基于SDN的中小學校園網(wǎng)建設

梁彩隆 余敏 韋旻

摘 要：為解決傳統(tǒng)校園網(wǎng)結(jié)構(gòu)僵化以及業(yè)務復雜場景多樣的問題，在校園網(wǎng)建設中引入SDN理念，實現(xiàn)按需定義網(wǎng)絡，將一個物理網(wǎng)絡虛擬化成多個邏輯網(wǎng)絡并與各個業(yè)務網(wǎng)絡一一對應；同時，利用VXLAN技術(shù)將用戶IP與物理地址解耦，實現(xiàn)基于角色分配IP并策略跟隨。通過SDN校園網(wǎng)的實施，實現(xiàn)了多網(wǎng)自定義以及共存合一、網(wǎng)絡設備自動化上線，使校園網(wǎng)絡更加便捷、自動化。

關(guān)鍵詞：SDN（軟件定義網(wǎng)絡）；網(wǎng)絡虛擬化；多網(wǎng)共存

一、引言

信息化建設已進入一個新的時期，網(wǎng)絡規(guī)模更大、承擔的任務更多、業(yè)務更加豐富，這些對傳統(tǒng)的網(wǎng)絡運維提出了更高的要求。我區(qū)面臨越來越多的老校園網(wǎng)改造和新校園網(wǎng)建設，如何在校園網(wǎng)建設中避免走以往的老路，建設起點過低、網(wǎng)絡管理落后、難以適應新業(yè)務的需求，特別是對于全新的校園網(wǎng)建設，如何在一張白紙上畫好藍圖，如何整合利用各種新的技術(shù)和手段來構(gòu)建一個更加安全、可靠、高效、靈活的校園網(wǎng)成為一個新的課題。

軟件定義網(wǎng)絡（Software Defined Network，SDN），是由美國斯坦福大學Clean Slate研究組提出的一種新型網(wǎng)絡創(chuàng)新架構(gòu)，其核心技術(shù)OpenFlow通過將網(wǎng)絡設備控制面與數(shù)據(jù)面分離開來，從而實現(xiàn)了網(wǎng)絡流量的靈活控制，為核心網(wǎng)絡及應用的創(chuàng)新提供了良好的平臺。

人大附中豐臺學校校園網(wǎng)建設正是在這樣的背景下展開的，該校校園網(wǎng)建設業(yè)務需求復雜、應用場景多樣，不僅涵蓋小學、中學部，按功能區(qū)還包含教學區(qū)、辦公區(qū)、公共區(qū)、宿舍區(qū)。業(yè)務需求包括辦公教學需要的有線、無線、IP電話、IPTV、IP廣播、多媒體大屏、電子班牌、計算機教室等。校園網(wǎng)建設不僅需要按時高質(zhì)量交付以滿足招生和教學管理的基本需要，同時需要體現(xiàn)一定的技術(shù)領(lǐng)先性。我們在項目中引入SDN理念，為網(wǎng)絡硬件設備提供抽象虛擬化的能力，實現(xiàn)按需定義網(wǎng)絡，將一個物理網(wǎng)絡虛擬化成多個邏輯網(wǎng)絡并與各個業(yè)務網(wǎng)絡一一對應，使眾多業(yè)務多網(wǎng)合一；同時利用VXLAN技術(shù)將用戶IP與物理地址解耦，做到底層設備自動下發(fā)相同配置的情況下用戶在任何位置IP地址不變，訪問權(quán)限不變，便于設備運維和用戶審計。

二、傳統(tǒng)校園網(wǎng)建設存在的問題

校園網(wǎng)業(yè)務復雜場景多樣，若按照傳統(tǒng)網(wǎng)絡方案進行部署會出現(xiàn)以下幾方面問題。

1. 無法滿足校園跨區(qū)域移動性需求

目前，校園移動化特征增強，用戶上網(wǎng)位置不確定性增加，校園跨區(qū)域移動性需求增加。例如，教師從辦公區(qū)移動到教學區(qū)，需要共享PPT和其他資源，相關(guān)的權(quán)限需要繼續(xù)保持；教師從教學區(qū)移動到宿舍區(qū)，宿舍區(qū)要有相同的權(quán)限訪問辦公區(qū)訪問的資源。而傳統(tǒng)網(wǎng)絡劃分L3網(wǎng)段時往往與位置緊密關(guān)聯(lián)。一個學校要根據(jù)不同的樓層或樓棟劃分不同L3網(wǎng)段，這種模式下要想實現(xiàn)師生移動非常困難，如教師跨區(qū)域教學、工位搬遷等。要想獲得同樣的權(quán)限，必須要適應網(wǎng)絡架構(gòu)，在接入交換機對應不同IP寫很多ACL，難以成型或者IT人員在進行網(wǎng)絡配置調(diào)整的時候代價過大，用戶體驗不佳。

2. 用戶審計不靈活

傳統(tǒng)網(wǎng)絡狀態(tài)下，如果用戶移動，IP地址會發(fā)生變化，當審計的時候，由于用戶的IP地址不停變化，需要結(jié)合不同時間段內(nèi)用戶的IP地址情況綜合查詢，查詢雖然可以實現(xiàn)，但是達不到單獨審計IP的效果。

3. 業(yè)務專網(wǎng)重復投資建設

當下校園各類業(yè)務應用增多，多業(yè)務專網(wǎng)需求增加，對專用網(wǎng)絡安全的隔離提出了更高的要求。

4. 設備人工上線運維效率低

校園網(wǎng)設備數(shù)量龐大，傳統(tǒng)的人工手動上線模式工作量大、效率低，容易出錯，校園網(wǎng)本身運維成本提高，IT管理員投入大量時間關(guān)注基礎運維。巨大的網(wǎng)絡運維工作量，導致網(wǎng)管人員80%～90%的時間都陷在網(wǎng)絡運維的泥潭里不能自拔，極其缺乏創(chuàng)新時間。

三、校園網(wǎng)建設的新思路

目前，校園網(wǎng)承載的業(yè)務越來越多，使用的用戶、終端也越來越多，校園網(wǎng)絡所面臨的問題越來越復雜。當問題復雜度增長到一定程度時，人們往往會將復雜的問題分解成幾個復雜度較低的問題。根據(jù)該學校實際業(yè)務需求，經(jīng)過我們多方多維度的調(diào)研，最終決定在傳統(tǒng)校園網(wǎng)絡中通過引入一系列新網(wǎng)絡技術(shù)，如SDN、Overlay、NFV等技術(shù)，將越來越復雜的校園網(wǎng)絡邏輯上分解成不同業(yè)務、不同用戶群體的虛擬網(wǎng)絡，從而降低業(yè)務、用戶群體的管理復雜度，提升用戶體驗。

SDN是網(wǎng)絡虛擬化的一種實現(xiàn)方式，SDN所做的事是將網(wǎng)絡設備上的控制權(quán)分離出來，由集中的控制器管理，無須依賴底層網(wǎng)絡設備（路由器、交換機、防火墻），屏蔽了來自底層網(wǎng)絡設備的差異。而控制權(quán)是完全開放的，用戶可以根據(jù)應用需求，自定義任何想實現(xiàn)的網(wǎng)絡路由和傳輸規(guī)則策略，從而更加靈活和智能。同時基于VXLAN技術(shù)構(gòu)成的Overlay大二層網(wǎng)絡，可以滿足用戶在整個校園內(nèi)的自由移動而不用改變?nèi)魏闻渲茫瑫r也不會影響其二層流量（以太網(wǎng)幀、ARP交互）。而NFV（Network Function Virtualization，網(wǎng)絡功能虛擬化）則是為了應對網(wǎng)絡虛擬化之后隨之提高的網(wǎng)絡安全性要求，保證SDN校園網(wǎng)的安全平穩(wěn)運行。

結(jié)合各種新技術(shù)，經(jīng)過多次探討和驗證，我們采用了SDN校園網(wǎng)的解決方案。按照我們上面所描述的分層解決復雜問題的思路，我們將傳統(tǒng)的園區(qū)網(wǎng)絡劃分為四層，從下到上分別為傳統(tǒng)物理網(wǎng)絡層、根本業(yè)務與用戶群組劃分的按需定義的虛擬網(wǎng)絡層、集中的園區(qū)控制層（SDN控制器）以及最上層的校園業(yè)務層。

本次校園網(wǎng)的建設分為四層架構(gòu)進行規(guī)劃，整網(wǎng)由接入、匯聚、核心三層設備組成，外部搭配重要的園區(qū)SDN控制器。

接入到匯聚使用VLAN進行聯(lián)通，在匯聚層設備上，不同VLAN映射到不同VXLAN進行隔離，同時匯聚和核心設備之間運行VXLAN構(gòu)建Overlay網(wǎng)絡，構(gòu)建一個邏輯上的大二層網(wǎng)絡，同時采用分布式L3網(wǎng)關(guān)并通過可靠的機制有效地抑制廣播風暴。

策略管理上則采用面向業(yè)務的分組模式，將屬性或者訪問權(quán)限相近的用戶分到一個分組中，同時也將服務器側(cè)的資源劃分到分組進行統(tǒng)一管理。策略定義時，基于圖形化矩陣表格的方式簡單直觀。具體策略可調(diào)控性較大，從而實現(xiàn)各種高級復雜的策略控制功能。

SDN校園網(wǎng)的控制平面采用EVPN（Ethernet VPN）技術(shù)，通過BGP協(xié)議來實現(xiàn)校園內(nèi)用戶終端的ARP、MAC信息的扁平化同步擴散；同時在匯聚層設備支持ARP代答機制，有效抑制ARP廣播；整個網(wǎng)絡具備VRF支持能力，具有完善的端到端VPN隔離能力，可以達到MPLS的隔離效果。

SDN校園網(wǎng)的轉(zhuǎn)發(fā)平面采用了基于VXLAN的Overlay轉(zhuǎn)發(fā)（隧道轉(zhuǎn)發(fā)）本質(zhì)上是一種mac over UDP的封裝和轉(zhuǎn)發(fā)方式，封裝和解封裝節(jié)點成為VTEP（Virtual Tunnel End Point，虛擬隧道端點，本項目中為支持VXLAN的匯聚交換機），這些節(jié)點完成普通報文到VXLAN的封裝（上行）和解封裝（下行），報文封裝之后，外層轉(zhuǎn)發(fā)是一個標準的IP尋址轉(zhuǎn)發(fā)技術(shù)，容易為熟悉IP的人們理解和掌握。

SDN相比傳統(tǒng)網(wǎng)絡有了革命性的變化，不再是原有體系結(jié)構(gòu)的修補和提升，而是從根本上改變了網(wǎng)絡。SDN將傳統(tǒng)網(wǎng)絡設備的控制功能從網(wǎng)絡設備的“盒子”里提取出來進行集中控制，并向上層的業(yè)務系統(tǒng)（應用系統(tǒng)）開放接口，可以由上層應用系統(tǒng)直接調(diào)度網(wǎng)絡資源，創(chuàng)造了真正能“隨業(yè)務需求而動”的自定義式網(wǎng)絡。

在校園網(wǎng)絡建設中可引入SDN技術(shù)，通過構(gòu)建基于VXLAN的新一代的柔性校園網(wǎng)，配合相關(guān)理念，顛覆傳統(tǒng)的校園網(wǎng)“人適應網(wǎng)”的現(xiàn)狀，實現(xiàn)整個校園網(wǎng)范圍內(nèi)的“網(wǎng)隨人動”的效果。在不需要做任何網(wǎng)絡配置調(diào)整，增加運維成本的基礎上，讓人和終端可以在整個校園內(nèi)任意角落移動，保持用戶和終端始終處于既定的隔離網(wǎng)絡、延續(xù)既定的網(wǎng)絡策略，從而大大降低校園網(wǎng)的運維復雜度，滿足校園網(wǎng)絡移動化的新需求。

四、SDN校園網(wǎng)方案亮點及技術(shù)實現(xiàn)

1. 位置與IP地址解耦，基于角色分配IP

傳統(tǒng)網(wǎng)絡基于二三層技術(shù)，終端接入網(wǎng)絡受預分配IP地址限制，其設計理念就是和位置緊耦合，無法靈活地實現(xiàn)教師的移動辦公，IP地址只提供技術(shù)上的路由連通性功能。辦公區(qū)與宿舍區(qū)的位置不同，預先分配的IP就不同。因為師生移動往往要跨越不同L3網(wǎng)段，IP地址必須進行更換，往往會喪失原先的權(quán)限，體驗感很差。

SDN校園網(wǎng)采用創(chuàng)新的網(wǎng)絡架構(gòu)，改變以往基于位置的IP分配方式，用基于角色的IP分配方式，做到網(wǎng)絡無狀態(tài)，接入無差別，IP地址與位置解耦，不管師生移動到哪里，IP地址都能隨身攜帶。IP地址不只承擔路由連通性的技術(shù)功能，還具有身份和業(yè)務的標識功能。在SDN校園網(wǎng)架構(gòu)下，IP地址完全可以做到與位置解耦，真正實現(xiàn)IP即用戶、網(wǎng)段即業(yè)務的效果，審計更簡單。

2. 策略隨位置移動并實時跟隨

在用戶移動的過程中，如何保證策略隨行、體驗不變是用戶最希望追求的效果。要實現(xiàn)策略隨行，都需要對用戶進行分組，傳統(tǒng)的分組方式與地理位置緊耦合，同一個用戶組位于一個辦公區(qū)，一個樓層后者一個大樓之內(nèi)，很難跨越地理的局限。用戶一旦移動，策略實施就非常復雜，想達到策略跟隨或者體驗一致非常困難。

在SDN校園網(wǎng)架構(gòu)下，用戶分組完全打破地理位置的壁壘，可以跨越整個校園網(wǎng)。除了用戶分組之外，策略的定義、動態(tài)跟蹤也是策略隨行的重要內(nèi)容。在SDN校園網(wǎng)架構(gòu)中，用戶分組和IP網(wǎng)段嚴格對應。用戶未入網(wǎng)，整個網(wǎng)絡的策略控制內(nèi)容已經(jīng)完整清晰地確定下來。

不需要使用NP，因為我們網(wǎng)段即用戶組，組間策略就是網(wǎng)段到網(wǎng)段的ACL，現(xiàn)有的任何ASIC芯片都支持此功能。不需要維護IP到組的對應關(guān)系，組間策略只需要一條ACL即可搞定，極大降低了對設備的ACL需求，不需要防火墻來輔助，不需要查詢機制，一切從簡，組網(wǎng)成本下降。

以下是IP綁定、策略隨行的具體實現(xiàn)步驟。

第一步：管理員定義分組，包括用戶組和資源組，組別的劃分完全打破位置的壁壘和限制，做到和位置解耦，只需從業(yè)務角度進行考慮即可。

第二步：給每個分組分派一組固定的網(wǎng)絡資源（VlAN/VXlAN/VRF/IP網(wǎng)段），其中的VlAN ID作為RADIUS下發(fā)的參數(shù)，由AAA服務器保存，網(wǎng)段信息則通過控制器配置作為DHCP Server的不同作用域或地址池。

第三步：定義組間策略，集中式策略管理，矩陣式表格，一目了然，清晰直觀。策略可以是簡單的Permit/Deny，也可以是復雜的針對應用層端口號的策略，還可以是高級的防火墻策略。比傳統(tǒng)方式簡化的就是全部都轉(zhuǎn)換為簡單的網(wǎng)段到網(wǎng)段的ACL。

第四步：使用SDN校園網(wǎng)的SDN控制器將矩陣表格顯示的組間策略轉(zhuǎn)化為ACL下發(fā)到指定的策略執(zhí)行點（所有的匯聚層交換機）；一鍵下發(fā)，實時生效。

第五步：用戶上線時根據(jù)5W1H進入相應的用戶分組，分配IP。AAA服務器根據(jù)接入場景，匹配到一個分組，然后將該分組對應的VlAN ID通過RADIUS報文下發(fā)給NAS設備，NAS將接入端口動態(tài)加入該VlAN ID；用戶動態(tài)申請地址，獲得對應網(wǎng)段內(nèi)的地址，用戶的業(yè)務流將匹配矩陣表格定義的策略，獲得相應的訪問權(quán)限。

第六步：當終端通過DHCP獲取到IP地址以后，將此IP地址上報控制器，控制器再綁定到DHCP Server上，成為永久的靜態(tài)表項，確保用戶每次申請地址，永遠獲得相同的IP地址。當用戶移動時，由于接入場景沒有變化，AAA服務器依舊匹配到相同的分組，下發(fā)相同的VLAN ID，終端在相同VLAN內(nèi)申請地址，依舊獲得同一個地址池的地址。用戶移動后，5W1H條件若沒有發(fā)生變化，用戶仍然會進入相同的分組并獲取綁定的固定IP，訪問權(quán)限不變，真正實現(xiàn)體驗跟隨。同時在后期全網(wǎng)實名制之后，溯源審計也更加精確便捷。

3. 自動化

自動化是所有網(wǎng)管追求的終極目標，就是不用網(wǎng)管人員任何操作，網(wǎng)絡自己就把自己配置好，把自己管理好。因此，應盡量增加網(wǎng)絡自我配置的部分，減少網(wǎng)管人員參與配置的部分。我們這里的自動化主要指設備自動化開局和業(yè)務自動化上線的功能。

傳統(tǒng)的網(wǎng)絡開局一般都是手工的，需要網(wǎng)絡維護人員一臺一臺地上電、更新版本、寫配置、組網(wǎng)、調(diào)試、運行，工作辛苦冗長且容易出錯，網(wǎng)絡開局上線的時間較長。

在新的SDN校園網(wǎng)網(wǎng)絡中，自動化上線由于采用了新的網(wǎng)絡架構(gòu)得到了極大的簡化。

（1）設備自動化上線流程

第一步：配置自動化參數(shù)。管理員在控制器的“園區(qū)規(guī)劃”中配置IP地址池，設備自動化IP地址段（即VlAN1的網(wǎng)段），設備管理與控制IP地址段（即VlAN/VXlAN 4094的網(wǎng)段），Underlay IP地址段（即Spine/Leaf設備loopback接口地址段），之后指定Master Spine，設定Spine/Leaf之間三層接口使用的VLAN范圍，配置設備的Local-user/Password。控制器根據(jù)以上信息生成各角色的動態(tài)配置模板，并自動設置DHCP Server。

第二步：設定設備位置、角色。先掃描錄入設備序列號，然后在控制器上給設備設置位置標簽、角色，生成“設備標簽角色文件”，之后在設備上標注安裝位置，最后設備安裝。

第三步：設備安裝上電、連線。

第四步：設備自動化上線。通過DHCP獲取IP地址及控制器地址，從控制器下載“設備標簽角色文件”，配置位置標簽，根據(jù)角色獲取配置文件模板。然后自動鄰居發(fā)現(xiàn)， 配置鏈路類型，自動配置Underlay路由、使能EVPN，自動獲取管理IP地址、配置納管參數(shù)。最后控制器納管設備，自動加入設備組，接口組控制器自動為Access配置下行接口的pvid。

（2）業(yè)務部署自動化流程

第一步：基于角色的資源分配。私網(wǎng)（隔離域/VPN）、二層網(wǎng)絡域（VXLAN、IP網(wǎng)段）等。

第二步：矩陣式的策略定義。通過控制器策略定義矩陣，直觀定義各用戶組之間；用戶組與資源服務器之間；以及用戶組與外網(wǎng)的訪問權(quán)限。

（3）設備故障替換自動化

傳統(tǒng)網(wǎng)絡設備故障替換，配置的恢復一般依賴于網(wǎng)管系統(tǒng)的日常備份，如果備份丟失，或者未及時備份，或者替換設備型號不一致，都需要管理員手動配置恢復，回顧整網(wǎng)地址分配、權(quán)限定義等大量網(wǎng)絡參數(shù)，業(yè)務恢復周期長。

應用驅(qū)動園區(qū)提供的設備故障替換自動化，無須設備配置備份、無須回顧網(wǎng)絡參數(shù)，新設備自動化上線后，控制器自動完成全部配置的恢復，即使面對不同型號設備替換的情況下仍舊可以做到一鍵下發(fā)，讓運維人員從煩瑣的故障恢復工作中解脫出來。

五、SDN校園網(wǎng)運行效果總結(jié)

如今新的校園網(wǎng)已經(jīng)建成并且投入運營，對校園日常工作起到了重要的支撐作用。經(jīng)過一段時間的穩(wěn)定運營，我們有以下體會。

首先，網(wǎng)絡的表現(xiàn)符合之前的預期，達到了設計要求，基于SDN和VXlAN技術(shù)，可在物理網(wǎng)絡之上輕松自定義虛擬網(wǎng)絡，實現(xiàn)了包括有線、無線、監(jiān)控、數(shù)字廣播、IP電話在內(nèi)的多網(wǎng)共存合一的目標。

其次，基于VXlAN架構(gòu)，通過SDN控制器實現(xiàn)了基于角色分配IP并策略跟隨，真正做到“網(wǎng)隨人動”，全校師生對全網(wǎng)的體驗感有了質(zhì)的變化和提升。

再次，基于SDN技術(shù)，通過SDN控制器實現(xiàn)業(yè)務自動化上線，利用VXlAN技術(shù)創(chuàng)建虛擬專網(wǎng)，快速開展IP廣播、IP監(jiān)控等業(yè)務，借助準入機制，保障專網(wǎng)安全性。同時，創(chuàng)新的架構(gòu)模型使整個網(wǎng)絡設備角色精簡至三種，通過SDN控制器定義分發(fā)配置，真正實現(xiàn)設備自動化上線，節(jié)省80%以上的設備上線時間。

最后，基于角色的IP地址分配方式，實現(xiàn)所見即所得的狀態(tài)，即見IP地址即見用戶，達到審計回溯時單獨審計IP的效果，保證網(wǎng)絡安全。

總之，SDN校園網(wǎng)更先進、更開放、更便捷、更自動化，為教育行業(yè)信息化建設提供新的范本。

參考文獻：

[1]陳偉東.SDN軟件定義網(wǎng)絡技術(shù)發(fā)展研究[J].電腦編程技巧與維護，2015 （23）.

[2]孔慶偉.基于SDN的高校校園網(wǎng)設計及應用研究[J].山東社會科學，2015 （S2）.

[3]劉婉.SDN網(wǎng)絡技術(shù)的安全架構(gòu)分析[J].數(shù)碼世界，2016 （12）.

[4]鄭鐘楊.高校SDN網(wǎng)絡應用創(chuàng)新的探討解析[J].網(wǎng)絡安全技術(shù)與應用，2017 （8）.