梁彩隆

校園網的基本情況

隨著“三通兩平臺”建設工程的實施，教育信息化從課堂集中學習拓展為以網絡學習空間支撐的泛在學習，從提高管理效率拓展為全面提升教育治理能力，提高教育治理決策、管理和服務水平。校園網中承載的業(yè)務越來越多（有線、無線、廣播、TV、電話等），使用的用戶（老師、學生、訪客、運維人員等）、終端（PC、手機、Pad等）也越來越多，校園網絡所面臨的問題也越來越復雜。在豐臺區(qū)越來越多的新建校校園網建設中，特別是大規(guī)模校園建設中，如何用好各種新的技術和手段構建一個更加安全、可靠、高效、靈活的校園網成為一個新的課題。

中國人民大學附屬中學豐臺學校是我區(qū)2017年新引入的一所全日制公辦優(yōu)質學校，學校占地面積160多畝，總建筑面積13萬多平方米，有14個建筑樓座。學校包含小學、初中和高中部，規(guī)劃小學每年級4個班，初、高中每年級8個教學班，共72個教學班。學校對校園網建設業(yè)務需求復雜、應用場景多樣，不僅涵蓋小學、中學兩個部分，每個部分還包含教學區(qū)、辦公區(qū)、公共區(qū)、宿舍區(qū)。同時，學校在業(yè)務需求方面包括有線網絡、無線網絡、IP電話、IPTV、IP廣播、多媒體大屏、電子班牌、信息發(fā)布、計算機教室等等。

我所在的北京教育學院豐臺分院信息中心（區(qū)教委信息中心），作為全區(qū)中小學校園網的規(guī)劃、建設和管理部門，承擔了該所新建校信息化建設中校園網的規(guī)劃和建設等工作?，F(xiàn)把我們在該校網絡建設過程中，使用基于軟件定義網絡（SDN）技術的思考和做法，進行總結，與大家分享。

校園網建設的傳統(tǒng)做法

傳統(tǒng)校園網的建設思路主要采用：核心層→匯聚層→接入層的三層網絡架構，三個層面都在實現(xiàn)對接入用戶的控制和管理，每層都同樣實現(xiàn)了相同的部分功能，管理員要在網絡中針對用戶的網絡接入或系統(tǒng)部署，都要對網絡各個層面的設備支持的相應功能進行一一配置，還要考慮到各個層面設備的支持性能，這就使得在網絡中部署新的業(yè)務系統(tǒng)變得非常復雜和困難。各層控制分散，出現(xiàn)問題后，排除故障定位難、恢復時間長，恢復設置又要設計多個層面的設備。

同時，因采用三層交換架構，單臺設備只支持4095個VID標識，不能實現(xiàn)內網安全隔離的VLAN精確細分，容易導致大量的用戶、應用處于同一個域內，無法有效地進行隔離，域之間相互的網絡干擾嚴重。如：普遍存在的ARP病毒、DHCP欺騙等問題，導致用戶在接入網絡后問題頻發(fā)，網管難以應付，如果借助在接入層設備上啟動DHCP監(jiān)聽和動態(tài)ARP監(jiān)測來解決，又會造成運行維護工作量大、網絡策略配置復雜等新的問題，也增加了接入層設備的處理壓力，會導致可靠性降低。

軟件定義網絡（SDN）的運用

隨著更多的設備（無論是種類還是數(shù)量）、移動性、安全以及應用程序的流量等變化，傳統(tǒng)的校園網建設方案將面臨許多挑戰(zhàn)和壓力，包括對大量接入用戶的管理控制、追查審計、政策監(jiān)管、運維以及新業(yè)務的開展和部署。要避免傳統(tǒng)網絡架構所帶來的運行維護問題，我們在人大附中豐臺學校校園網規(guī)劃和建設中引入軟件定義網絡（SDN）概念，建設基于軟件定義網絡（SDN）技術的校園網，顛覆了傳統(tǒng)校園網三層網絡架構，實現(xiàn)整個校園網智慧化的效果。

智慧化校園網（SDN）將網絡依次劃分為四層：最下面的是傳統(tǒng)物理網絡層、根據(jù)業(yè)務與用戶群組劃分的按需定義的虛擬網絡層、集中的校園控制層即SDN控制器，以及最上層的校園業(yè)務層。SDN控制器所做的事是將網絡設備上的控制權分離出來，由集中的控制器管理，無須依賴底層網絡設備（路由器、交換機、防火墻），屏蔽了來自底層網絡設備的差異。而控制權是完全開放的，用戶可以根據(jù)應用需求自定義任何想實現(xiàn)的網絡路由和傳輸規(guī)則策略，從而更加靈活和智能。同時，將整個網絡設備角色分為Spine、Leaf、Access三種，分布式網關的創(chuàng)新架構使同層設備的配置基本完全統(tǒng)一，只需將整網設備的配置文件簡化成3份，通過Director控制器定義分發(fā)，然后通過自動化部署的方式完成全網所有設備的配置，進而實現(xiàn)設備上線自動化、業(yè)務部署自動化及故障替換自動化，從而極大提升運維管理效率。

同時，智慧化校園網基于VXLAN技術構成的Overlay大二層網絡，可以滿足用戶在整個校園內的自由移動而不用改變任何配置，包括IP、網關、策略等，同時也不會影響其二層流量（以太網幀、ARP交互）。通過對端點做VXLAN的封裝，就可以實現(xiàn)全程端到端的隔離。配合SDN控制器實現(xiàn)基于角色和終端業(yè)務類型隔離域的自動分配和編排，讓整個校園網對于智慧校園業(yè)務承載變得非常簡單。

目前，通過SDN和VXLAN技術構建的智慧型校園網，用自動化部署方案實現(xiàn)人大附中豐臺學校校園網300多臺接入層交換機同時上線，在設備物理安裝就緒的情況下無任何初始配置，30分鐘完成所有設備的配置及上線。讓自動化部署真正成為最簡單的網絡部署方式，節(jié)省80%以上的設備上線時間，提高業(yè)務部署效率。同時，利用SDN控制器對用戶實現(xiàn)按角色的資源分配、權限控制，在用戶上線時控制器會自動識別用戶角色、然后分配用戶到角色組專屬IP地址段、專屬VPN組內，整個上線過程無需管理員干預，由控制器自動完成角色識別和資源分配。對于校區(qū)內存在的大量廣播、監(jiān)控、門禁等啞終端，通過基于SDN架構的免認證方案，可以實現(xiàn)各類啞終端的自動識別、按設備角色授權和自動上線，不再需要像傳統(tǒng)方案那樣需要單獨設置端口、隔離VPN和IP地址，實現(xiàn)了虛擬專網的隔離效果，既簡單又安全。

軟件定義網絡的效果

如今，利用SDN和VXLAN技術構建的智慧型校園網已經在人大附中豐臺學校校園網中建成，并且投入運營近一年。智慧型校園網滿足了學校對于校園網多用戶、多業(yè)務和多場景的使用需求，在不需要做任何網絡配置調整、增加運維復雜度的基礎上，讓用戶和終端可以在整個校園網的任意角落移動，保持用戶和終端始終處于既定的隔離網絡、延續(xù)既定的網絡策略，降低了校園網運維的復雜度。

經調查比對，人大附中豐臺學校校園網開通時間與傳統(tǒng)方式相比縮短了30%，資本性支出（CAPEX）降低了25%，運營成本（OPEX）降低了39%，總擁有成本（TCO）降低了28%。同時，智慧型校園網滿足了移動化和物聯(lián)網浪潮下對于校園網新的訴求，更好的實現(xiàn)基于用戶的網絡控制、行為管控、流量分配等，提高了網絡安全、穩(wěn)定和可靠性，并且能夠隨著教育信息化的不斷發(fā)展，實現(xiàn)平滑的演進，達到高性能、易管理和精細化的目標。

作者單位：北京教育學院豐臺分院