李 鋒，朱 靖，李旭斌，林俊發(fā)

（廣東工程職業(yè)技術(shù)學(xué)院，廣東 廣州 510520）

1 解決方案

目前，IP隨行的解決方案多數(shù)為由交換機廠家提供SDN（Software Define Network，軟件定義網(wǎng)絡(luò)）方案，且多數(shù)在一個校區(qū)部署，或者有多個校區(qū)，但是只有一個核心出口，且交換機廠家提供的SDN解決方案多數(shù)需要核心和匯聚交換采用同一廠家品牌的交換機，不同廠家的SDN控制器不能通用。該學(xué)校兩個校區(qū)采用的組網(wǎng)方案和核心交換機均不同，很難采用交換機+SDN的解決方案。

在不改動現(xiàn)有網(wǎng)絡(luò)拓撲和核心交換機等前提下，實現(xiàn)IP隨身需要解決以下問題：①采用方案必須不依賴于交換機硬件能力，方案能夠和兩校區(qū)現(xiàn)有的交換機兼容；②盡量采用通用協(xié)議，避免采用私有協(xié)議，避免后期擴容等問題；③兩校區(qū)目前采用三層互通，方案必須保留現(xiàn)有兩校區(qū)三層互通拓撲結(jié)構(gòu)，不對現(xiàn)有網(wǎng)絡(luò)拓撲進行大的改動；④兩校區(qū)存在的用戶終端數(shù)量較大，且大部分終端不需要實現(xiàn)IP隨身，比如，固定的視頻攝像頭、打印機等啞終端都是本地使用的，方案需要能夠區(qū)分那些終端需要IP隨身策略。

綜合以上問題，原則上采用NFV（網(wǎng)絡(luò)功能虛擬化）技術(shù)，通過網(wǎng)絡(luò)功能虛擬化技術(shù)，不需要依賴交換機廠家的硬件平臺，可直接部署虛擬網(wǎng)絡(luò)功能（Virtual Network Functions，VNF）來實現(xiàn)IP隨身。

對于在兩個校區(qū)三層互通的情況下解決二層傳輸問題，目前業(yè)界多數(shù)采用VxLAN協(xié)議，所以本方案也選用VxLAN協(xié)議實現(xiàn)兩校區(qū)之間的二層互通實現(xiàn)IP隨身?？梢酝ㄟ^采用NFV+VxLAN+控制器技術(shù)搭建一個SD-LAN（Software Define Local area Network，軟定義局域網(wǎng)），再通過SD-LAN來判斷終端屬于哪個局域網(wǎng)（LAN），并通過本地轉(zhuǎn)發(fā)或者VxLAN隧道轉(zhuǎn)發(fā)來解決多校區(qū)IP隨身問題。

組網(wǎng)拓撲如圖1所示，在廣東工程職業(yè)技術(shù)學(xué)院兩個校區(qū)（廣州校區(qū)和清遠校區(qū)）各部署一套基于NFV的vBRAS，vBRAS下行和學(xué)校核心交換對接，將需要做IP隨身的VLAN的網(wǎng)關(guān)遷移至新增的vBRAS上（二層端口）；vBRAS上行和核心對接，采用三層對接；兩臺vBRAS通過校際鏈路（或者采用互聯(lián)網(wǎng)鏈路）采用VxLAN互連。校區(qū)間的IP隨身業(yè)務(wù)通過兩臺vBRAS之間VxLAN隧道實現(xiàn)互通。

圖1 組網(wǎng)拓撲圖

在兩個校區(qū)各部署一套SD-LAN控制器（SDLAN Controller），兩臺控制器之間采用熱備模式部署，數(shù)據(jù)自動同步；控制器有管理用戶MAC歸屬、策略下發(fā)等功能。

2 方案說明

2.1 NFV+VxLAN部署

（1）建立VxLAN隧道：多臺vBRAS之間采用VxLAN隧道實現(xiàn)二層通信。

（2）接入控制管理：對網(wǎng)絡(luò)接入進行管理，區(qū)分哪些MAC地址是本地轉(zhuǎn)發(fā)的，哪些MAC地址是需要通過VxLAN隧道至其他vBRAS轉(zhuǎn)發(fā)的。

（3）接入認證功能：能夠開啟認證功能，對接AAA服務(wù)器等獲取用戶身份信息。

（4）數(shù)據(jù)轉(zhuǎn)發(fā)：能夠根據(jù)MAC地址管理策略轉(zhuǎn)發(fā)數(shù)據(jù)，在轉(zhuǎn)發(fā)數(shù)據(jù)時，可以根據(jù)MAC地址的策略（內(nèi)外層VLAN、所屬vBRAS）等進行轉(zhuǎn)發(fā)。

（5）MAC地址管理功能：和SD-LAN控制器配合，實現(xiàn)MAC地址管理功能，主要是上報新MAC地址和同步SD-LAN控制器的MAC地址管理表，并執(zhí)行對應(yīng)MAC地址管理策略。

（6）上報MAC地址信息：將接入的MAC地址、其所在的vBRAS信息、QINQ信息上報給SD-LAN控制器。

2.2 SD-LAN控制器

（1）MAC地址管理功能：和vBRAS配合，對整個辦公教學(xué)網(wǎng)實現(xiàn)MAC地址管理功能。MAC地址管理功能包括MAC地址收集（vBRAS上報/手動輸入）、MAC地址歸屬管理（歸屬vBRAS以及VLAN信息）、MAC地址管理策略（是否需要IP隨身）等。

（2）策略下發(fā)功能：將MAC地址表及相關(guān)策略下發(fā)給vBRAS。

（3）熱備部署：兩臺SD-LAN控制器雙機熱備部署。

3 業(yè)務(wù)流程

3.1 終端MAC地址第一次注冊

在SD-LAN組網(wǎng)模式下，用戶終端第一次接入網(wǎng)絡(luò)時，vBRAS會向SD-LAN控制器發(fā)送MAC地址注冊流程，如圖2所示。具體流程如下：①用戶終端接入；②vBRAS查詢本地MAC地址管理策略；③判斷本地MAC地址管理策略是否存在，如果存在，按照對用的策略實現(xiàn)轉(zhuǎn)發(fā)；如果不存在，則向SD-LAN控制器發(fā)送MAC地址注冊信息；④SD-LAN控制器收到上報的MAC地址注冊信息后，生成MAC地址注冊記錄，等待人工或接口判斷該MAC地址使用的管理策略；⑤在收到該MAC地址的管理策略后，生成管理策略記錄，同步給vBRAS，更新vBRAS的本地MAC地址管理策略。

圖2 MAC地址注冊流程圖

3.2 MAC地址在其他校區(qū)上線

在SD-LAN組網(wǎng)模式下，用戶終端在接入網(wǎng)絡(luò)時，vBRAS會判斷該MAC地址是本地轉(zhuǎn)發(fā)的還是通過VxLAN隧道轉(zhuǎn)發(fā)至其他遠端vBRAS的，如圖3所示。

圖3 轉(zhuǎn)發(fā)數(shù)據(jù)流程圖圖

具體流程如下：①用戶終端接入；②vBRAS查詢本地MAC地址管理策略；③判斷是否存在該MAC地址的本地管理策略：如果不存在，按照新MAC地址注冊流程進行操作；如果存在，則進入數(shù)據(jù)轉(zhuǎn)發(fā)流程；④vBRAS查詢該MAC地址的管理策略是否屬于本地vBRAS；⑤如果該MAC地址的管理策略屬于本地轉(zhuǎn)發(fā)，則vBRAS直接進行本地轉(zhuǎn)發(fā)；⑥如果該MAC地址的管理策略不屬于本地轉(zhuǎn)發(fā)，vBRAS查詢對應(yīng)的遠程vBRAS的VxLAN隧道和VLAN信息，并通過VxLAN隧道將數(shù)據(jù)轉(zhuǎn)發(fā)至遠程vBRAS進行本地轉(zhuǎn)發(fā)。

3.3 MAC地址策略修改、更新

在SD-LAN組網(wǎng)模式下，可以人工修改MAC地址對應(yīng)的策略，并實時更新至所有的vBRAS，如圖4所示。具體流程如下：①管理員修改/更新MAC地址慣例策略；②SD-LAN控制器實時向所有的vBRAS發(fā)送MAC地址策略更新信息；③vBRAS收到SD-LAN控制器發(fā)送的MAC地址策略更新信息后，自動更新本地MAC地址策略管理表。

圖4 MAC地址策略修改/更新流程圖

4 方案優(yōu)勢

（1）開放性：本方案采用NFV技術(shù)和VxLAN技術(shù)來解決IP隨身問題，沒有采用私有協(xié)議，具備良好的開放性。

（2）兼容性：本方案可以和兩個校區(qū)現(xiàn)有的網(wǎng)絡(luò)設(shè)備兼容，不需要對現(xiàn)有網(wǎng)絡(luò)設(shè)備進行大替換和調(diào)整。

（3）可擴展性：本方案可以根據(jù)實際需求分步實施，將需要做IP隨身的網(wǎng)絡(luò)（不同的VLAN）分批次實施。同時根據(jù)實際的流量情況選擇不同容量的vBRAS來滿足使用需求。

（4）技術(shù)潛力：本方案采用的NFV和VxLAN技術(shù)，均為目前IT前沿技術(shù)，本方案后期還有較大的技術(shù)潛力，目前已經(jīng)可以考慮的功能包括：QINQ下的打印機共享、啞終端的認證管理、5G校園網(wǎng)接入等。這些可以在現(xiàn)有的vBRAS和SD-LAN控制器的基礎(chǔ)上開發(fā)對應(yīng)的功能。

5 結(jié)束語

本方案采用了與SD-WAN類似的組網(wǎng)方式的SDLAN方案[1-2]，通過VxLAN將兩個校區(qū)互聯(lián)，不需要對網(wǎng)絡(luò)拓撲進行大的調(diào)整，校區(qū)之間依然采用三層互通；不需要校區(qū)間采用二層互通的方式，通過三層的VxLAN技術(shù)實現(xiàn)二層互通，減少環(huán)路風(fēng)險；VxLAN隧道不僅可通過校際互聯(lián)鏈路，也可通過互聯(lián)網(wǎng)鏈路實現(xiàn)校際互聯(lián)；采用NFV方案，不依賴交換機廠家，可以自由選擇各校區(qū)的核心設(shè)備；可以根據(jù)實際網(wǎng)絡(luò)情況部署多臺vBRAS，單臺vBRAS可以支持多條VxLAN隧道，可以根據(jù)校園網(wǎng)的發(fā)展，調(diào)整vBRAS的部署；SD-LAN控制器雙機熱備部署，一臺控制器故障后，vBRAS自動切換至另一臺控制器；如果兩臺控制器故障，vBRAS使用本地MAC地址管理策略工作；可以通過SD-LAN控制器，針對每個MAC地址提供具體策略，也可以考慮和認證系統(tǒng)對接，獲取MAC地址的用戶身份信息，自動匹配MAC地址管理策略；可以人工設(shè)置MAC地址管理策略，對需要IP隨身的MAC地址才啟用隨身策略，減少校際鏈路的壓力，充分利用各自校區(qū)的互聯(lián)網(wǎng)出口。