劉波林

(贛南師范大學(xué) 信息與教育技術(shù)中心，江西 贛州 341000)

高校校園網(wǎng)絡(luò)是以計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)為基礎(chǔ)的區(qū)域教育信息化集成應(yīng)用系統(tǒng).它是以計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)為基礎(chǔ)、以網(wǎng)絡(luò)教育資源與網(wǎng)絡(luò)教育軟件為核心、以構(gòu)建現(xiàn)代教育和管理模式為目的、以提高教學(xué)與管理效益為根本、為高校教育信息化提供全方位服務(wù)的教育網(wǎng)絡(luò).校園網(wǎng)絡(luò)的建設(shè)目標(biāo)是構(gòu)建包含無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)和物聯(lián)網(wǎng)等多種形式的融合網(wǎng)絡(luò)，為學(xué)校的人、事、物提供隨時(shí)隨地的接入，支撐學(xué)校教學(xué)、科研、管理、服務(wù)和園區(qū)運(yùn)行業(yè)務(wù)的信息流轉(zhuǎn)[1].早期校園網(wǎng)大多是核心、匯聚、接入的三層架構(gòu)，之后可能經(jīng)過多次改造和擴(kuò)建，但其組成架構(gòu)基本不變，其主要交換機(jī)的品牌選擇以思科、銳捷、華為、華三為主，是學(xué)校重要信息化基礎(chǔ)設(shè)施之一.隨著移動終端的大量普及、網(wǎng)絡(luò)新應(yīng)用的興起，原校園網(wǎng)的靈活性差、管理不方便等問題就更加突出.因此，對校園網(wǎng)進(jìn)行升級改造也就成為智慧校園建設(shè)的一項(xiàng)重要子項(xiàng)目.

1 校園網(wǎng)現(xiàn)狀和存在的問題

1.1 校園網(wǎng)現(xiàn)狀

多數(shù)地方高校在2000年前后開始建設(shè)校園網(wǎng)，再經(jīng)過幾次的擴(kuò)建或改建，其主流的三層網(wǎng)絡(luò)架構(gòu)一直維持不變，如贛南師范大學(xué)的校園網(wǎng)，其以思科7609為核心，各教學(xué)辦公樓匯聚層設(shè)備以思科3560為主，通過思科7609的板載防火墻、IPS、行為審計(jì)等安全設(shè)備為兩路互聯(lián)網(wǎng)出口和數(shù)據(jù)中心提供安全服務(wù).

1.2 校園網(wǎng)存在的問題

2 校園網(wǎng)升級改造的必要性

2.1 校園網(wǎng)發(fā)展的需要

隨著學(xué)校網(wǎng)絡(luò)教育發(fā)展，BYOD的興起，網(wǎng)絡(luò)教學(xué)對校園網(wǎng)的接入、資源獲取和信息交換的方式上越來越多樣化[2].大容量視頻課件、VR教學(xué)、實(shí)時(shí)遠(yuǎn)程教學(xué)等新興教育手段更加普及，網(wǎng)絡(luò)的低延時(shí)，圖像數(shù)據(jù)傳輸?shù)姆€(wěn)定性顯得更加重要.校園網(wǎng)絡(luò)需求的提升及終端的多樣性，對網(wǎng)絡(luò)策略的靈活性就有了新的需求，而之前的網(wǎng)絡(luò)系統(tǒng)是不能滿足這些要求的.

2.2 校園網(wǎng)絡(luò)管理的需要

隨著校園網(wǎng)應(yīng)用的復(fù)雜度提升，要求網(wǎng)絡(luò)支持校內(nèi)各種業(yè)務(wù)，其配置要求更加復(fù)雜，需要部署SDN網(wǎng)絡(luò)才能實(shí)現(xiàn)對多業(yè)務(wù)的靈活支持與調(diào)整.在傳統(tǒng)網(wǎng)絡(luò)上，當(dāng)業(yè)務(wù)需求變更時(shí)，往往是修改多臺設(shè)備配置的繁瑣的事情.而扁平化敏捷網(wǎng)絡(luò)則通過將網(wǎng)絡(luò)控制與物理網(wǎng)絡(luò)拓?fù)浞蛛x，從而擺脫硬件對網(wǎng)絡(luò)架構(gòu)的限制[3].

2.3 校園網(wǎng)的安全需求

國家對網(wǎng)絡(luò)安全尤其重視，在為校園網(wǎng)改造建設(shè)的同時(shí)，網(wǎng)絡(luò)安全建設(shè)也是其中的重點(diǎn)內(nèi)容.合理配置防火墻、行為審計(jì)、IPS、IDS等安全設(shè)備，甚至安裝網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，滿足信息系統(tǒng)安全等級保護(hù)的要求，才能實(shí)現(xiàn)對校園網(wǎng)絡(luò)的完善保護(hù).

3 校園網(wǎng)升級改造的原則

升級改造應(yīng)以學(xué)校智慧校園建設(shè)規(guī)劃為指導(dǎo)，從學(xué)校的整體需求出發(fā)，結(jié)合考慮用戶需求，采用最新網(wǎng)絡(luò)建設(shè)理念，根據(jù)校園網(wǎng)安全等級、后期擴(kuò)容以及經(jīng)濟(jì)實(shí)用等原則進(jìn)行.

3.1 先進(jìn)性原則

作為一種新的網(wǎng)絡(luò)體系結(jié)構(gòu)，SDN已經(jīng)掀起了一場網(wǎng)絡(luò)變革的技術(shù)浪潮，采用SDN的框架進(jìn)行網(wǎng)絡(luò)建設(shè)無疑是目前網(wǎng)絡(luò)建設(shè)的熱點(diǎn)，各大網(wǎng)絡(luò)廠商均推出有各自的SDN方案.華為公司基于SDN框架的敏捷園區(qū)方案是把SDN架構(gòu)引入園區(qū) ，給網(wǎng)絡(luò)增加了智慧大腦[4].使用SDN的框架進(jìn)行網(wǎng)絡(luò)建設(shè)也是各高校網(wǎng)絡(luò)升級的共同選擇.在SDN的框架下，同時(shí)實(shí)現(xiàn)網(wǎng)絡(luò)傳輸在邏輯層面上的二層扁平化架構(gòu)，可以讓網(wǎng)絡(luò)部署和管理變得更加靈活和快捷.

3.2 安全性原則

設(shè)備的選擇上要求采用國產(chǎn)設(shè)備，且是獲得國際認(rèn)證的品牌產(chǎn)品，網(wǎng)絡(luò)結(jié)構(gòu)上要求接入端設(shè)備是易管理易維護(hù)的類型，方便運(yùn)維服務(wù)外包管理.

3.3 經(jīng)濟(jì)實(shí)用性原則

學(xué)校每年對信息化的投入有限，尤其是現(xiàn)在還要在有限的投入中分更多經(jīng)費(fèi)用于校園信息化軟件的建設(shè)，并且一個(gè)網(wǎng)絡(luò)改造也不可能將之前各年的所有交換機(jī)等設(shè)備全部更換為新設(shè)備，能用的交換機(jī)還是要保留，以保護(hù)原有投資，一些并不迫切的功能還是可以緩一步建設(shè).

4 校園網(wǎng)升級改造的目標(biāo)

通過對學(xué)?，F(xiàn)有網(wǎng)絡(luò)進(jìn)行扁平化改造建設(shè)，構(gòu)建符合學(xué)校發(fā)展規(guī)劃的新型智慧校園網(wǎng).引入扁平化架構(gòu)，將用戶網(wǎng)關(guān)、認(rèn)證網(wǎng)關(guān)、復(fù)雜的協(xié)議配置上收至核心交換設(shè)備，實(shí)現(xiàn)用戶業(yè)務(wù)隨行，將邏輯網(wǎng)絡(luò)與物理位置解綁，使得用戶在校園網(wǎng)內(nèi)任意地方接入獲取的權(quán)限都一致，校園網(wǎng)策略部署更加智能.融合下一代出口防火墻、上網(wǎng)行為管理、VPN等網(wǎng)絡(luò)安全設(shè)備構(gòu)建新一代校園網(wǎng)出口網(wǎng)絡(luò)安全防護(hù)體系.建設(shè)一個(gè)高可用、高安全、高穩(wěn)定、易使用、易管理、易擴(kuò)展的校園網(wǎng)絡(luò)與基礎(chǔ)設(shè)施平臺.

5 升級改造的具體內(nèi)容

5.1 核心設(shè)備建設(shè)

安裝核心交換機(jī)及SDN軟件，可選擇的國內(nèi)廠商方案也不少，如華三、銳捷、華為等，各廠商具體實(shí)現(xiàn)方式有一定差異.贛南師范大學(xué)選擇了華為的敏捷園區(qū)方案，采用華為敏捷框式核心交換機(jī)，安裝華為SDN管理軟件即Agile Controller-Campus，一起構(gòu)建網(wǎng)絡(luò)管理核心，利用SDN技術(shù)實(shí)現(xiàn)用戶認(rèn)證、終端準(zhǔn)入、業(yè)務(wù)隨行、業(yè)務(wù)編輯.同時(shí)對接學(xué)校統(tǒng)一用戶身份認(rèn)證系統(tǒng)，實(shí)現(xiàn)有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)統(tǒng)一認(rèn)證、無感知認(rèn)證.

5.2 樓棟網(wǎng)絡(luò)扁平化及線路改造

將學(xué)校所有教學(xué)辦公樓的匯聚、接入交換機(jī)實(shí)行扁平化配置，接入、匯聚交換機(jī)只負(fù)責(zé)進(jìn)行用戶數(shù)據(jù)的轉(zhuǎn)發(fā)，樓棟匯聚的上行鏈路均升為萬兆.接入交換機(jī)只更換10年以上的老舊款，其余利舊.利舊設(shè)備中不支持SDN功能的，也只是該設(shè)備不能接受SDN控制器的管理，需要手工參與配置和后續(xù)管理，對網(wǎng)絡(luò)用戶是沒有影響的.

5.3 網(wǎng)絡(luò)安全設(shè)備的采購與安裝

如更換邊界防火墻，加裝IDS、堡壘機(jī)及日志審計(jì)設(shè)備、VPN設(shè)備，網(wǎng)絡(luò)安全態(tài)勢感知設(shè)備等等.融合學(xué)校原有和新采購的安全設(shè)備，構(gòu)建校園網(wǎng)安全防護(hù)體系，使校園網(wǎng)絡(luò)安全達(dá)到網(wǎng)絡(luò)安全等級保護(hù)測評二級保護(hù)標(biāo)準(zhǔn).

5.4 構(gòu)建校園網(wǎng)多鏈路出口

連接電信帶寬出口及教育網(wǎng)帶寬出口，甚至再增加多運(yùn)營商出口，并采購安裝一臺鏈路負(fù)載均衡設(shè)備，實(shí)現(xiàn)入站流量負(fù)載均衡，通過鏈路負(fù)載策略，精準(zhǔn)為用戶選擇最佳鏈路，解決用戶跨運(yùn)營商訪問慢的問題，利用鏈路繁忙控制，實(shí)現(xiàn)出站流量負(fù)載均衡，提高互聯(lián)網(wǎng)各鏈路出口帶寬的利用率.

6 校園網(wǎng)升級改造的技術(shù)實(shí)現(xiàn)

升級改造中對全校網(wǎng)絡(luò)設(shè)備進(jìn)行SDN重構(gòu)，使學(xué)校業(yè)務(wù)部署與網(wǎng)絡(luò)拓?fù)?、地理位置弱相關(guān)，用戶位置可隨時(shí)變更、終端任意部署，網(wǎng)絡(luò)管理實(shí)現(xiàn)零干預(yù).

6.1 用戶認(rèn)證

采用MAC優(yōu)先的Portal二層認(rèn)證方式(圖1)，用戶數(shù)據(jù)同步學(xué)校數(shù)據(jù)中心用戶，對用戶分組識別教師、本科學(xué)生，研究生.在安全認(rèn)證與頻繁認(rèn)證之間選擇適當(dāng)?shù)腗AC地址有效時(shí)間和WEB端會話超時(shí)周期，盡可能減少用戶輸入賬號認(rèn)證的時(shí)間消耗又保證一定的安全認(rèn)證必要.同一賬號允許同時(shí)接入設(shè)定個(gè)數(shù)的多個(gè)終端，同時(shí)配置IPV6雙棧，用戶接入時(shí)同時(shí)獲得IPV6地址，經(jīng)準(zhǔn)入認(rèn)證即可同時(shí)訪問IPV4和IPV6網(wǎng)絡(luò).

圖1 MAC優(yōu)先的Portal二層認(rèn)證方式

6.2 MAC認(rèn)證

主要用于啞終端及其它特殊終端的認(rèn)證，如打印機(jī)、IP電話等啞終端，無法通過用戶名密碼進(jìn)行認(rèn)證的場合；或者因特殊需要，不需要校驗(yàn)用戶名密碼只校驗(yàn)終端MAC地址認(rèn)證的場合.

6.3 業(yè)務(wù)隨行

同一賬號用戶在校內(nèi)無論在何處通過何種方式接入訪問數(shù)據(jù)中心和Internet的權(quán)限不變，帶寬和轉(zhuǎn)發(fā)優(yōu)先級不變.

圖2 業(yè)務(wù)編排的業(yè)務(wù)流

6.4 業(yè)務(wù)編排

將匹配一定規(guī)則的業(yè)務(wù)流量從核心交換機(jī)經(jīng)隧道轉(zhuǎn)發(fā)給指定的網(wǎng)絡(luò)安全設(shè)備進(jìn)行處理，然后再由網(wǎng)絡(luò)安全設(shè)備經(jīng)隧道返回給核心交換機(jī)，最后轉(zhuǎn)發(fā)到目的網(wǎng)絡(luò)(圖2).這樣就是將學(xué)校的安全設(shè)備資源池化，屏蔽具體的物理形態(tài)和位置，形成“安全資源中心”，基于業(yè)務(wù)需要將流量引至安全資源中心檢測處理，提升物理資源利用率.

7 結(jié)語

校園網(wǎng)升級改造項(xiàng)目從立項(xiàng)到建設(shè)完成是一個(gè)較為復(fù)雜的過程.贛南師范大學(xué)校園網(wǎng)改造項(xiàng)目基于SDN框架,以華為敏捷網(wǎng)絡(luò)作為技術(shù)解決方案，成功完成了校園網(wǎng)的升級改造工作，初步實(shí)現(xiàn)了SDN的功能，但功能還需要繼續(xù)完善，需要在后期的建設(shè)中進(jìn)一步實(shí)現(xiàn).總體來說，項(xiàng)目完成后網(wǎng)絡(luò)管理的工作強(qiáng)度明顯減小，運(yùn)維頻度和難度也大幅下降.今后，高校校園網(wǎng)可以在SDN網(wǎng)絡(luò)的核心架構(gòu)下結(jié)合具體業(yè)務(wù)應(yīng)用需求探索高?；A(chǔ)網(wǎng)絡(luò)的智能化發(fā)展，提升網(wǎng)絡(luò)數(shù)據(jù)采集能力，利用大數(shù)據(jù)、AI等技術(shù)開展網(wǎng)絡(luò)數(shù)據(jù)智能分析，引入網(wǎng)絡(luò)安全事件的決策、反饋、預(yù)警機(jī)制，保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施的穩(wěn)定運(yùn)行[4].