王宇翔 胡建龍 佀潔 張帆

（西北大學(xué)網(wǎng)絡(luò)和數(shù)據(jù)中心 陜西省西安市 710127）

隨著各高校智慧校園建設(shè)的深入展開，各種新的技術(shù)，如物聯(lián)網(wǎng)、人工智能、云計算、融合支付等，已經(jīng)成為高校信息化建設(shè)必須考慮的發(fā)展方向。新技術(shù)的加入，必然會給校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施的規(guī)劃建設(shè)和運維管理帶來新的挑戰(zhàn)。當(dāng)前各高校的校園網(wǎng)絡(luò)架構(gòu)基本以傳統(tǒng)三層架構(gòu)或以BRAS為主的扁平化大二層架構(gòu)，架構(gòu)比較分散，對于網(wǎng)絡(luò)的規(guī)劃以及安全策略均分布在不同的設(shè)備之上，網(wǎng)絡(luò)的擴展也比較困難。隨著新技術(shù)的推廣普及，接入校園網(wǎng)的終端數(shù)量和類型也在不斷的增加，需要劃分很多個VLAN和IP子網(wǎng)；各類專網(wǎng)（如一卡通專網(wǎng)、財務(wù)專網(wǎng)、智慧教室專網(wǎng)、節(jié)能監(jiān)控專網(wǎng)等）的建設(shè)和互通的需求，都給校園網(wǎng)絡(luò)的建設(shè)和運維管理帶來了一系列的問題，迫切需要一種集中式的，可視化的，自動化的網(wǎng)絡(luò)建設(shè)和管理工具，來滿足日益增加的網(wǎng)絡(luò)規(guī)劃建設(shè)和運維管理的需求。隨著SDN（Software Defined Network，軟件定義網(wǎng)絡(luò)）架構(gòu)和VxLAN（Virtual Extensible LAN，可擴展虛擬局域網(wǎng)）技術(shù)逐漸成熟，不同的廠家均有了較完備的方案，使得大二層扁平化結(jié)構(gòu)和SDN的運行模式可滿足對復(fù)雜網(wǎng)絡(luò)的可視化、自動化配置和管理，終端設(shè)備自動上線，故障自動化排除的接入和管理需求，易于擴展，運維簡便，已成為智慧校園建設(shè)中基礎(chǔ)網(wǎng)絡(luò)建設(shè)的首選方案。

1 高校校園網(wǎng)基礎(chǔ)架構(gòu)的發(fā)展歷程

隨著中國教育和科研計算機網(wǎng)（CERNET）的建設(shè)和發(fā)展，高校從90年代末開始建設(shè)自己的校園網(wǎng)絡(luò)。經(jīng)過20多年的建設(shè)，已經(jīng)形成了規(guī)模性的校園基礎(chǔ)網(wǎng)絡(luò)設(shè)施架構(gòu)，為學(xué)校信息化和智慧校園建設(shè)提供基礎(chǔ)的網(wǎng)絡(luò)保障。高校校園網(wǎng)基礎(chǔ)架構(gòu)發(fā)展主要有以下四個階段：

1.1 傳統(tǒng)三層架構(gòu)階段

高校最初在建設(shè)校園網(wǎng)時，均采用的是傳統(tǒng)三層的架構(gòu)來構(gòu)建校園網(wǎng)，直到2010年左右，才逐漸進入第二階段大二層扁平化改造。傳統(tǒng)三層網(wǎng)絡(luò)架構(gòu)主要采用核心、匯聚和接入分層架構(gòu)，核心層連接匯聚層和出口設(shè)備，放置在校園網(wǎng)核心機房內(nèi)，主要負責(zé)數(shù)據(jù)高速轉(zhuǎn)發(fā)，較少配置訪問控制等安全策略；匯聚層連接接入設(shè)備，放置在樓宇匯聚機房內(nèi)，主要負責(zé)區(qū)分不同區(qū)域用戶的VLAN和IP子網(wǎng)，配置VLAN間的訪問控制等策略；接入層負責(zé)連接用戶，并配置部分訪問控制策略。傳統(tǒng)三層架構(gòu)中，用戶一般以物理區(qū)域或功能的不同來劃分VLAN，VLAN內(nèi)用戶可以互訪和資源共享，VLAN間用戶可配置訪問控制策略來有限互訪。用戶認證一般采用準(zhǔn)出模式的portal認證，易于管理和維護但安全性較差。該架構(gòu)在網(wǎng)絡(luò)復(fù)雜程度較低的網(wǎng)絡(luò)中比較適用，存在運維粗放，無法精細化管理的問題。

1.2 大二層扁平化架構(gòu)改造階段

為了解決三層架構(gòu)無法精細化管理的問題，在2013年左右高校均開始試點或完成了大二層扁平化架構(gòu)的改造。該架構(gòu)使用BRAS+QinQ方式進行扁平化組網(wǎng)，將用戶網(wǎng)關(guān)全部放置于BRAS設(shè)備中，并通過QinQ技術(shù)來隔離用戶，可做到在集中管理的前提下很好的訪問控制。這種架構(gòu)相比傳統(tǒng)三層架構(gòu)在邏輯上更加簡單，減少了接入層的維護工作。在認證層面，BRAS可以支持PPPoE和IPoE方式認證，可針對不同的區(qū)域選用更合適的認證方式，在簡化用戶接入操作復(fù)雜度的基礎(chǔ)之上，同時增加了帶寬管控等更加精細化的訪問控制功能。該架構(gòu)目前已是大多數(shù)高校正在使用的架構(gòu)，相比傳統(tǒng)三層架構(gòu)進一步簡化了運維復(fù)雜度，并增加了精細化管理的程度。但該架構(gòu)仍存在設(shè)備配置分散，接入上線步驟繁瑣，無法集中統(tǒng)一管理設(shè)備的缺點、

1.3 有線無線一體化架構(gòu)階段

從2015年開始，各高校陸續(xù)開始建設(shè)覆蓋全校的無線網(wǎng)絡(luò)，部分高校在出口上選擇與運營商合作租賃出口帶寬，采用社會化運營的方式來給校內(nèi)用戶提供更多套餐選擇。在該階段的建設(shè)中，由于增加了一張無線網(wǎng)絡(luò)，所以針對有線無線一體化架構(gòu)的規(guī)劃至關(guān)重要，需要在核心層面、認證層面、訪問控制層面將整個無線網(wǎng)絡(luò)和已有有線網(wǎng)絡(luò)融合，達到統(tǒng)一架構(gòu)，統(tǒng)一運維的要求。在該階段中，校園網(wǎng)絡(luò)復(fù)雜程度已經(jīng)很高，同時存在有線、無線網(wǎng)絡(luò)以及一卡通專網(wǎng)、財務(wù)專網(wǎng)、節(jié)能監(jiān)控專網(wǎng)等各類專用網(wǎng)絡(luò)，設(shè)備終端也逐漸增多，運維復(fù)雜度高、安全管理困難、故障問題解決速度緩慢等問題逐漸成為網(wǎng)絡(luò)運維的難點。很多時候網(wǎng)絡(luò)設(shè)備的配置和變更還需要人工現(xiàn)場進行操作，人力成本持續(xù)增加，因人為原因造成的配置錯誤等故障時有發(fā)生，所以迫切需要建設(shè)自動化、集中控制、靈活性高的新一代校園網(wǎng)絡(luò)。

1.4 新一代網(wǎng)絡(luò)架構(gòu)階段

進入到2019年，SDN架構(gòu)及VxLAN技術(shù)已逐漸普及，其特有的集中控制和靈活配置的解決方案非常適合解決高校校園網(wǎng)絡(luò)目前存在的各種問題。使用SDN架構(gòu)和VxLAN技術(shù)可在一個物理拓撲上構(gòu)建多個虛擬網(wǎng)絡(luò)，來承載不同層面的流量；統(tǒng)一的控制設(shè)備負責(zé)管理底層物理設(shè)備的配置，實現(xiàn)辦公教學(xué)區(qū)多業(yè)務(wù)接入虛擬化部署的要求。該架構(gòu)以用戶或設(shè)備為中心，更加精細化管理，按角色分配訪問權(quán)限，做到人（user）、物（things）專有的訪問策略。同時構(gòu)建多個虛擬網(wǎng)絡(luò)即可在同一個物理架構(gòu)上承載不同區(qū)域不同要求的專網(wǎng)，融合一卡通、財務(wù)專網(wǎng)、節(jié)能監(jiān)控等專網(wǎng)，還可在合作運營的框架下融合第三方運營廠家的網(wǎng)絡(luò)，構(gòu)建出更加精細化和更具靈活性的新一代網(wǎng)絡(luò)架構(gòu)。

2 SDN網(wǎng)絡(luò)架構(gòu)和VxLAN技術(shù)

SDN架構(gòu)最早由ONF（Open Networking Foundation，開放網(wǎng)絡(luò)基金會）組織提出，并發(fā)布了白皮書規(guī)范標(biāo)準(zhǔn)架構(gòu)，其架構(gòu)由數(shù)據(jù)平面、控制平面和應(yīng)用平面組成，將轉(zhuǎn)發(fā)和控制分離，不同平面使用API接口關(guān)聯(lián)，具有可編程，開放標(biāo)準(zhǔn)的特點。[1]

SDN的核心思想是將數(shù)據(jù)轉(zhuǎn)發(fā)平面和控制平面分離，通過軟件編程來優(yōu)化數(shù)據(jù)轉(zhuǎn)發(fā)的控制機制，從而實現(xiàn)對實際網(wǎng)絡(luò)流量的集中控制和靈活的轉(zhuǎn)發(fā)策略。由于可使用的控制條件相比傳統(tǒng)轉(zhuǎn)發(fā)機制更豐富，所以使得網(wǎng)絡(luò)具有智能化和自動化能力，易于擴展，適應(yīng)性強，能夠適配各種業(yè)務(wù)的快速變化需求。

VxLAN技術(shù)是對傳統(tǒng)VLAN的擴展，是一種在3層網(wǎng)絡(luò)上構(gòu)建虛擬網(wǎng)絡(luò)的VPN技術(shù)。VxLAN使用MAC in UDP的封裝方式將流量封裝并擴展到第三層網(wǎng)關(guān)，故其可以穿透三層網(wǎng)絡(luò)形成一種大二層的虛擬網(wǎng)絡(luò)。VxLAN相比VLAN，可以跨越三層網(wǎng)絡(luò)，突破了傳統(tǒng)VLAN技術(shù)4096個用戶的限制，具有16M用戶支持能力，同時具有24個預(yù)留位標(biāo)識用戶組，擴展能力更強。通過VxLAN技術(shù)，即可在SDN架構(gòu)構(gòu)建的全互聯(lián)邏輯拓撲之上創(chuàng)建多個虛擬網(wǎng)絡(luò)（Virtual Network，VN），實現(xiàn)在同一個物理網(wǎng)絡(luò)之上的不同業(yè)務(wù)互相隔離。VxLAN與SDN架構(gòu)相結(jié)合，以其靈活、可擴展、高安全性的優(yōu)勢，可以取代BRAS+QinQ的方式構(gòu)建高校扁平化大二層網(wǎng)絡(luò)。

3 SDN架構(gòu)和VxLAN技術(shù)的實踐

SDN架構(gòu)和VxLAN技術(shù)相結(jié)合，其優(yōu)勢可以適應(yīng)智慧校園建設(shè)過程中面臨的問題。以下以西北大學(xué)SDN網(wǎng)絡(luò)建設(shè)為例，分析SDN架構(gòu)和VxLAN技術(shù)的建設(shè)和應(yīng)用。

西北大學(xué)SDN網(wǎng)絡(luò)建設(shè)采用思科SDA（Software Defined Access，軟件定義接入）解決方案，由DNA Center作為SDN控制器， Fusion層、Border層和Access層作為底層物理拓撲架構(gòu)，構(gòu)建了一個可視化、自動化、智能化的接入網(wǎng)絡(luò)。西北大學(xué)SDN網(wǎng)絡(luò)建設(shè)拓撲如圖1所示。

圖1：西北大學(xué)SDN網(wǎng)絡(luò)建設(shè)拓撲

DNA Center負責(zé)將物理網(wǎng)絡(luò)underlay邏輯化為一個整體的overlay網(wǎng)絡(luò)，再使用VxLAN技術(shù)再overlay之上構(gòu)建了教學(xué)辦公VN、智慧教室VN以及IoT VN，用于分別接入不同的用戶終端。與思科的ISE認證系統(tǒng)、城市熱點認證計費系統(tǒng)對接，保持教學(xué)辦公VN內(nèi)用戶的在上網(wǎng)習(xí)慣保持和原來一樣的基礎(chǔ)上，在同一個專網(wǎng)內(nèi)部任意漫游。同時設(shè)置智慧教室VN和IoT VN內(nèi)的接入設(shè)備的訪問控制策略，統(tǒng)一下發(fā)給所有物理設(shè)備，大大降低了ACL的維護工作量。對園區(qū)網(wǎng)中的移動用戶、固定用戶及各類終端進行識別，按照用戶所屬的用戶組，或者終端所代表的一類設(shè)備進行標(biāo)記后下發(fā)策略，整個網(wǎng)絡(luò)中用戶和終端可以不受位置限制，任意位置接入，但是最終獲取的網(wǎng)絡(luò)資源和網(wǎng)絡(luò)權(quán)限保持一致，達到網(wǎng)隨人動的效果。設(shè)備終端在上線后，可以根據(jù)認證自動進入其對應(yīng)的邏輯網(wǎng)絡(luò)VN中；同一專網(wǎng)內(nèi)的業(yè)務(wù)可以互通，不同專網(wǎng)網(wǎng)之間的業(yè)務(wù)完全隔離。

西北大學(xué)SDN專網(wǎng)建成后，承載了教學(xué)辦公區(qū)內(nèi)5棟樓宇的師生及智慧教室、自助打印等設(shè)備的網(wǎng)絡(luò)接入，滿足了使用同一套基礎(chǔ)設(shè)施承載多個專網(wǎng)的需求，和師生在SDN網(wǎng)絡(luò)范圍內(nèi)快速便捷接入校園網(wǎng)的需求。同時可視化的運維界面使得故障問題排查更加簡便，可擴展性方便未來更多的改造，高安全性保證多個專網(wǎng)之間的安全問題，極大的減輕了網(wǎng)絡(luò)運維人員的工作。

智慧校園建設(shè)是未來高校信息化建設(shè)的方向，在建設(shè)過程中，持續(xù)提高用戶接入便捷性、擴大物聯(lián)設(shè)備接入范圍、保障接入用戶的安全，是每位網(wǎng)絡(luò)規(guī)劃建設(shè)維護人員面臨的挑戰(zhàn)。使用SDN架構(gòu)和VxLAN技術(shù)構(gòu)建的新一代網(wǎng)絡(luò)架構(gòu)可以更好的為信息化建設(shè)部門提供解決方案。西北大學(xué)SDN網(wǎng)絡(luò)建設(shè)實踐表明基于SDN架構(gòu)和VxLAN相結(jié)合的網(wǎng)絡(luò)有效減輕了運維人員的壓力，網(wǎng)絡(luò)運維也變的可視化，由被動運維變?yōu)橹鲃舆\維，提高了運維效率也降低了運維成本，提升西北大學(xué)智慧校園建設(shè)和信息化建設(shè)水平。