梁彩隆 余敏 韋旻

摘 要：為解決傳統(tǒng)校園網(wǎng)結(jié)構(gòu)僵化以及業(yè)務(wù)復(fù)雜場(chǎng)景多樣的問題，在校園網(wǎng)建設(shè)中引入SDN理念，實(shí)現(xiàn)按需定義網(wǎng)絡(luò)，將一個(gè)物理網(wǎng)絡(luò)虛擬化成多個(gè)邏輯網(wǎng)絡(luò)并與各個(gè)業(yè)務(wù)網(wǎng)絡(luò)一一對(duì)應(yīng)；同時(shí)，利用VXLAN技術(shù)將用戶IP與物理地址解耦，實(shí)現(xiàn)基于角色分配IP并策略跟隨。通過SDN校園網(wǎng)的實(shí)施，實(shí)現(xiàn)了多網(wǎng)自定義以及共存合一、網(wǎng)絡(luò)設(shè)備自動(dòng)化上線，使校園網(wǎng)絡(luò)更加便捷、自動(dòng)化。

關(guān)鍵詞：SDN（軟件定義網(wǎng)絡(luò)）；網(wǎng)絡(luò)虛擬化；多網(wǎng)共存

一、引言

信息化建設(shè)已進(jìn)入一個(gè)新的時(shí)期，網(wǎng)絡(luò)規(guī)模更大、承擔(dān)的任務(wù)更多、業(yè)務(wù)更加豐富，這些對(duì)傳統(tǒng)的網(wǎng)絡(luò)運(yùn)維提出了更高的要求。我區(qū)面臨越來越多的老校園網(wǎng)改造和新校園網(wǎng)建設(shè)，如何在校園網(wǎng)建設(shè)中避免走以往的老路，建設(shè)起點(diǎn)過低、網(wǎng)絡(luò)管理落后、難以適應(yīng)新業(yè)務(wù)的需求，特別是對(duì)于全新的校園網(wǎng)建設(shè)，如何在一張白紙上畫好藍(lán)圖，如何整合利用各種新的技術(shù)和手段來構(gòu)建一個(gè)更加安全、可靠、高效、靈活的校園網(wǎng)成為一個(gè)新的課題。

軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN），是由美國斯坦福大學(xué)Clean Slate研究組提出的一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)，其核心技術(shù)OpenFlow通過將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開來，從而實(shí)現(xiàn)了網(wǎng)絡(luò)流量的靈活控制，為核心網(wǎng)絡(luò)及應(yīng)用的創(chuàng)新提供了良好的平臺(tái)。

人大附中豐臺(tái)學(xué)校校園網(wǎng)建設(shè)正是在這樣的背景下展開的，該校校園網(wǎng)建設(shè)業(yè)務(wù)需求復(fù)雜、應(yīng)用場(chǎng)景多樣，不僅涵蓋小學(xué)、中學(xué)部，按功能區(qū)還包含教學(xué)區(qū)、辦公區(qū)、公共區(qū)、宿舍區(qū)。業(yè)務(wù)需求包括辦公教學(xué)需要的有線、無線、IP電話、IPTV、IP廣播、多媒體大屏、電子班牌、計(jì)算機(jī)教室等。校園網(wǎng)建設(shè)不僅需要按時(shí)高質(zhì)量交付以滿足招生和教學(xué)管理的基本需要，同時(shí)需要體現(xiàn)一定的技術(shù)領(lǐng)先性。我們?cè)陧?xiàng)目中引入SDN理念，為網(wǎng)絡(luò)硬件設(shè)備提供抽象虛擬化的能力，實(shí)現(xiàn)按需定義網(wǎng)絡(luò)，將一個(gè)物理網(wǎng)絡(luò)虛擬化成多個(gè)邏輯網(wǎng)絡(luò)并與各個(gè)業(yè)務(wù)網(wǎng)絡(luò)一一對(duì)應(yīng)，使眾多業(yè)務(wù)多網(wǎng)合一；同時(shí)利用VXLAN技術(shù)將用戶IP與物理地址解耦，做到底層設(shè)備自動(dòng)下發(fā)相同配置的情況下用戶在任何位置IP地址不變，訪問權(quán)限不變，便于設(shè)備運(yùn)維和用戶審計(jì)。

二、傳統(tǒng)校園網(wǎng)建設(shè)存在的問題

校園網(wǎng)業(yè)務(wù)復(fù)雜場(chǎng)景多樣，若按照傳統(tǒng)網(wǎng)絡(luò)方案進(jìn)行部署會(huì)出現(xiàn)以下幾方面問題。

1. 無法滿足校園跨區(qū)域移動(dòng)性需求

目前，校園移動(dòng)化特征增強(qiáng)，用戶上網(wǎng)位置不確定性增加，校園跨區(qū)域移動(dòng)性需求增加。例如，教師從辦公區(qū)移動(dòng)到教學(xué)區(qū)，需要共享PPT和其他資源，相關(guān)的權(quán)限需要繼續(xù)保持；教師從教學(xué)區(qū)移動(dòng)到宿舍區(qū)，宿舍區(qū)要有相同的權(quán)限訪問辦公區(qū)訪問的資源。而傳統(tǒng)網(wǎng)絡(luò)劃分L3網(wǎng)段時(shí)往往與位置緊密關(guān)聯(lián)。一個(gè)學(xué)校要根據(jù)不同的樓層或樓棟劃分不同L3網(wǎng)段，這種模式下要想實(shí)現(xiàn)師生移動(dòng)非常困難，如教師跨區(qū)域教學(xué)、工位搬遷等。要想獲得同樣的權(quán)限，必須要適應(yīng)網(wǎng)絡(luò)架構(gòu)，在接入交換機(jī)對(duì)應(yīng)不同IP寫很多ACL，難以成型或者IT人員在進(jìn)行網(wǎng)絡(luò)配置調(diào)整的時(shí)候代價(jià)過大，用戶體驗(yàn)不佳。

2. 用戶審計(jì)不靈活

傳統(tǒng)網(wǎng)絡(luò)狀態(tài)下，如果用戶移動(dòng)，IP地址會(huì)發(fā)生變化，當(dāng)審計(jì)的時(shí)候，由于用戶的IP地址不停變化，需要結(jié)合不同時(shí)間段內(nèi)用戶的IP地址情況綜合查詢，查詢雖然可以實(shí)現(xiàn)，但是達(dá)不到單獨(dú)審計(jì)IP的效果。

3. 業(yè)務(wù)專網(wǎng)重復(fù)投資建設(shè)

當(dāng)下校園各類業(yè)務(wù)應(yīng)用增多，多業(yè)務(wù)專網(wǎng)需求增加，對(duì)專用網(wǎng)絡(luò)安全的隔離提出了更高的要求。

4. 設(shè)備人工上線運(yùn)維效率低

校園網(wǎng)設(shè)備數(shù)量龐大，傳統(tǒng)的人工手動(dòng)上線模式工作量大、效率低，容易出錯(cuò)，校園網(wǎng)本身運(yùn)維成本提高，IT管理員投入大量時(shí)間關(guān)注基礎(chǔ)運(yùn)維。巨大的網(wǎng)絡(luò)運(yùn)維工作量，導(dǎo)致網(wǎng)管人員80%～90%的時(shí)間都陷在網(wǎng)絡(luò)運(yùn)維的泥潭里不能自拔，極其缺乏創(chuàng)新時(shí)間。

三、校園網(wǎng)建設(shè)的新思路

目前，校園網(wǎng)承載的業(yè)務(wù)越來越多，使用的用戶、終端也越來越多，校園網(wǎng)絡(luò)所面臨的問題越來越復(fù)雜。當(dāng)問題復(fù)雜度增長(zhǎng)到一定程度時(shí)，人們往往會(huì)將復(fù)雜的問題分解成幾個(gè)復(fù)雜度較低的問題。根據(jù)該學(xué)校實(shí)際業(yè)務(wù)需求，經(jīng)過我們多方多維度的調(diào)研，最終決定在傳統(tǒng)校園網(wǎng)絡(luò)中通過引入一系列新網(wǎng)絡(luò)技術(shù)，如SDN、Overlay、NFV等技術(shù)，將越來越復(fù)雜的校園網(wǎng)絡(luò)邏輯上分解成不同業(yè)務(wù)、不同用戶群體的虛擬網(wǎng)絡(luò)，從而降低業(yè)務(wù)、用戶群體的管理復(fù)雜度，提升用戶體驗(yàn)。

SDN是網(wǎng)絡(luò)虛擬化的一種實(shí)現(xiàn)方式，SDN所做的事是將網(wǎng)絡(luò)設(shè)備上的控制權(quán)分離出來，由集中的控制器管理，無須依賴底層網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、防火墻），屏蔽了來自底層網(wǎng)絡(luò)設(shè)備的差異。而控制權(quán)是完全開放的，用戶可以根據(jù)應(yīng)用需求，自定義任何想實(shí)現(xiàn)的網(wǎng)絡(luò)路由和傳輸規(guī)則策略，從而更加靈活和智能。同時(shí)基于VXLAN技術(shù)構(gòu)成的Overlay大二層網(wǎng)絡(luò)，可以滿足用戶在整個(gè)校園內(nèi)的自由移動(dòng)而不用改變?nèi)魏闻渲?，同時(shí)也不會(huì)影響其二層流量（以太網(wǎng)幀、ARP交互）。而NFV（Network Function Virtualization，網(wǎng)絡(luò)功能虛擬化）則是為了應(yīng)對(duì)網(wǎng)絡(luò)虛擬化之后隨之提高的網(wǎng)絡(luò)安全性要求，保證SDN校園網(wǎng)的安全平穩(wěn)運(yùn)行。

結(jié)合各種新技術(shù)，經(jīng)過多次探討和驗(yàn)證，我們采用了SDN校園網(wǎng)的解決方案。按照我們上面所描述的分層解決復(fù)雜問題的思路，我們將傳統(tǒng)的園區(qū)網(wǎng)絡(luò)劃分為四層，從下到上分別為傳統(tǒng)物理網(wǎng)絡(luò)層、根本業(yè)務(wù)與用戶群組劃分的按需定義的虛擬網(wǎng)絡(luò)層、集中的園區(qū)控制層（SDN控制器）以及最上層的校園業(yè)務(wù)層。

本次校園網(wǎng)的建設(shè)分為四層架構(gòu)進(jìn)行規(guī)劃，整網(wǎng)由接入、匯聚、核心三層設(shè)備組成，外部搭配重要的園區(qū)SDN控制器。

接入到匯聚使用VLAN進(jìn)行聯(lián)通，在匯聚層設(shè)備上，不同VLAN映射到不同VXLAN進(jìn)行隔離，同時(shí)匯聚和核心設(shè)備之間運(yùn)行VXLAN構(gòu)建Overlay網(wǎng)絡(luò)，構(gòu)建一個(gè)邏輯上的大二層網(wǎng)絡(luò)，同時(shí)采用分布式L3網(wǎng)關(guān)并通過可靠的機(jī)制有效地抑制廣播風(fēng)暴。

策略管理上則采用面向業(yè)務(wù)的分組模式，將屬性或者訪問權(quán)限相近的用戶分到一個(gè)分組中，同時(shí)也將服務(wù)器側(cè)的資源劃分到分組進(jìn)行統(tǒng)一管理。策略定義時(shí)，基于圖形化矩陣表格的方式簡(jiǎn)單直觀。具體策略可調(diào)控性較大，從而實(shí)現(xiàn)各種高級(jí)復(fù)雜的策略控制功能。

SDN校園網(wǎng)的控制平面采用EVPN（Ethernet VPN）技術(shù)，通過BGP協(xié)議來實(shí)現(xiàn)校園內(nèi)用戶終端的ARP、MAC信息的扁平化同步擴(kuò)散；同時(shí)在匯聚層設(shè)備支持ARP代答機(jī)制，有效抑制ARP廣播；整個(gè)網(wǎng)絡(luò)具備VRF支持能力，具有完善的端到端VPN隔離能力，可以達(dá)到MPLS的隔離效果。

SDN校園網(wǎng)的轉(zhuǎn)發(fā)平面采用了基于VXLAN的Overlay轉(zhuǎn)發(fā)（隧道轉(zhuǎn)發(fā)）本質(zhì)上是一種mac over UDP的封裝和轉(zhuǎn)發(fā)方式，封裝和解封裝節(jié)點(diǎn)成為VTEP（Virtual Tunnel End Point，虛擬隧道端點(diǎn)，本項(xiàng)目中為支持VXLAN的匯聚交換機(jī)），這些節(jié)點(diǎn)完成普通報(bào)文到VXLAN的封裝（上行）和解封裝（下行），報(bào)文封裝之后，外層轉(zhuǎn)發(fā)是一個(gè)標(biāo)準(zhǔn)的IP尋址轉(zhuǎn)發(fā)技術(shù)，容易為熟悉IP的人們理解和掌握。

SDN相比傳統(tǒng)網(wǎng)絡(luò)有了革命性的變化，不再是原有體系結(jié)構(gòu)的修補(bǔ)和提升，而是從根本上改變了網(wǎng)絡(luò)。SDN將傳統(tǒng)網(wǎng)絡(luò)設(shè)備的控制功能從網(wǎng)絡(luò)設(shè)備的“盒子”里提取出來進(jìn)行集中控制，并向上層的業(yè)務(wù)系統(tǒng)（應(yīng)用系統(tǒng)）開放接口，可以由上層應(yīng)用系統(tǒng)直接調(diào)度網(wǎng)絡(luò)資源，創(chuàng)造了真正能“隨業(yè)務(wù)需求而動(dòng)”的自定義式網(wǎng)絡(luò)。

在校園網(wǎng)絡(luò)建設(shè)中可引入SDN技術(shù)，通過構(gòu)建基于VXLAN的新一代的柔性校園網(wǎng)，配合相關(guān)理念，顛覆傳統(tǒng)的校園網(wǎng)“人適應(yīng)網(wǎng)”的現(xiàn)狀，實(shí)現(xiàn)整個(gè)校園網(wǎng)范圍內(nèi)的“網(wǎng)隨人動(dòng)”的效果。在不需要做任何網(wǎng)絡(luò)配置調(diào)整，增加運(yùn)維成本的基礎(chǔ)上，讓人和終端可以在整個(gè)校園內(nèi)任意角落移動(dòng)，保持用戶和終端始終處于既定的隔離網(wǎng)絡(luò)、延續(xù)既定的網(wǎng)絡(luò)策略，從而大大降低校園網(wǎng)的運(yùn)維復(fù)雜度，滿足校園網(wǎng)絡(luò)移動(dòng)化的新需求。

四、SDN校園網(wǎng)方案亮點(diǎn)及技術(shù)實(shí)現(xiàn)

1. 位置與IP地址解耦，基于角色分配IP

傳統(tǒng)網(wǎng)絡(luò)基于二三層技術(shù)，終端接入網(wǎng)絡(luò)受預(yù)分配IP地址限制，其設(shè)計(jì)理念就是和位置緊耦合，無法靈活地實(shí)現(xiàn)教師的移動(dòng)辦公，IP地址只提供技術(shù)上的路由連通性功能。辦公區(qū)與宿舍區(qū)的位置不同，預(yù)先分配的IP就不同。因?yàn)閹熒苿?dòng)往往要跨越不同L3網(wǎng)段，IP地址必須進(jìn)行更換，往往會(huì)喪失原先的權(quán)限，體驗(yàn)感很差。

SDN校園網(wǎng)采用創(chuàng)新的網(wǎng)絡(luò)架構(gòu)，改變以往基于位置的IP分配方式，用基于角色的IP分配方式，做到網(wǎng)絡(luò)無狀態(tài)，接入無差別，IP地址與位置解耦，不管師生移動(dòng)到哪里，IP地址都能隨身攜帶。IP地址不只承擔(dān)路由連通性的技術(shù)功能，還具有身份和業(yè)務(wù)的標(biāo)識(shí)功能。在SDN校園網(wǎng)架構(gòu)下，IP地址完全可以做到與位置解耦，真正實(shí)現(xiàn)IP即用戶、網(wǎng)段即業(yè)務(wù)的效果，審計(jì)更簡(jiǎn)單。

2. 策略隨位置移動(dòng)并實(shí)時(shí)跟隨

在用戶移動(dòng)的過程中，如何保證策略隨行、體驗(yàn)不變是用戶最希望追求的效果。要實(shí)現(xiàn)策略隨行，都需要對(duì)用戶進(jìn)行分組，傳統(tǒng)的分組方式與地理位置緊耦合，同一個(gè)用戶組位于一個(gè)辦公區(qū)，一個(gè)樓層后者一個(gè)大樓之內(nèi)，很難跨越地理的局限。用戶一旦移動(dòng)，策略實(shí)施就非常復(fù)雜，想達(dá)到策略跟隨或者體驗(yàn)一致非常困難。

在SDN校園網(wǎng)架構(gòu)下，用戶分組完全打破地理位置的壁壘，可以跨越整個(gè)校園網(wǎng)。除了用戶分組之外，策略的定義、動(dòng)態(tài)跟蹤也是策略隨行的重要內(nèi)容。在SDN校園網(wǎng)架構(gòu)中，用戶分組和IP網(wǎng)段嚴(yán)格對(duì)應(yīng)。用戶未入網(wǎng)，整個(gè)網(wǎng)絡(luò)的策略控制內(nèi)容已經(jīng)完整清晰地確定下來。

不需要使用NP，因?yàn)槲覀兙W(wǎng)段即用戶組，組間策略就是網(wǎng)段到網(wǎng)段的ACL，現(xiàn)有的任何ASIC芯片都支持此功能。不需要維護(hù)IP到組的對(duì)應(yīng)關(guān)系，組間策略只需要一條ACL即可搞定，極大降低了對(duì)設(shè)備的ACL需求，不需要防火墻來輔助，不需要查詢機(jī)制，一切從簡(jiǎn)，組網(wǎng)成本下降。

以下是IP綁定、策略隨行的具體實(shí)現(xiàn)步驟。

第一步：管理員定義分組，包括用戶組和資源組，組別的劃分完全打破位置的壁壘和限制，做到和位置解耦，只需從業(yè)務(wù)角度進(jìn)行考慮即可。

第二步：給每個(gè)分組分派一組固定的網(wǎng)絡(luò)資源（VlAN/VXlAN/VRF/IP網(wǎng)段），其中的VlAN ID作為RADIUS下發(fā)的參數(shù)，由AAA服務(wù)器保存，網(wǎng)段信息則通過控制器配置作為DHCP Server的不同作用域或地址池。

第三步：定義組間策略，集中式策略管理，矩陣式表格，一目了然，清晰直觀。策略可以是簡(jiǎn)單的Permit/Deny，也可以是復(fù)雜的針對(duì)應(yīng)用層端口號(hào)的策略，還可以是高級(jí)的防火墻策略。比傳統(tǒng)方式簡(jiǎn)化的就是全部都轉(zhuǎn)換為簡(jiǎn)單的網(wǎng)段到網(wǎng)段的ACL。

第四步：使用SDN校園網(wǎng)的SDN控制器將矩陣表格顯示的組間策略轉(zhuǎn)化為ACL下發(fā)到指定的策略執(zhí)行點(diǎn)（所有的匯聚層交換機(jī)）；一鍵下發(fā)，實(shí)時(shí)生效。

第五步：用戶上線時(shí)根據(jù)5W1H進(jìn)入相應(yīng)的用戶分組，分配IP。AAA服務(wù)器根據(jù)接入場(chǎng)景，匹配到一個(gè)分組，然后將該分組對(duì)應(yīng)的VlAN ID通過RADIUS報(bào)文下發(fā)給NAS設(shè)備，NAS將接入端口動(dòng)態(tài)加入該VlAN ID；用戶動(dòng)態(tài)申請(qǐng)地址，獲得對(duì)應(yīng)網(wǎng)段內(nèi)的地址，用戶的業(yè)務(wù)流將匹配矩陣表格定義的策略，獲得相應(yīng)的訪問權(quán)限。

第六步：當(dāng)終端通過DHCP獲取到IP地址以后，將此IP地址上報(bào)控制器，控制器再綁定到DHCP Server上，成為永久的靜態(tài)表項(xiàng)，確保用戶每次申請(qǐng)地址，永遠(yuǎn)獲得相同的IP地址。當(dāng)用戶移動(dòng)時(shí)，由于接入場(chǎng)景沒有變化，AAA服務(wù)器依舊匹配到相同的分組，下發(fā)相同的VLAN ID，終端在相同VLAN內(nèi)申請(qǐng)地址，依舊獲得同一個(gè)地址池的地址。用戶移動(dòng)后，5W1H條件若沒有發(fā)生變化，用戶仍然會(huì)進(jìn)入相同的分組并獲取綁定的固定IP，訪問權(quán)限不變，真正實(shí)現(xiàn)體驗(yàn)跟隨。同時(shí)在后期全網(wǎng)實(shí)名制之后，溯源審計(jì)也更加精確便捷。

3. 自動(dòng)化

自動(dòng)化是所有網(wǎng)管追求的終極目標(biāo)，就是不用網(wǎng)管人員任何操作，網(wǎng)絡(luò)自己就把自己配置好，把自己管理好。因此，應(yīng)盡量增加網(wǎng)絡(luò)自我配置的部分，減少網(wǎng)管人員參與配置的部分。我們這里的自動(dòng)化主要指設(shè)備自動(dòng)化開局和業(yè)務(wù)自動(dòng)化上線的功能。

傳統(tǒng)的網(wǎng)絡(luò)開局一般都是手工的，需要網(wǎng)絡(luò)維護(hù)人員一臺(tái)一臺(tái)地上電、更新版本、寫配置、組網(wǎng)、調(diào)試、運(yùn)行，工作辛苦冗長(zhǎng)且容易出錯(cuò)，網(wǎng)絡(luò)開局上線的時(shí)間較長(zhǎng)。

在新的SDN校園網(wǎng)網(wǎng)絡(luò)中，自動(dòng)化上線由于采用了新的網(wǎng)絡(luò)架構(gòu)得到了極大的簡(jiǎn)化。

（1）設(shè)備自動(dòng)化上線流程

第一步：配置自動(dòng)化參數(shù)。管理員在控制器的“園區(qū)規(guī)劃”中配置IP地址池，設(shè)備自動(dòng)化IP地址段（即VlAN1的網(wǎng)段），設(shè)備管理與控制IP地址段（即VlAN/VXlAN 4094的網(wǎng)段），Underlay IP地址段（即Spine/Leaf設(shè)備loopback接口地址段），之后指定Master Spine，設(shè)定Spine/Leaf之間三層接口使用的VLAN范圍，配置設(shè)備的Local-user/Password?？刂破鞲鶕?jù)以上信息生成各角色的動(dòng)態(tài)配置模板，并自動(dòng)設(shè)置DHCP Server。

第二步：設(shè)定設(shè)備位置、角色。先掃描錄入設(shè)備序列號(hào)，然后在控制器上給設(shè)備設(shè)置位置標(biāo)簽、角色，生成“設(shè)備標(biāo)簽角色文件”，之后在設(shè)備上標(biāo)注安裝位置，最后設(shè)備安裝。

第三步：設(shè)備安裝上電、連線。

第四步：設(shè)備自動(dòng)化上線。通過DHCP獲取IP地址及控制器地址，從控制器下載“設(shè)備標(biāo)簽角色文件”，配置位置標(biāo)簽，根據(jù)角色獲取配置文件模板。然后自動(dòng)鄰居發(fā)現(xiàn)， 配置鏈路類型，自動(dòng)配置Underlay路由、使能EVPN，自動(dòng)獲取管理IP地址、配置納管參數(shù)。最后控制器納管設(shè)備，自動(dòng)加入設(shè)備組，接口組控制器自動(dòng)為Access配置下行接口的pvid。

（2）業(yè)務(wù)部署自動(dòng)化流程

第一步：基于角色的資源分配。私網(wǎng)（隔離域/VPN）、二層網(wǎng)絡(luò)域（VXLAN、IP網(wǎng)段）等。

第二步：矩陣式的策略定義。通過控制器策略定義矩陣，直觀定義各用戶組之間；用戶組與資源服務(wù)器之間；以及用戶組與外網(wǎng)的訪問權(quán)限。

（3）設(shè)備故障替換自動(dòng)化

傳統(tǒng)網(wǎng)絡(luò)設(shè)備故障替換，配置的恢復(fù)一般依賴于網(wǎng)管系統(tǒng)的日常備份，如果備份丟失，或者未及時(shí)備份，或者替換設(shè)備型號(hào)不一致，都需要管理員手動(dòng)配置恢復(fù)，回顧整網(wǎng)地址分配、權(quán)限定義等大量網(wǎng)絡(luò)參數(shù)，業(yè)務(wù)恢復(fù)周期長(zhǎng)。

應(yīng)用驅(qū)動(dòng)園區(qū)提供的設(shè)備故障替換自動(dòng)化，無須設(shè)備配置備份、無須回顧網(wǎng)絡(luò)參數(shù)，新設(shè)備自動(dòng)化上線后，控制器自動(dòng)完成全部配置的恢復(fù)，即使面對(duì)不同型號(hào)設(shè)備替換的情況下仍舊可以做到一鍵下發(fā)，讓運(yùn)維人員從煩瑣的故障恢復(fù)工作中解脫出來。

五、SDN校園網(wǎng)運(yùn)行效果總結(jié)

如今新的校園網(wǎng)已經(jīng)建成并且投入運(yùn)營(yíng)，對(duì)校園日常工作起到了重要的支撐作用。經(jīng)過一段時(shí)間的穩(wěn)定運(yùn)營(yíng)，我們有以下體會(huì)。

首先，網(wǎng)絡(luò)的表現(xiàn)符合之前的預(yù)期，達(dá)到了設(shè)計(jì)要求，基于SDN和VXlAN技術(shù)，可在物理網(wǎng)絡(luò)之上輕松自定義虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)了包括有線、無線、監(jiān)控、數(shù)字廣播、IP電話在內(nèi)的多網(wǎng)共存合一的目標(biāo)。

其次，基于VXlAN架構(gòu)，通過SDN控制器實(shí)現(xiàn)了基于角色分配IP并策略跟隨，真正做到“網(wǎng)隨人動(dòng)”，全校師生對(duì)全網(wǎng)的體驗(yàn)感有了質(zhì)的變化和提升。

再次，基于SDN技術(shù)，通過SDN控制器實(shí)現(xiàn)業(yè)務(wù)自動(dòng)化上線，利用VXlAN技術(shù)創(chuàng)建虛擬專網(wǎng)，快速開展IP廣播、IP監(jiān)控等業(yè)務(wù)，借助準(zhǔn)入機(jī)制，保障專網(wǎng)安全性。同時(shí)，創(chuàng)新的架構(gòu)模型使整個(gè)網(wǎng)絡(luò)設(shè)備角色精簡(jiǎn)至三種，通過SDN控制器定義分發(fā)配置，真正實(shí)現(xiàn)設(shè)備自動(dòng)化上線，節(jié)省80%以上的設(shè)備上線時(shí)間。

最后，基于角色的IP地址分配方式，實(shí)現(xiàn)所見即所得的狀態(tài)，即見IP地址即見用戶，達(dá)到審計(jì)回溯時(shí)單獨(dú)審計(jì)IP的效果，保證網(wǎng)絡(luò)安全。

總之，SDN校園網(wǎng)更先進(jìn)、更開放、更便捷、更自動(dòng)化，為教育行業(yè)信息化建設(shè)提供新的范本。

參考文獻(xiàn)：

[1]陳偉東.SDN軟件定義網(wǎng)絡(luò)技術(shù)發(fā)展研究[J].電腦編程技巧與維護(hù)，2015 （23）.

[2]孔慶偉.基于SDN的高校校園網(wǎng)設(shè)計(jì)及應(yīng)用研究[J].山東社會(huì)科學(xué)，2015 （S2）.

[3]劉婉.SDN網(wǎng)絡(luò)技術(shù)的安全架構(gòu)分析[J].數(shù)碼世界，2016 （12）.

[4]鄭鐘楊.高校SDN網(wǎng)絡(luò)應(yīng)用創(chuàng)新的探討解析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017 （8）.