教你巧搭基于應用的教學網(wǎng)

文/陳勇

教你巧搭基于應用的教學網(wǎng)

文/陳勇

如何解決傳統(tǒng)網(wǎng)絡的難題？

中國石油大學的網(wǎng)絡建設和探索可以追溯到上世紀九十年代初期，但真正通過接入中國教育和科研計算機網(wǎng)CERNET，擁有自己的域名是1996年11月。當年通過14.4KDDR撥號接入了CERNET華東北節(jié)點——東南大學，為師生提供電子郵件和簡單的互聯(lián)網(wǎng)接入服務；2004年借青島新校區(qū)建設的機會，構(gòu)建了三層架構(gòu)、千兆骨干、百兆接入的第二代石大校園網(wǎng)絡，同時開始提供一卡通服務；2014年，開始了v4/v6雙棧、支持SDN、40G骨干、千兆接入、大二層、接入零配置的第三代石油大學校園網(wǎng)建設。

中國石油大學校園網(wǎng)絡的現(xiàn)狀

如今，中國石油大學校園網(wǎng)，全校采用一體化認證模式，教工使用工號、學生使用學號做帳號，一套帳號密碼可實現(xiàn)登錄校園有線網(wǎng)絡、無線網(wǎng)絡、VPN、數(shù)字石大等應用系統(tǒng)，提供統(tǒng)一的用戶認證身份。

目前，學生宿舍的無線網(wǎng)絡由中國移動投資建設與學校合作運營，教學區(qū)域、部分辦公區(qū)、熱點公共區(qū)域?qū)崿F(xiàn)無線覆蓋，2016年年底完成除學生宿舍外的所有區(qū)域的無線信號高密度完整覆蓋，2017年完成學生宿舍樓的校園純無線網(wǎng)絡建設。

校園無線網(wǎng)絡提供web、802.1x等認證模式，支持eduroam無線漫游，并為來訪嘉賓提供便利的網(wǎng)絡身份申請，任何教職工均能通過數(shù)字石大提交帳號申請，自主創(chuàng)建網(wǎng)絡帳號并通過短信直接發(fā)送到嘉賓的手機上，且?guī)ぬ栐谛?nèi)實現(xiàn)完整漫游。

現(xiàn)在校園網(wǎng)絡總出口達到10G。包括學校獨立運營的校園網(wǎng)以及在學生宿舍與聯(lián)通、移動、電信等三家運營商合作的出口服務，基本保證了校內(nèi)師生的使用需求。

辦公區(qū)和學生宿舍網(wǎng)絡完全實現(xiàn)了網(wǎng)絡的扁平化，通過bras設備對用戶的統(tǒng)一接入認證管理，實現(xiàn)對用戶準入認證及網(wǎng)絡權(quán)限策略的管理，交換機和線路只提供網(wǎng)絡接入通道，兩臺bras設備實現(xiàn)熱備與冗余。

教學區(qū)實現(xiàn)光纖進教室，構(gòu)建新的教學網(wǎng)絡環(huán)境。將光纖接入教室，每個教室均配置一臺24口PoE交換機，教室內(nèi)所有終端均接入到該交換機，包括需要通過PoE供電的設備，并實現(xiàn)SDN的相關(guān)應用，通過基于SDN組網(wǎng)，極大地提升網(wǎng)絡的智能性。

教學環(huán)境的構(gòu)建

傳統(tǒng)網(wǎng)絡存在的問題

1.網(wǎng)搭建復雜

隨著教學設備的增加，教室內(nèi)基于網(wǎng)絡的應用越來越多，在同一張網(wǎng)上承載了一卡通、中控、網(wǎng)絡電話、無線、視頻監(jiān)控、屏顯、錄播等專網(wǎng)，傳統(tǒng)通過VLAN隔離的方式劃分專網(wǎng)，不同匯聚通過VLAN透傳的方式來實現(xiàn)，這就對教學管理老師的技術(shù)能力提出了更高的要求，也增加了日常運維工作的復雜性。

2.故障設備更換費時費力

隨著光纖進教室的深入，整個教學網(wǎng)絡有300余臺接入交換機，日常的工作中經(jīng)驗會遇到接入交換機故障需要整機更換的問題，這就需要一名老師扛著設備到現(xiàn)場，接上電源，并按原來的順序插上網(wǎng)線，再導入原來交換機的配置，如果接入交換機配置丟失，則需要重新配置。

3.終端設備無法靈活移動

傳統(tǒng)教學網(wǎng)絡終端設備往往與物理位置緊耦合。教學管理老師根據(jù)地理位置、樓棟，劃分若干個網(wǎng)段，終端基本不能大范圍移動；如果要移動，所有配置均要重新配置。

基于應用的教學網(wǎng)方案說明

為了解決上述問題，中國石油大學(華東)教學網(wǎng)采用了基于應用的架構(gòu)，具體如下：

學校的教學網(wǎng)絡由核心、匯聚（多匯聚）、接入三層（接入設備可以多層）設備組成，外部搭配SDN控制器。如圖1所示。

匯聚和核心設備之間構(gòu)建overlay網(wǎng)絡，構(gòu)建一個無狀態(tài)網(wǎng)絡，同時采用分布式L3網(wǎng)關(guān)并通過可靠的機制有效地抑制廣播風暴，接入層設備采用不同的VLAN進行接入位置的標識，通過TRUNK的方式上行到匯聚層，匯聚層完成VLAN到VXLAN的映射。

圖1 網(wǎng)絡拓撲

策略管理上采用了面向用戶的分組模式，將屬性或者訪問權(quán)限相近的用戶分到一個用戶組中，同時也將服務器側(cè)的資源劃分到相應的用戶組進行統(tǒng)一管理。策略定義時，基于矩陣表格的方式簡單直觀。具體策略的定義可簡單可復雜，以實現(xiàn)各種高級復雜的策略控制功能。

支持用戶終端在整個生命周期中用戶和IP一對一的需求（如基于安全性需要可與端口進行綁定），終端不管移動到哪里，可以做到終端始終獲取唯一固定的IP，簡化后期的運維。

整網(wǎng)的核心是SDN控制器組件。所有對網(wǎng)絡的自動化上線、接入管理、用戶組/策略管理、業(yè)務配置管理、網(wǎng)絡運維管理全部在SDN控制器上通過直觀的圖形化界面完成。SDN控制器將管理員的操作在后臺轉(zhuǎn)化為網(wǎng)絡設備的具體命令下發(fā)給設備執(zhí)行。

基于應用的教學網(wǎng)方案價值

基于應用的教學網(wǎng)最大的兩個特征是柔性網(wǎng)絡和軟件定義。

1.柔性網(wǎng)絡

柔性一方面指網(wǎng)絡架構(gòu)本身非常靈活，業(yè)務部署（應用/終端）可以做到與位置無關(guān)；另一方面指徹底改變傳統(tǒng)網(wǎng)絡通道就緒，終端和人根據(jù)位置匹配通道的模式，將人和應用作為中心，所有網(wǎng)絡的資源跟隨人和應用移動。

（1） 無狀態(tài)網(wǎng)絡

無狀態(tài)網(wǎng)絡的核心是位址分離；傳統(tǒng)的網(wǎng)絡，IP地址即是終端的標識，同時也是終端位置的標識，因為IP確定意味著它必須位于某個三層網(wǎng)關(guān)所在的位置。網(wǎng)絡中采用“位址分離”的方案，位指位置，址指IP地址，位址分離就是IP地址與位置解耦，讓IP地址可以在任意位置接入，無需改變網(wǎng)絡的配置。

（2） 用戶策略隨行

名址綁定，名址綁定就是用戶和IP地址一一對應；傳統(tǒng)網(wǎng)絡用戶名和IP地址是難以做到綁定的，DHCP的方式并不能保證單用戶每次獲取相同的IP，靜態(tài)地址分配的方式又不能保障用戶在移動過程中保持相同IP能夠在不同的位置進行正常的網(wǎng)絡連接；無狀態(tài)網(wǎng)絡本身提供了IP任意位置訪問的能力，再配合名址綁定實現(xiàn)用戶位置發(fā)生了變化， IP地址段也沒有變，甚至IP地址沒有變，針對IP的策略也沒有變，而這種針對IP的策略其實就是針對用戶的策略，最終實現(xiàn)了用戶的策略隨行。

除了用戶和IP綁定，在某些場合可能不需要做非常強的捆綁，這時可以提供業(yè)務和IP網(wǎng)段的綁定，或者用戶組和IP網(wǎng)段的綁定，比如：視頻監(jiān)控終端盡管分布在全網(wǎng)任意位置，但可以將其IP全部分配在某一個網(wǎng)段之內(nèi)；也可以將其分配在同一個網(wǎng)段內(nèi)；最終實現(xiàn)通過IP段標識用戶組或業(yè)務組。

（3） 網(wǎng)隨人動

將人和應用作為核心，所有網(wǎng)絡的資源跟隨人和應用移動，用戶在哪里接入、資源就下發(fā)到哪里，真正體現(xiàn)柔性網(wǎng)絡的網(wǎng)隨人動的特點。

（4） 網(wǎng)絡虛擬通道隔離

整網(wǎng)采用overlay的技術(shù)，天然具備跨廣域網(wǎng)的通道隔離能力，相比MPLS的隔離方式，VXLAN的隔離只需要在端點（VTEP）做隔離，不需要全網(wǎng)隔離，端點之間只需要IP互通即可。

（5） 彈性擴展，擴容無憂

使用標準的EVPN協(xié)議（RFC 7348 +draft-sd-l2vnp-evpn-overlay，RFC7209，RFC7432）作為VXLAN的控制平面構(gòu)建了分布式網(wǎng)關(guān)的組網(wǎng)模型，解決了VXLAN 依賴于數(shù)據(jù)平面的flood-and-learn學習遠端地址信息所帶來的BUM 報文廣播問題；避免了采用集中式網(wǎng)關(guān)組網(wǎng)模型下，全網(wǎng)的規(guī)模受限于核心層網(wǎng)關(guān)單臺設備的標箱規(guī)格的局限；使得教學網(wǎng)內(nèi)的流量可以按照最優(yōu)的路徑進行轉(zhuǎn)發(fā)，避免了繞行及對核心設備的沖擊；同時借助EVPN協(xié)議完成，校園網(wǎng)絡的初始化配置，避免了過多的人為手工配置，是自動化部署的技術(shù)基礎。正因如上的諸多好處，使得EVPN成為校園網(wǎng)的控制平面首選。采用了EVPN 的校園網(wǎng)絡的規(guī)模可以進一步擴展， 滿足網(wǎng)絡規(guī)模的不斷發(fā)展。

2.軟件定義

軟件定義：主要是通過SDN的思想，將網(wǎng)絡控制平臺集中，實現(xiàn)網(wǎng)絡運維極簡，真正將網(wǎng)管人員從低價值勞動中解放出來，具體有以下幾個亮點：

（1） 設備自動部署

設備開箱，上電后自動加載版本，加載配置，網(wǎng)管人員零干預啟動。自動部署的核心是因為基于應用的網(wǎng)絡將整網(wǎng)的接入設備配置完全整合變成一份完全相同的配置文件，同時匯聚層設備也進行整合，變成一份相同的配置。這大大簡化預配置文件編寫的復雜度， 使得各層次設備配置模板化，自動部署的成本和難度大大降低，同時也避免了人為誤操作的風險，使得自動部署從理論變成現(xiàn)實。

（2） 網(wǎng)絡一鍵啟動

通過控制器上的圖形化的界面來完成用戶、用戶組相關(guān)的網(wǎng)絡資源的定義；以及網(wǎng)絡用戶組之間的網(wǎng)絡權(quán)限的定義。其中對于用戶的定義不僅僅包括傳統(tǒng)意義上的用戶，還包括物聯(lián)網(wǎng)終端的定義。

（3） 可視化運維

管理員可以通過可視化的界面對網(wǎng)絡進行配置，而不需要太多的網(wǎng)絡知識。

圍繞基于下一代互聯(lián)網(wǎng)的研究，中國石油大學首先是組建聯(lián)合實驗室。借新一代校園網(wǎng)絡改造的機會，學校和相關(guān)的公司合作成立SDN聯(lián)合實驗室，啟動下一代互聯(lián)網(wǎng)技術(shù)的研究；同時在校內(nèi)，網(wǎng)絡中心又與計算機與通訊工程學院合作，共同組建實驗室，利用計通學院教師和學生的優(yōu)勢，并形成了計通學院專業(yè)教師、網(wǎng)絡中心工程人員以及研究生、本科生的優(yōu)秀團隊。聯(lián)合實驗室結(jié)合實際提出研究課題。在2015、2016年連續(xù)兩屆全國SDN大賽中取得良好成績。

（作者單位為中國石油大學）