下[2],学校信息化工作正在向智慧校园的演进中,拟定高可靠性、高可用性及柔性的网络出口方案以迫在眉睫。

  3 多链路接入

  确保网络出口具有高可靠性、高可用性及较好的柔性,是网络出口改造方案重点关注的技术问题。在图一中,校园网与CERNET互联用了一条万兆光纤链路,互联设备是一台C6509,校园网出口拓扑存在链路及设备的端点故障风险,为规避风险、提升校园网出口的可靠性,在校园网出口改造方案中新增了一台C6509-2(用N7K虚拟)作为校园网出口核心的备用设备,新增一条万兆光纤链路,作为校园网出口到CERNET的备份链路,升级后的校园网出口拓扑图如图二所示。

  图二、改造后的校园网出口

  在图二中, 校园网出口与CERNET采用了2条万兆光纤链路互联,其中万兆光纤链路-1是主链路,万兆光纤链路-2是备用链路,为实现链路的热备自动切换,我们选择了BGP及BFD(Bidirectional Forwarding Detection)的组合并将该技术用于边界路由器的配置。

  (1)C6509-1 BGP路由的主要配置信息

  router bgp 64513

  bgp log-neighbor-changes

  neighbor 202.114.1.170 remote-as 4538 # CERNET as 号

  neighbor 202.114.1.170 fall-over bfd # 链路检测

  address-family ipv4

  # 校园网IP地址聚合

  aggregate-address 115.156.128.0 255.255.128.0 summary-only

  aggregate-address 58.200.127.200 255.255.255.248 summary-only

  ...

  neighbor 202.114.1.170 activate

  neighbor 202.114.1.170 soft-reconfiguration inbound

  neighbor 202.114.1.170 route-map catch-from-bgp-cernet in #过滤接收的IP信息

  neighbor 202.114.1.170 route-map ospf-to-bgp out #过滤对外发布的IP信息

  redistribute ospf 666 route-map ospf-to-bgp #将校园网内部路由信息发布到BGP中

  exit-address-family

  (2)C6509-2 BGP路由的主要配置信息

  router bgp 64513

  neighbor 202.114.1.186 remote-as 4538 # CERNET as 号

  address-family ipv4

  # 校园网IP地址聚合

  aggregate-address 115.156.128.0 255.255.128.0 summary-only

  aggregate-address 58.200.127.200 255.255.255.248 summary-only

  ...

  redistribute ospf 666 route-map ospf-to-bgp #将校园网内部路由信息发布到BGP中

  neighbor 202.114.1.186 soft-reconfiguration inbound

  neighbor 202.114.1.186 route-map catch-from-bgp-cernet in #过滤接收的IP信息

  neighbor 202.114.1.186 route-map ospf-to-bgp out #过滤对外发布的IP信息

  exit-address-family

  (3)校园网出口路由的IP地址过滤规则

  (a)BGP路由接收信息的过滤规则

  # 接收缺省的路由信息,过滤其它所有的路由信息。

  ip prefix-list catch-from-bgp-cernet seq 10 permit 0.0.0.0/0

  ip prefix-list catch-from-bgp-cernet seq 100 deny 0.0.0.0/0 ge 1

  (b)BGP路由发布信息的过滤规则

  #过滤私有IP和缺省路由信息

  ip prefix-list ospf-to-bgp seq 5 deny 0.0.0.0/0 ge 32

  ip prefix-list ospf-to-bgp seq 10 deny 172.16.0.0/12 le 32

  ip prefix-list ospf-to-bgp seq 15 deny 192.168.0.0/16 le 32

  ip prefix-list ospf-to-bgp seq 20 deny 10.0.0.0/8 le 32

  #只发布我校校园网公有的IP信息

  ip prefix-list ospf-to-bgp seq 30 permit 202.127.251.0/26 le 32

  ip prefix-list ospf-to-bgp seq 31 permit 115.156.128.0/17 le 32

  ...

  (4)CERNET的接入路由器的配置说明

  router bgp 4538

  neighbor 202.114.1.170 remote-as 64513 # 校园网 as 号

  neighbor 202.114.1.170 fall-over bfd # 链路检测

  neighbor 202.114.1.170 default-originate #发布默认路由

  default-metric 10 # 链路-1发布路由的MED值设定10

  注意:链路-2发布路由的MED值设定20,一定要大于链路-1的MED值。

  MULTI_EXIT_DISC(MED)被称为外部度量值,是用来影响入流量,CERNET通过向校园网C6509-1宣告本地路由时携带MED值,以引导校园网如何进入CERNET,MED值越小越优先,在校园网出口多链路中,链路-1是主链路,链路-2是备份链路。

  4 链路热备切换

  由于BGP路由收敛速度比较慢[2],一旦链路-1或C6509-1发生故障,校园网出口网络通信都会出现短暂的停顿,停顿的时间一般大于几秒,这依据BGP路由更新的间隔,Cisco BGP默认KEEPALIVE每60秒发送一次,HoldTime为180秒[3]。仅靠BGP路由收敛算法,主备链路的切换时间太长,对实时性强的网络应用产生影响,为将主备链路的切换控制在毫秒级,需引进 BFD(Bidirectional Forwarding Detection)链路检测机制,该机制用于快速检测、监控网络中链路连通状况[4]。BFD能在50ms之内可检测处链路的通断状态,换言之BGP如果能引入该机制,链路的切换时间就可控制在毫秒级,核心路由设备一般都支持BFD,针对C6509-1在BGP的配置中添加 neighbor 202.114.1.170 fall-over bfd (要求对端设备也支持BFD)就可实现主备链路的实时切换。

  5 结语

  本文以华中科技大学校园网出口为例,探讨了多链路接入CERNET的通信模式及链路热备切换的方法,该接入方案实施后,经过一年多的运行,我校校园网出口的可靠性和安全性有了大幅提升。网络出口割接时(如:在网络出口上架设UTM,NGFW安全设备),技术人员将上网测试的安全设备可预先配置并放置在备用链路上,待一切准备工作就绪后,只需将主链路端口shutdown,在毫秒级之内便完成网络网络出口的割接,网络技术人员从此远离“半夜鸡叫”,将工作的精力投入到网络信息化建设的其它方面。

  参考文献:

  [1]双机热备的HSRP配置解析[J]. 华南金融电脑 2007年11期 颜承林

  [2]改善BGP路由收敛的时间窗口机制[J].软件学报 2008.王立军,吴建平

  [3]http://www.cisco.com/ Border Gateway Protocol Commands

  [4]高鑫.双向转发检测(BFD)协议研究[M].北京 北京邮电大学出版社,2007.

  作者单位:华中科技大学网络与计算中心

来源:CERNET第二十三届学术年会论文集作者:贺聿志 章勇