中文
校园网出口策略这件事,校领导和学生看的是完全不同的两个东西。校领导看出口带宽利用率报表,想知道一年几百万的带宽费花得值不值。学生看的是晚上打游戏延迟多少、刷视频卡不卡。信息中心夹在中间,一边要跟运营商谈带宽扩容的预算,一边要处理学生投诉,还得确保教学科研出口不受娱乐流量冲击。计费系统在出口策略里的角色经常被低估——大部分人觉得出口调度是网络设备的事,跟计费系统没关系。但实际上计费系统管着用户认证和套餐策略,出口是不是该放行、该走哪条链路,很大程度上取决于计费系统给用户打的是什么标签。
多出口环境下的计费标签体系
现在很多高校都是多出口架构:一条教育网专线,一条电信宽带,一条联通宽带,一条移动宽带,可能还有一条专门跑国际学术数据库的线路。用户认证之后走哪条出口,不应该只由核心路由器的策略路由来决定,因为这个层面的路由只能看到IP地址,看不到用户身份。把用户的套餐类型、身份属性跟出口调度挂上钩,这件事只能在计费系统里做。
具体做法是在计费系统里给每个账号打上出口策略标签。比如教学科研账号打上"教育网优先"标签,认证完成后RADIUS下发一个特定的策略属性给BRAS,BRAS根据这个属性把流量路由到教育网出口。普通学生账号打上"电信优先",流量就走电信出口。国际学院的学生账号因为要频繁访问海外学术数据库,打上"国际专线"标签。这种基于身份的出口调度,单纯靠网络设备的路由策略是做不了的,因为路由表的匹配条件是目的IP,不是用户身份。
负载均衡不能只靠轮询,要结合套餐和时段
很多学校做出口负载均衡用的是最简单的加权轮询:把学生流量平均分到三条宽带上。这种做法在流量平稳的时候没问题,但校园网流量有强烈的时段特征。晚上八点到十一点,视频和游戏流量爆炸,如果出口策略没有动态调整能力,就会出现电信出口撑爆了、联通出口还是半空的尴尬局面。
实际有效的做法是计费系统配合出口网关做动态负载均衡。计费系统每五分钟采集一次各出口的实时带宽利用率,当某个出口利用率超过阈值(比如百分之八十五),新认证上线的用户自动分流到负载较轻的出口。对于已经在线的大流量用户,可以通过Radius COA消息下发重新分配出口策略,不踢人、不断网、不重新认证,但流量路径切换了。这种无感切换的能力对用户体验非常重要。
另外出口策略还应该跟套餐类型挂钩。低带宽套餐用户(比如5Mbps套餐)的流量对出口压力小,可以优先分配到质量最好的主出口。高带宽套餐用户(比如100Mbps)对出口冲击大,应该优先分配到带宽余量最大的那条链路。反过来,有些学校把高带宽用户全堆在一条出口上,结果就是低带宽用户的体验被高带宽用户拖垮了,因为出口上行被占满了,低带宽用户的TCP连接握手都超时。
应用识别的尴尬:DPI到底做不做
做出口调度难免要讨论应用识别(DPI)的问题。理论上,把P2P下载、视频流、在线游戏识别出来,走不同的出口或者分配不同的带宽优先级,是一种精细化管理。但DPI在学校场景有几个现实问题。第一,DPI设备本身是一笔不小的成本,一个万兆DPI网关动辄几十万。第二,加密流量越来越多,QUIC、HTTPS普及之后传统的DPI识别率下降很明显。第三,也是最重要的,做DPI等于把学生的上网行为全量放在一个盒子里分析,这在学校环境里存在隐私合规风险。
比较务实的替代方案是用计费系统的套餐策略来代替DPI做粗粒度分流。比如给教学区账号分配一个"白名单"策略:只允许访问教务系统、图书馆数据库、科研平台,其他流量一概拒绝,这不依赖DPI,靠的是防火墙的URL白名单。给学生区账号按套餐分优先级:基础套餐的P2P流量直接限速到128Kbps或者直接封掉;高级套餐的P2P限速到5Mbps。这些策略下发到BRAS或者出口网关上执行,不需要做深度包检测,只需要识别协议类型和端口,对性能压力小很多。
运营商出口的选择:不是带宽越大越好
学校在采购出口带宽的时候,很容易陷入"谁的带宽便宜就买谁"的逻辑。但实际上出口调度做得好不好,运营商之间的互联互通质量远比带宽峰值重要。比如你买了电信500M、联通500M,看起来出口总带宽有一千兆,但如果电信和联通之间的互联带宽不行,电信用户访问联通节点上的服务器照样卡。
所以出口策略里还有一个重要的决策:流量应该尽量在同一个运营商内部闭环。计费系统在给用户分配出口的时候,如果能结合DNS解析策略来实现就近调度,效果会更好。比如用户账号被分配到了电信出口,DNS就应该返回域名在电信节点的IP,而不是机械地返回一个通用IP让流量在运营商之间来回绕。有些计费系统已经支持跟DNS服务器联动:用户认证完成后,RADIUS下发出口策略的同时触发DNS策略更新,把用户的DNS查询优先解析到同运营商的CDN节点。
最后还有一个容易被忽视但实际影响很大的事:IPv6出口的调度。现在教育网和三大运营商的IPv6覆盖基本到位,但很多学校的出口策略仍然是IPv4时代的逻辑,IPv6流量走默认路由。结果就是IPv6链路的质量参差不齐,有的学校IPv6出口走的是一条免费的隧道,延迟高得离谱,学生用IPv6看视频比IPv4还慢。IPv6出口策略应该跟IPv4等同对待,配置到计费系统的出口标签体系里。