龐鐳

摘? ?要：隨著網(wǎng)絡(luò)結(jié)構(gòu)、運(yùn)維管理、安全層級越來越復(fù)雜，當(dāng)網(wǎng)絡(luò)復(fù)雜度達(dá)到一定程度后，運(yùn)維工作一定不是通過運(yùn)維人員的經(jīng)驗(yàn)、精力來支撐的，而是需要引入自動化、智能化的運(yùn)維工具。本文結(jié)合當(dāng)前高校校園網(wǎng)運(yùn)維面臨的困難和挑戰(zhàn)，闡述了Csico DNA在高校校園網(wǎng)中應(yīng)用的優(yōu)勢和存在的問題，給高校運(yùn)維人員高質(zhì)量運(yùn)維工作提供了借鑒。

關(guān)鍵詞：DNA? 校園網(wǎng)? VXLAN

中圖分類號：G64? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A? ? ? ? ? ? ? ? ? ? ? ?文章編號：1674-098X（2020）03（b）-0093-02

隨著高校校園網(wǎng)規(guī)模的不斷擴(kuò)大，各類網(wǎng)絡(luò)設(shè)備、多種物聯(lián)終端數(shù)量越來越多，校園應(yīng)用系統(tǒng)更加多樣，網(wǎng)絡(luò)安全策略更加嚴(yán)格，傳統(tǒng)由人工操作的命令行式運(yùn)維模式與日益復(fù)雜的網(wǎng)絡(luò)格局之間的矛盾逐漸凸顯。作為校園網(wǎng)的運(yùn)維管理部門，學(xué)校教育技術(shù)中心運(yùn)維人員亟需研究和探索自動化、智能化的網(wǎng)絡(luò)運(yùn)維管理模式，應(yīng)對復(fù)雜的網(wǎng)絡(luò)環(huán)境，以便能夠更好地實(shí)現(xiàn)服務(wù)教學(xué)、科研，方便師生應(yīng)用的目標(biāo)。

1? 校園網(wǎng)運(yùn)維面臨的困難和挑戰(zhàn)

當(dāng)前，高校校園網(wǎng)蓬勃發(fā)展，呈現(xiàn)出復(fù)雜格局。校園用戶有線無線網(wǎng)、物聯(lián)網(wǎng)、安保專網(wǎng)、一卡通專網(wǎng)、財(cái)務(wù)專網(wǎng)、教學(xué)考務(wù)監(jiān)控專網(wǎng)等單獨(dú)組網(wǎng)，各功能網(wǎng)絡(luò)呈塊狀結(jié)構(gòu)分布，塊與塊之間有的需要嚴(yán)格的物理隔絕，有的需要相互連通，有的塊內(nèi)網(wǎng)段之間需要互通，或某兩個網(wǎng)段之間杜絕互通。多種訪問需求，就需要多種不同的配置策略與之相匹配，無形中給管理人員帶來巨大挑戰(zhàn)。

1.1 人工運(yùn)維成本高

傳統(tǒng)的校園網(wǎng)功能多，設(shè)備的基礎(chǔ)配置、設(shè)備與設(shè)備之間互通配置等，全部需要運(yùn)維人員去完成，運(yùn)維成本大。特別是上新項(xiàng)目時(shí)，大量設(shè)備需要逐個配置。當(dāng)網(wǎng)絡(luò)拓?fù)浜筒呗孕枰{(diào)整變更時(shí)，人為操作，無法保證變更前后設(shè)備配置完全一致。

1.2 用戶策略分級多

高校網(wǎng)絡(luò)訪問策略針對不同用戶有差異。老師、學(xué)生，非在編人員等等，不同的用戶訪問不同的資源，小型網(wǎng)絡(luò)通常使用訪問控制列表即可實(shí)現(xiàn)。高校校園網(wǎng)拓?fù)浣Y(jié)構(gòu)復(fù)雜，設(shè)備數(shù)量眾多，需要保證全網(wǎng)一致性的實(shí)施，僅用訪問控制列表，在實(shí)現(xiàn)和維護(hù)兩個層面都很困難。

1.3 安全等級要求高

2019年12月1日，等保2.0標(biāo)準(zhǔn)正式實(shí)施，標(biāo)準(zhǔn)中對于網(wǎng)絡(luò)關(guān)鍵應(yīng)用有嚴(yán)格的要求，必須做到物理隔離，獨(dú)立運(yùn)維。

1.4 故障判斷難度高

傳統(tǒng)的網(wǎng)管系統(tǒng)功能多集中在監(jiān)控設(shè)備的運(yùn)行狀態(tài)，無法做到對全網(wǎng)故障進(jìn)行分析和預(yù)判。校園網(wǎng)用戶多，故障類型多，傳統(tǒng)抓包的或憑經(jīng)驗(yàn)的故障排除方式顯然已不能適應(yīng)復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)。

在這樣的背景下，Cisco DNA應(yīng)運(yùn)而生。DNA從網(wǎng)絡(luò)的部署、配置、調(diào)試、到排障，全過程摒棄傳統(tǒng)的命令行方式，通過控制器圖形化界面進(jìn)行操作，實(shí)現(xiàn)了自動化、智能化運(yùn)維的目標(biāo)。

2? Cisco DNA簡介

DNA—Digital Network Architecture，是面向園區(qū)網(wǎng)的全數(shù)字化網(wǎng)絡(luò)架構(gòu)。包含：自動化運(yùn)維工具、基于意圖的策略部署、網(wǎng)絡(luò)分析及故障排除功能。實(shí)現(xiàn)管理和轉(zhuǎn)發(fā)功能的分離，是DNA最基本的原則之一。

部署DNA可以長期提供網(wǎng)絡(luò)運(yùn)維的支撐和保障。在DNA模式下，設(shè)備加電即可獲得配置，智能化程度高。所有針對網(wǎng)絡(luò)設(shè)備管理層面的操作都交由DNA-C控制器來統(tǒng)一指揮，完成管理、配置、策略下發(fā)等任務(wù)，全網(wǎng)交換機(jī)等網(wǎng)絡(luò)設(shè)備只完成轉(zhuǎn)發(fā)功能?？刂破鲿?shí)時(shí)從設(shè)備提取信息，同時(shí)將網(wǎng)絡(luò)知識庫放置于控制器中，用于分析網(wǎng)絡(luò)風(fēng)險(xiǎn)，評價(jià)網(wǎng)絡(luò)健康狀況，提示網(wǎng)絡(luò)安全隱患。

3? DNA在高校校園網(wǎng)中應(yīng)用的優(yōu)勢

3.1 網(wǎng)絡(luò)安全層面

傳統(tǒng)方式，校園網(wǎng)出口需要部署安全策略，就配置防火墻設(shè)備;需要搜集分析用戶上網(wǎng)行為，就部署行為管理設(shè)備;需要實(shí)現(xiàn)一鍵斷網(wǎng)，就部署反向代理設(shè)備，所有完成安全功能的設(shè)備是疊加式的部署方式，不能將上述功能集中在一臺設(shè)備上。DNA架構(gòu)提倡集成式的安全，全網(wǎng)設(shè)備，包括AP、交換機(jī)、防火墻，都是作為網(wǎng)絡(luò)探針存在，通過全網(wǎng)搜集數(shù)據(jù)的方式來保證網(wǎng)絡(luò)的安全。

3.2 設(shè)備層面

所有設(shè)備只需上架、加電、IP可達(dá)，其他的操作都無需人工干預(yù)，都由DNA-C控制器進(jìn)行配置和策略的下發(fā)。特別是針對有多個校區(qū)的情況，某分校區(qū)的設(shè)備只需加電，其他操作都可在主校區(qū)完成。校園網(wǎng)設(shè)備傳統(tǒng)且普遍采用的運(yùn)維管理方式是，運(yùn)維人員為主，各類網(wǎng)絡(luò)監(jiān)控軟件為輔，所有的網(wǎng)絡(luò)設(shè)備配置、策略調(diào)整均是通過命令行實(shí)現(xiàn)。這就網(wǎng)絡(luò)運(yùn)管人員提出了比較高的要求，不僅需要熟悉某一品牌某種型號設(shè)備的所有命令及其含義，還需要考慮并解決不同品牌網(wǎng)絡(luò)設(shè)備交叉使用的兼容性問題。

3.3 組網(wǎng)方式層面

當(dāng)前，安保網(wǎng)、一卡通、校園網(wǎng)等各個功能網(wǎng)絡(luò)之間物理隔離，存在多網(wǎng)建設(shè)、維護(hù)成本高的問題。DNA是疊加的網(wǎng)絡(luò)，只需建立一套物理網(wǎng)絡(luò)，在此基礎(chǔ)上疊加多個虛擬網(wǎng)絡(luò)。通過虛擬方式實(shí)現(xiàn)物理隔離，可以在控制器上添加多個虛擬網(wǎng)絡(luò)，不僅節(jié)省了硬件成本，更為管理員的部署和規(guī)劃提供了方便。

3.4 故障處理層面

傳統(tǒng)故障處理需要經(jīng)過多個環(huán)節(jié)，多次操作，多個節(jié)點(diǎn)去排查故障原因，在DNA架構(gòu)中，DNA控制器會搜索智能故障數(shù)據(jù)庫直接給出故障原因及處理意見，簡化并弱化了人為參與的因素，將極大提升運(yùn)維效率。

4? DNA在高校校園網(wǎng)中應(yīng)用存在的問題

從兼容性角度來看，目前，CiscoDNA都是基于Cisco-C系列9000型號的交換機(jī)展開的，DNA不支持其他品牌的網(wǎng)絡(luò)設(shè)備，同時(shí)也不支持思科較早型號的設(shè)備。而校園網(wǎng)大量在用的CiscoC2960，C3750等型號交換機(jī)無法支持DNA。同時(shí)，無線設(shè)備方面，Cisco17、27、37、18、28、38系列的無線接入點(diǎn)都可以支持DNA，早期的型號都不支持。

從功能角度來看，實(shí)現(xiàn)DNA必備的組建有控制器（DNA-C）、ISE認(rèn)證模塊、無線控制器。DNA體系對傳統(tǒng)三層網(wǎng)絡(luò)結(jié)構(gòu)中的核心層、接入層設(shè)備有型號的要求，必須支持VXLAN。因?yàn)閂XLAN是在接入層進(jìn)行封裝，在核心層進(jìn)行解封裝。

也就是說，要實(shí)現(xiàn)DNA，需要更換校園網(wǎng)大量在用的網(wǎng)絡(luò)設(shè)備。無論是從成本還是從制度層面來看，大量更換在用設(shè)備都需要一個較長的時(shí)間周期。

5? 結(jié)語

Cisco DNA作為一種自動化、智能化程度較高的運(yùn)維模式，已經(jīng)成為園區(qū)網(wǎng)運(yùn)維發(fā)展的新趨勢，高校校園網(wǎng)可以在逐步消化現(xiàn)有設(shè)備的基礎(chǔ)上，引入DNA設(shè)備，在為運(yùn)維工作提供更大方便的同時(shí)，以期實(shí)現(xiàn)更加穩(wěn)定，更加敏捷的校園網(wǎng)接入方案。

參考文獻(xiàn)

[1] 劉倩熙. IPTV在校園網(wǎng)的應(yīng)用研究[D].湖南大學(xué)，2012.

[2] 王鳳霞. 校園網(wǎng)無線網(wǎng)絡(luò)管理與應(yīng)用優(yōu)化[D].復(fù)旦大學(xué)，2012.

[3] 吳文皓. 校園網(wǎng)環(huán)境下的MPLS技術(shù)研究與仿真[D].哈爾濱理工大學(xué)，2013.