王宇翔 胡建龍 佀潔 張帆

（西北大學(xué)網(wǎng)絡(luò)和數(shù)據(jù)中心 陜西省西安市 710127）

隨著各高校智慧校園建設(shè)的深入展開，各種新的技術(shù)，如物聯(lián)網(wǎng)、人工智能、云計(jì)算、融合支付等，已經(jīng)成為高校信息化建設(shè)必須考慮的發(fā)展方向。新技術(shù)的加入，必然會(huì)給校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施的規(guī)劃建設(shè)和運(yùn)維管理帶來新的挑戰(zhàn)。當(dāng)前各高校的校園網(wǎng)絡(luò)架構(gòu)基本以傳統(tǒng)三層架構(gòu)或以BRAS為主的扁平化大二層架構(gòu)，架構(gòu)比較分散，對(duì)于網(wǎng)絡(luò)的規(guī)劃以及安全策略均分布在不同的設(shè)備之上，網(wǎng)絡(luò)的擴(kuò)展也比較困難。隨著新技術(shù)的推廣普及，接入校園網(wǎng)的終端數(shù)量和類型也在不斷的增加，需要?jiǎng)澐趾芏鄠€(gè)VLAN和IP子網(wǎng)；各類專網(wǎng)（如一卡通專網(wǎng)、財(cái)務(wù)專網(wǎng)、智慧教室專網(wǎng)、節(jié)能監(jiān)控專網(wǎng)等）的建設(shè)和互通的需求，都給校園網(wǎng)絡(luò)的建設(shè)和運(yùn)維管理帶來了一系列的問題，迫切需要一種集中式的，可視化的，自動(dòng)化的網(wǎng)絡(luò)建設(shè)和管理工具，來滿足日益增加的網(wǎng)絡(luò)規(guī)劃建設(shè)和運(yùn)維管理的需求。隨著SDN（Software Defined Network，軟件定義網(wǎng)絡(luò)）架構(gòu)和VxLAN（Virtual Extensible LAN，可擴(kuò)展虛擬局域網(wǎng)）技術(shù)逐漸成熟，不同的廠家均有了較完備的方案，使得大二層扁平化結(jié)構(gòu)和SDN的運(yùn)行模式可滿足對(duì)復(fù)雜網(wǎng)絡(luò)的可視化、自動(dòng)化配置和管理，終端設(shè)備自動(dòng)上線，故障自動(dòng)化排除的接入和管理需求，易于擴(kuò)展，運(yùn)維簡便，已成為智慧校園建設(shè)中基礎(chǔ)網(wǎng)絡(luò)建設(shè)的首選方案。

1 高校校園網(wǎng)基礎(chǔ)架構(gòu)的發(fā)展歷程

隨著中國教育和科研計(jì)算機(jī)網(wǎng)（CERNET）的建設(shè)和發(fā)展，高校從90年代末開始建設(shè)自己的校園網(wǎng)絡(luò)。經(jīng)過20多年的建設(shè)，已經(jīng)形成了規(guī)模性的校園基礎(chǔ)網(wǎng)絡(luò)設(shè)施架構(gòu)，為學(xué)校信息化和智慧校園建設(shè)提供基礎(chǔ)的網(wǎng)絡(luò)保障。高校校園網(wǎng)基礎(chǔ)架構(gòu)發(fā)展主要有以下四個(gè)階段：

1.1 傳統(tǒng)三層架構(gòu)階段

高校最初在建設(shè)校園網(wǎng)時(shí)，均采用的是傳統(tǒng)三層的架構(gòu)來構(gòu)建校園網(wǎng)，直到2010年左右，才逐漸進(jìn)入第二階段大二層扁平化改造。傳統(tǒng)三層網(wǎng)絡(luò)架構(gòu)主要采用核心、匯聚和接入分層架構(gòu)，核心層連接匯聚層和出口設(shè)備，放置在校園網(wǎng)核心機(jī)房內(nèi)，主要負(fù)責(zé)數(shù)據(jù)高速轉(zhuǎn)發(fā)，較少配置訪問控制等安全策略；匯聚層連接接入設(shè)備，放置在樓宇匯聚機(jī)房內(nèi)，主要負(fù)責(zé)區(qū)分不同區(qū)域用戶的VLAN和IP子網(wǎng)，配置VLAN間的訪問控制等策略；接入層負(fù)責(zé)連接用戶，并配置部分訪問控制策略。傳統(tǒng)三層架構(gòu)中，用戶一般以物理區(qū)域或功能的不同來劃分VLAN，VLAN內(nèi)用戶可以互訪和資源共享，VLAN間用戶可配置訪問控制策略來有限互訪。用戶認(rèn)證一般采用準(zhǔn)出模式的portal認(rèn)證，易于管理和維護(hù)但安全性較差。該架構(gòu)在網(wǎng)絡(luò)復(fù)雜程度較低的網(wǎng)絡(luò)中比較適用，存在運(yùn)維粗放，無法精細(xì)化管理的問題。

1.2 大二層扁平化架構(gòu)改造階段

為了解決三層架構(gòu)無法精細(xì)化管理的問題，在2013年左右高校均開始試點(diǎn)或完成了大二層扁平化架構(gòu)的改造。該架構(gòu)使用BRAS+QinQ方式進(jìn)行扁平化組網(wǎng)，將用戶網(wǎng)關(guān)全部放置于BRAS設(shè)備中，并通過QinQ技術(shù)來隔離用戶，可做到在集中管理的前提下很好的訪問控制。這種架構(gòu)相比傳統(tǒng)三層架構(gòu)在邏輯上更加簡單，減少了接入層的維護(hù)工作。在認(rèn)證層面，BRAS可以支持PPPoE和IPoE方式認(rèn)證，可針對(duì)不同的區(qū)域選用更合適的認(rèn)證方式，在簡化用戶接入操作復(fù)雜度的基礎(chǔ)之上，同時(shí)增加了帶寬管控等更加精細(xì)化的訪問控制功能。該架構(gòu)目前已是大多數(shù)高校正在使用的架構(gòu)，相比傳統(tǒng)三層架構(gòu)進(jìn)一步簡化了運(yùn)維復(fù)雜度，并增加了精細(xì)化管理的程度。但該架構(gòu)仍存在設(shè)備配置分散，接入上線步驟繁瑣，無法集中統(tǒng)一管理設(shè)備的缺點(diǎn)、

1.3 有線無線一體化架構(gòu)階段

從2015年開始，各高校陸續(xù)開始建設(shè)覆蓋全校的無線網(wǎng)絡(luò)，部分高校在出口上選擇與運(yùn)營商合作租賃出口帶寬，采用社會(huì)化運(yùn)營的方式來給校內(nèi)用戶提供更多套餐選擇。在該階段的建設(shè)中，由于增加了一張無線網(wǎng)絡(luò)，所以針對(duì)有線無線一體化架構(gòu)的規(guī)劃至關(guān)重要，需要在核心層面、認(rèn)證層面、訪問控制層面將整個(gè)無線網(wǎng)絡(luò)和已有有線網(wǎng)絡(luò)融合，達(dá)到統(tǒng)一架構(gòu)，統(tǒng)一運(yùn)維的要求。在該階段中，校園網(wǎng)絡(luò)復(fù)雜程度已經(jīng)很高，同時(shí)存在有線、無線網(wǎng)絡(luò)以及一卡通專網(wǎng)、財(cái)務(wù)專網(wǎng)、節(jié)能監(jiān)控專網(wǎng)等各類專用網(wǎng)絡(luò)，設(shè)備終端也逐漸增多，運(yùn)維復(fù)雜度高、安全管理困難、故障問題解決速度緩慢等問題逐漸成為網(wǎng)絡(luò)運(yùn)維的難點(diǎn)。很多時(shí)候網(wǎng)絡(luò)設(shè)備的配置和變更還需要人工現(xiàn)場進(jìn)行操作，人力成本持續(xù)增加，因人為原因造成的配置錯(cuò)誤等故障時(shí)有發(fā)生，所以迫切需要建設(shè)自動(dòng)化、集中控制、靈活性高的新一代校園網(wǎng)絡(luò)。

1.4 新一代網(wǎng)絡(luò)架構(gòu)階段

進(jìn)入到2019年，SDN架構(gòu)及VxLAN技術(shù)已逐漸普及，其特有的集中控制和靈活配置的解決方案非常適合解決高校校園網(wǎng)絡(luò)目前存在的各種問題。使用SDN架構(gòu)和VxLAN技術(shù)可在一個(gè)物理拓?fù)渖蠘?gòu)建多個(gè)虛擬網(wǎng)絡(luò)，來承載不同層面的流量；統(tǒng)一的控制設(shè)備負(fù)責(zé)管理底層物理設(shè)備的配置，實(shí)現(xiàn)辦公教學(xué)區(qū)多業(yè)務(wù)接入虛擬化部署的要求。該架構(gòu)以用戶或設(shè)備為中心，更加精細(xì)化管理，按角色分配訪問權(quán)限，做到人（user）、物（things）專有的訪問策略。同時(shí)構(gòu)建多個(gè)虛擬網(wǎng)絡(luò)即可在同一個(gè)物理架構(gòu)上承載不同區(qū)域不同要求的專網(wǎng)，融合一卡通、財(cái)務(wù)專網(wǎng)、節(jié)能監(jiān)控等專網(wǎng)，還可在合作運(yùn)營的框架下融合第三方運(yùn)營廠家的網(wǎng)絡(luò)，構(gòu)建出更加精細(xì)化和更具靈活性的新一代網(wǎng)絡(luò)架構(gòu)。

2 SDN網(wǎng)絡(luò)架構(gòu)和VxLAN技術(shù)

SDN架構(gòu)最早由ONF（Open Networking Foundation，開放網(wǎng)絡(luò)基金會(huì)）組織提出，并發(fā)布了白皮書規(guī)范標(biāo)準(zhǔn)架構(gòu)，其架構(gòu)由數(shù)據(jù)平面、控制平面和應(yīng)用平面組成，將轉(zhuǎn)發(fā)和控制分離，不同平面使用API接口關(guān)聯(lián)，具有可編程，開放標(biāo)準(zhǔn)的特點(diǎn)。[1]

SDN的核心思想是將數(shù)據(jù)轉(zhuǎn)發(fā)平面和控制平面分離，通過軟件編程來優(yōu)化數(shù)據(jù)轉(zhuǎn)發(fā)的控制機(jī)制，從而實(shí)現(xiàn)對(duì)實(shí)際網(wǎng)絡(luò)流量的集中控制和靈活的轉(zhuǎn)發(fā)策略。由于可使用的控制條件相比傳統(tǒng)轉(zhuǎn)發(fā)機(jī)制更豐富，所以使得網(wǎng)絡(luò)具有智能化和自動(dòng)化能力，易于擴(kuò)展，適應(yīng)性強(qiáng)，能夠適配各種業(yè)務(wù)的快速變化需求。

VxLAN技術(shù)是對(duì)傳統(tǒng)VLAN的擴(kuò)展，是一種在3層網(wǎng)絡(luò)上構(gòu)建虛擬網(wǎng)絡(luò)的VPN技術(shù)。VxLAN使用MAC in UDP的封裝方式將流量封裝并擴(kuò)展到第三層網(wǎng)關(guān)，故其可以穿透三層網(wǎng)絡(luò)形成一種大二層的虛擬網(wǎng)絡(luò)。VxLAN相比VLAN，可以跨越三層網(wǎng)絡(luò)，突破了傳統(tǒng)VLAN技術(shù)4096個(gè)用戶的限制，具有16M用戶支持能力，同時(shí)具有24個(gè)預(yù)留位標(biāo)識(shí)用戶組，擴(kuò)展能力更強(qiáng)。通過VxLAN技術(shù)，即可在SDN架構(gòu)構(gòu)建的全互聯(lián)邏輯拓?fù)渲蟿?chuàng)建多個(gè)虛擬網(wǎng)絡(luò)（Virtual Network，VN），實(shí)現(xiàn)在同一個(gè)物理網(wǎng)絡(luò)之上的不同業(yè)務(wù)互相隔離。VxLAN與SDN架構(gòu)相結(jié)合，以其靈活、可擴(kuò)展、高安全性的優(yōu)勢，可以取代BRAS+QinQ的方式構(gòu)建高校扁平化大二層網(wǎng)絡(luò)。

3 SDN架構(gòu)和VxLAN技術(shù)的實(shí)踐

SDN架構(gòu)和VxLAN技術(shù)相結(jié)合，其優(yōu)勢可以適應(yīng)智慧校園建設(shè)過程中面臨的問題。以下以西北大學(xué)SDN網(wǎng)絡(luò)建設(shè)為例，分析SDN架構(gòu)和VxLAN技術(shù)的建設(shè)和應(yīng)用。

西北大學(xué)SDN網(wǎng)絡(luò)建設(shè)采用思科SDA（Software Defined Access，軟件定義接入）解決方案，由DNA Center作為SDN控制器， Fusion層、Border層和Access層作為底層物理拓?fù)浼軜?gòu)，構(gòu)建了一個(gè)可視化、自動(dòng)化、智能化的接入網(wǎng)絡(luò)。西北大學(xué)SDN網(wǎng)絡(luò)建設(shè)拓?fù)淙鐖D1所示。

圖1：西北大學(xué)SDN網(wǎng)絡(luò)建設(shè)拓?fù)?/p>

DNA Center負(fù)責(zé)將物理網(wǎng)絡(luò)underlay邏輯化為一個(gè)整體的overlay網(wǎng)絡(luò)，再使用VxLAN技術(shù)再overlay之上構(gòu)建了教學(xué)辦公VN、智慧教室VN以及IoT VN，用于分別接入不同的用戶終端。與思科的ISE認(rèn)證系統(tǒng)、城市熱點(diǎn)認(rèn)證計(jì)費(fèi)系統(tǒng)對(duì)接，保持教學(xué)辦公VN內(nèi)用戶的在上網(wǎng)習(xí)慣保持和原來一樣的基礎(chǔ)上，在同一個(gè)專網(wǎng)內(nèi)部任意漫游。同時(shí)設(shè)置智慧教室VN和IoT VN內(nèi)的接入設(shè)備的訪問控制策略，統(tǒng)一下發(fā)給所有物理設(shè)備，大大降低了ACL的維護(hù)工作量。對(duì)園區(qū)網(wǎng)中的移動(dòng)用戶、固定用戶及各類終端進(jìn)行識(shí)別，按照用戶所屬的用戶組，或者終端所代表的一類設(shè)備進(jìn)行標(biāo)記后下發(fā)策略，整個(gè)網(wǎng)絡(luò)中用戶和終端可以不受位置限制，任意位置接入，但是最終獲取的網(wǎng)絡(luò)資源和網(wǎng)絡(luò)權(quán)限保持一致，達(dá)到網(wǎng)隨人動(dòng)的效果。設(shè)備終端在上線后，可以根據(jù)認(rèn)證自動(dòng)進(jìn)入其對(duì)應(yīng)的邏輯網(wǎng)絡(luò)VN中；同一專網(wǎng)內(nèi)的業(yè)務(wù)可以互通，不同專網(wǎng)網(wǎng)之間的業(yè)務(wù)完全隔離。

西北大學(xué)SDN專網(wǎng)建成后，承載了教學(xué)辦公區(qū)內(nèi)5棟樓宇的師生及智慧教室、自助打印等設(shè)備的網(wǎng)絡(luò)接入，滿足了使用同一套基礎(chǔ)設(shè)施承載多個(gè)專網(wǎng)的需求，和師生在SDN網(wǎng)絡(luò)范圍內(nèi)快速便捷接入校園網(wǎng)的需求。同時(shí)可視化的運(yùn)維界面使得故障問題排查更加簡便，可擴(kuò)展性方便未來更多的改造，高安全性保證多個(gè)專網(wǎng)之間的安全問題，極大的減輕了網(wǎng)絡(luò)運(yùn)維人員的工作。

智慧校園建設(shè)是未來高校信息化建設(shè)的方向，在建設(shè)過程中，持續(xù)提高用戶接入便捷性、擴(kuò)大物聯(lián)設(shè)備接入范圍、保障接入用戶的安全，是每位網(wǎng)絡(luò)規(guī)劃建設(shè)維護(hù)人員面臨的挑戰(zhàn)。使用SDN架構(gòu)和VxLAN技術(shù)構(gòu)建的新一代網(wǎng)絡(luò)架構(gòu)可以更好的為信息化建設(shè)部門提供解決方案。西北大學(xué)SDN網(wǎng)絡(luò)建設(shè)實(shí)踐表明基于SDN架構(gòu)和VxLAN相結(jié)合的網(wǎng)絡(luò)有效減輕了運(yùn)維人員的壓力，網(wǎng)絡(luò)運(yùn)維也變的可視化，由被動(dòng)運(yùn)維變?yōu)橹鲃?dòng)運(yùn)維，提高了運(yùn)維效率也降低了運(yùn)維成本，提升西北大學(xué)智慧校園建設(shè)和信息化建設(shè)水平。