基于SDN架構(gòu)的智慧校園網(wǎng)建設(shè)應(yīng)用與實(shí)踐

李書(shū)欽 史運(yùn)濤 馬時(shí)來(lái)

摘要：針對(duì)高校網(wǎng)絡(luò)建設(shè)現(xiàn)狀及網(wǎng)絡(luò)運(yùn)維中存在的問(wèn)題，基于SDN（Software Defined Network）網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)了網(wǎng)絡(luò)可視化配置、自動(dòng)化部署、智能化運(yùn)維和基于用戶的策略配置等目標(biāo)。以北方工業(yè)大學(xué)智慧校園網(wǎng)建設(shè)的具體實(shí)踐為例，重點(diǎn)論述了SDN基本原理，SDN網(wǎng)絡(luò)總體框架、建設(shè)方案和應(yīng)用實(shí)踐，為其他高校的智慧校園網(wǎng)建設(shè)提供參考。

關(guān)鍵詞：SDN；智慧校園網(wǎng)；校園無(wú)線

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）07-0050-03

Abstract：In view of the current situation of university network construction and the problems existing in network operation and maintenance， based on the SDN network architecture， the goals of network visualization configuration， automatic deployment， intelligent operation and user-based strategy configuration were realized. Taking the concrete practice of the intelligent campus network construction of North China University of Technology as an example， the basic principle of SDN， the overall framework of SDN network， construction scheme and application practice were emphatically discussed， which will provide reference for the construction of intelligent campus network of other universities.

Key words：SDN； wisdom campus network； campus wireless

隨著學(xué)校信息化程度不斷提高，校園網(wǎng)早已成為校園里不可缺少的基礎(chǔ)設(shè)施，在學(xué)校網(wǎng)絡(luò)建設(shè)和運(yùn)維管理工作中，不斷涌現(xiàn)出新的挑戰(zhàn)，比如：分散的網(wǎng)絡(luò)架構(gòu)、分散的網(wǎng)絡(luò)規(guī)劃、分散的安全策略、越來(lái)越困難的網(wǎng)絡(luò)擴(kuò)展等等[1]。隨著不斷增加的用戶和客戶端類型、不斷增加的VLAN和IP子網(wǎng)，數(shù)量眾多的多個(gè)專網(wǎng)（節(jié)能環(huán)控專網(wǎng)、視頻監(jiān)控專網(wǎng)、一卡通專網(wǎng)、智慧教室專網(wǎng)等），獨(dú)立的有線和無(wú)線網(wǎng)絡(luò)用戶安全策略，上述現(xiàn)象帶來(lái)了安全管理困難、管理運(yùn)維復(fù)雜、問(wèn)題解決緩慢等一系列問(wèn)題。目前，絕大多數(shù)高校的網(wǎng)絡(luò)配置和網(wǎng)絡(luò)變更依靠人工方式完成，越來(lái)越多的網(wǎng)絡(luò)故障和網(wǎng)絡(luò)違規(guī)由于人工錯(cuò)誤引起，網(wǎng)絡(luò)運(yùn)維和網(wǎng)絡(luò)故障排除方面的投入正逐年增加，傳統(tǒng)的網(wǎng)絡(luò)建設(shè)和運(yùn)維方式已無(wú)法跟上業(yè)務(wù)數(shù)字化的節(jié)奏[2]。

因此，擬采用SDN技術(shù)解決校園網(wǎng)絡(luò)建設(shè)和運(yùn)維中的一系列問(wèn)題，打造有線無(wú)線一體的智慧校園網(wǎng)，實(shí)現(xiàn)可視化配置、自動(dòng)化部署、智能化運(yùn)維和基于用戶身份的策略隨行等目標(biāo)。擬以北方工業(yè)大學(xué)校園網(wǎng)的具體實(shí)踐為例，論述SDN校園網(wǎng)絡(luò)建設(shè)的實(shí)踐經(jīng)驗(yàn)及取得的成效。

1 網(wǎng)絡(luò)建設(shè)現(xiàn)狀

北方工業(yè)大學(xué)校園網(wǎng)承載著學(xué)校網(wǎng)絡(luò)教學(xué)平臺(tái)和教學(xué)資源共享平臺(tái)以及教務(wù)、圖書(shū)、財(cái)務(wù)、校務(wù)辦公信息等十多個(gè)教學(xué)、科研管理信息系統(tǒng)，并擁有學(xué)校和學(xué)校各院系、部處的數(shù)十個(gè)網(wǎng)站，成為學(xué)校教學(xué)、科研和管理的重要基礎(chǔ)設(shè)施[3]。校園網(wǎng)為全校師生員工提供網(wǎng)絡(luò)教學(xué)、資源共享服務(wù)及DNS、E-mail、WWW、FTP等互聯(lián)網(wǎng)服務(wù)，為學(xué)校教育信息化進(jìn)程提供了有力支持[4]。

從1997年開(kāi)始，學(xué)校分階段進(jìn)行了校園網(wǎng)的規(guī)劃與實(shí)施，目前有線網(wǎng)絡(luò)已實(shí)現(xiàn)教學(xué)樓，辦公樓、學(xué)生宿舍樓100%覆蓋，校內(nèi)主要樓宇間主干網(wǎng)絡(luò)實(shí)現(xiàn)萬(wàn)兆互聯(lián)，千兆至桌面， 共有10500個(gè)有線信息點(diǎn)，學(xué)校網(wǎng)絡(luò)實(shí)現(xiàn)了IPV4與IPV6的雙棧運(yùn)行。校園網(wǎng)擁有中國(guó)電信、中國(guó)教育科研網(wǎng)、北京教育信息網(wǎng)3個(gè)網(wǎng)絡(luò)出口，總帶寬達(dá)到3.5G。學(xué)校無(wú)線網(wǎng)絡(luò)服務(wù)于全校學(xué)生和教職工，約15000余人，截至2018年10月，共部署無(wú)線AP點(diǎn)位4500余顆，最大同時(shí)接入終端總數(shù)達(dá)到8000個(gè)，無(wú)線網(wǎng)絡(luò)流量峰值達(dá)到3GBps。無(wú)線網(wǎng)絡(luò)采用“AC+瘦AP”組網(wǎng)模式，覆蓋了教學(xué)區(qū)、辦公區(qū)、學(xué)生宿舍區(qū)和生活區(qū)，校園網(wǎng)絡(luò)建設(shè)有力促進(jìn)了學(xué)校的教學(xué)、科研的發(fā)展，滿足了廣大師生訪問(wèn)校內(nèi)外網(wǎng)絡(luò)資源的迫切需求，為開(kāi)展智慧校園建設(shè)提供了堅(jiān)實(shí)保障。

2 SDN網(wǎng)絡(luò)設(shè)計(jì)與建設(shè)方案

2.1 SDN基本原理

軟件定義網(wǎng)絡(luò) （SDN） 旨在賦予網(wǎng)絡(luò)靈活性和敏捷性，利用SDN設(shè)計(jì)、構(gòu)建和管理網(wǎng)絡(luò)，可以實(shí)現(xiàn)控制平面和數(shù)據(jù)平面的分離，這樣就能夠直接對(duì)控制平面進(jìn)行編程，并對(duì)用于應(yīng)用和網(wǎng)絡(luò)服務(wù)的底層基礎(chǔ)設(shè)施進(jìn)行抽象化[5，6]。SDN 可提供一個(gè)可編程的集中式網(wǎng)絡(luò)，其中包含SDN控制器、南向API和北向API。其中，SDN控制器是網(wǎng)絡(luò)的核心，提供針對(duì)整個(gè)網(wǎng)絡(luò)的集中視圖，南向API可將信息轉(zhuǎn)發(fā)至網(wǎng)絡(luò)中的交換機(jī)和路由器，北向API用于實(shí)現(xiàn)應(yīng)用通信和服務(wù)部署，思科SDN網(wǎng)絡(luò)架構(gòu)如圖1所示：

2.2 SDN網(wǎng)絡(luò)建設(shè)總體框架

根據(jù)北方工業(yè)大學(xué)校園網(wǎng)“整體規(guī)劃，逐步實(shí)施”的原則，我校將統(tǒng)籌考慮學(xué)校信息化建設(shè)現(xiàn)狀及學(xué)校未來(lái)信息化發(fā)展需求，按照集約建設(shè)的思路實(shí)現(xiàn)建設(shè)與“現(xiàn)代化大學(xué)”相適應(yīng)的信息化建設(shè)水平的總體目標(biāo)，我校SDN校園網(wǎng)覆蓋校內(nèi)教學(xué)區(qū)主要樓宇：勵(lì)學(xué)樓、廣學(xué)樓、浩學(xué)樓、瀚學(xué)樓和教學(xué)實(shí)習(xí)樓，SDN網(wǎng)絡(luò)總體框架如圖2所示。

2.3 SDN網(wǎng)絡(luò)建設(shè)方案

北方工業(yè)大學(xué)的SDN網(wǎng)絡(luò)采用思科SD-Access方案，利用思科DNA Center實(shí)現(xiàn)網(wǎng)絡(luò)的可視化配置、自動(dòng)化部署和智能化網(wǎng)絡(luò)運(yùn)維，具體實(shí)現(xiàn)方式如下：

1）搭建Underlay物理網(wǎng)絡(luò)，實(shí)現(xiàn)網(wǎng)絡(luò)分層及虛擬化，Underlay網(wǎng)絡(luò)實(shí)現(xiàn)簡(jiǎn)單的三層互通，形成帶寬資源池，實(shí)現(xiàn)網(wǎng)絡(luò)的自動(dòng)化部署和橫向擴(kuò)展，該功能通過(guò)DNA Center的DESIGN和PROVISION實(shí)現(xiàn)。

2）部署SD-Access，實(shí)現(xiàn)Overlay網(wǎng)絡(luò)及虛擬專網(wǎng)，借助端到端VXLAN（VNID）技術(shù)實(shí)現(xiàn)專網(wǎng)應(yīng)用隔離，在DNA Center中通過(guò)Design創(chuàng)建樓宇和樓層，定義網(wǎng)絡(luò)中的AAA、DHCP、DNS和NTP 服務(wù)器。

3）使用Discovery APP 發(fā)現(xiàn)網(wǎng)絡(luò)中的設(shè)備，定義一個(gè)新的Discovery策略，采用IP Range的方式，優(yōu)先使用loopback 接口，當(dāng)Discovery完成后，可以看到所發(fā)現(xiàn)設(shè)備的數(shù)量、IP地址、狀態(tài)等信息。使用Inventory工具管理所發(fā)現(xiàn)的設(shè)備，當(dāng)所有設(shè)備的狀態(tài)變?yōu)镸anaged狀態(tài)時(shí)，可以對(duì)設(shè)備進(jìn)行配置下發(fā)。

4）使用Provision功能對(duì)交換機(jī)進(jìn)行配置下發(fā)，選擇所有的Switches and Hubs，點(diǎn)擊Action-Provision進(jìn)行配置下發(fā)，當(dāng)Provision Status的狀態(tài)為success時(shí)，表示設(shè)備Provision成功。使用Provision對(duì)WLC進(jìn)行配置下發(fā)，下發(fā)SSID、AAA、DNS和DHCP Server等配置信息。

5）在Overlay網(wǎng)絡(luò)虛擬多個(gè)獨(dú)立的虛擬網(wǎng)絡(luò)（VN）。在默認(rèn)情況下，相同VN內(nèi)的任何網(wǎng)絡(luò)設(shè)備或用戶彼此進(jìn)行通信，但是VN之間相互隔離。創(chuàng)建2個(gè)VN：校園網(wǎng)VN和Guest VN，其中，校園網(wǎng)VN包括：ncut_teacher， ncut_lsg， ncut_bks， ncut_yjs，用于校園網(wǎng)老師、學(xué)生使用，Guest VN包括NCUT-GUEST，用于Guest用戶使用，系統(tǒng)默認(rèn)的INFRA_VN，用于AP管理。

6）與城市熱點(diǎn)計(jì)費(fèi)認(rèn)證系統(tǒng)、思科ISE認(rèn)證系統(tǒng)對(duì)接，實(shí)現(xiàn)同一專網(wǎng)內(nèi)部終端分組及任意漫游，實(shí)現(xiàn)基于組和身份的精細(xì)化安全策略管理，降低ACL維護(hù)的巨大工作量，實(shí)現(xiàn)策略隨行，實(shí)現(xiàn)有線無(wú)線一體化及策略統(tǒng)一管理。

3 SDN網(wǎng)絡(luò)應(yīng)用與實(shí)踐

對(duì)SDN網(wǎng)絡(luò)中的WLAN信道進(jìn)行統(tǒng)一規(guī)劃，WLAN信道規(guī)劃的好壞，影響到無(wú)線網(wǎng)絡(luò)的帶寬、無(wú)線網(wǎng)絡(luò)的性能、無(wú)線網(wǎng)絡(luò)的擴(kuò)展以及無(wú)線網(wǎng)絡(luò)的抗干擾能力，也必將直接影響到廣大師生的上網(wǎng)體驗(yàn)。

3.1 SDN網(wǎng)絡(luò)SSID規(guī)劃

目前，北方工業(yè)大學(xué)SDN網(wǎng)絡(luò)廣播3個(gè)SSID：NCUT、NCUT-AUTO和NCUT-GUEST，其中，NCUT采用PORTAL認(rèn)證，NCUT-AUTO采用802.1X認(rèn)證方式，分別對(duì)應(yīng)4類用戶：教師、臨時(shí)工、本科生和研究生；NCUT-GUEST采用Portal認(rèn)證，對(duì)應(yīng)校外訪客用戶。上述三個(gè)SSID均需要AC與思科ISE、城市熱點(diǎn)計(jì)費(fèi)認(rèn)證系統(tǒng)對(duì)接，分別將ISE作為Authentication Server，將城市熱點(diǎn)Radius Server作為Accounting Server，實(shí)現(xiàn)Portal和802.1X認(rèn)證。

3.2 基于用戶身份的策略隨行和安全管理

為了實(shí)現(xiàn)基于用戶身份的策略隨性和安全管理，針對(duì)4類用戶：教師、臨時(shí)工、本科生和研究生，在城市熱點(diǎn)計(jì)費(fèi)認(rèn)證系統(tǒng)中分別建立相應(yīng)資費(fèi)組，為每一類資費(fèi)組定義相應(yīng)的fid進(jìn)行標(biāo)識(shí)。在思科ISE中，分別建立對(duì)應(yīng)的4類Policy Elements：Teacher， Lsg， Bks， Yjs，并分別將其匹配到各個(gè)SSID（NCUT、NCUT-AUTO）。將上述思科ISE中的策略同步到DNA Center，分別對(duì)應(yīng)虛擬網(wǎng)絡(luò)NCUT中的4個(gè)Group：ncut_teacher， ncut_lsg， ncut_bks， ncut_yjs。上述策略共同配合，實(shí)現(xiàn)了教師、學(xué)生、臨時(shí)用戶的策略隨行和安全管理，即同一虛擬網(wǎng)絡(luò)中的不同Group，在SDN網(wǎng)絡(luò)中的任一位置，均可以基于其用戶身份分配相應(yīng)策略，實(shí)現(xiàn)基于組和身份的精細(xì)化安全策略管理，降低了ACL維護(hù)的巨大工作量。

3.3 SDN網(wǎng)絡(luò)使用情況

我校SDN網(wǎng)絡(luò)服務(wù)于全校學(xué)生和教職工，截至2018年10月，SDN網(wǎng)絡(luò)同時(shí)最大接入終端總數(shù)超過(guò)3000個(gè)，無(wú)線網(wǎng)絡(luò)流量峰值達(dá)到1GBps。學(xué)校SDN網(wǎng)絡(luò)滿足了全校師生在各種場(chǎng)景下的用網(wǎng)需求。在教學(xué)區(qū)，師生可以在任意一間教室將自己攜帶的無(wú)線終端快速接入校園網(wǎng)，并且支持大量終端同時(shí)接入。同時(shí)，SDN的智能網(wǎng)絡(luò)運(yùn)維使得基于用戶的問(wèn)題排查更有針對(duì)性，排除網(wǎng)絡(luò)故障的速度大大提高，SDN網(wǎng)絡(luò)運(yùn)行情況見(jiàn)圖3。

4 總結(jié)

隨著高校校園網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，接入用戶數(shù)和接入終端的不斷增加，網(wǎng)絡(luò)運(yùn)維和網(wǎng)絡(luò)故障排除方面的投入正逐年增加，各高校的網(wǎng)絡(luò)運(yùn)維管理工作變得更加繁重。針對(duì)上述問(wèn)題，本研究基于SDN網(wǎng)絡(luò)架構(gòu)，研究智慧校園網(wǎng)建設(shè)的應(yīng)用與實(shí)踐，實(shí)現(xiàn)網(wǎng)絡(luò)可視化配置、自動(dòng)化部署、智能化運(yùn)維和基于用戶身份的策略隨行，在提升用戶體驗(yàn)的同時(shí)，有效減輕運(yùn)維壓力、節(jié)省網(wǎng)絡(luò)運(yùn)維成本。SDN網(wǎng)絡(luò)建設(shè)有力促進(jìn)了學(xué)校教學(xué)、科研的發(fā)展，有力提升了教育信息化和智慧校園建設(shè)水平。

參考文獻(xiàn)：

[1] 蘇群，趙宇明，徐曉新，等.校園無(wú)線網(wǎng)的建設(shè)和管理[J].工業(yè)儀表與自動(dòng)化裝置，2011（02）：83-85.

[2] 李書(shū)欽，馬時(shí)來(lái).OA協(xié)同辦公平臺(tái)在高校信息化管理中的應(yīng)用與實(shí)踐[J].現(xiàn)代計(jì)算機(jī)（專業(yè)版），2018（10）：85-88.

[3] 李四軍.高校無(wú)線網(wǎng)絡(luò)建設(shè)探討——以南京大學(xué)金陵學(xué)院為例[J].計(jì)算機(jī)時(shí)代，2018（06）：42-44+48.

[4] 李書(shū)欽，李敏，馬時(shí)來(lái).基于微信企業(yè)號(hào)的移動(dòng)教學(xué)服務(wù)平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)時(shí)代，2016（03）：25-26+30.

[5] 徐明明，唐震洲.基于802.11n標(biāo)準(zhǔn)的校園無(wú)線網(wǎng)的規(guī)劃與設(shè)計(jì)[J].電子設(shè)計(jì)工程，2011，19（11）：31-33+36.

[6] 李書(shū)欽，李琳，劉炳興.多出口網(wǎng)絡(luò)智能域名解析的設(shè)計(jì)與實(shí)現(xiàn)[J].現(xiàn)代計(jì)算機(jī)（專業(yè)版），2013（29）：55-59.

【通聯(lián)編輯：代影】