文／涂慶華 李華峰 高 靜

隨著計(jì)算機(jī)技術(shù)的創(chuàng)新發(fā)展，傳統(tǒng)的教育系統(tǒng)逐漸演變成大數(shù)據(jù)背景下的電子信息化模式，應(yīng)用涉及到校園生活的各個方面。隨著校園網(wǎng)絡(luò)硬件設(shè)備規(guī)模的逐漸擴(kuò)大，學(xué)校用戶群體的增加，網(wǎng)絡(luò)應(yīng)用的層出不窮，硬件設(shè)施設(shè)備老化等原因，導(dǎo)致當(dāng)前高校網(wǎng)絡(luò)故障數(shù)量和類別不斷增多。[1]目前高校網(wǎng)絡(luò)的部署和運(yùn)維大量依賴人工來進(jìn)行網(wǎng)絡(luò)設(shè)備配置、數(shù)據(jù)采集分析、業(yè)務(wù)系統(tǒng)管理的操作。因此在運(yùn)維人員數(shù)量及精力有限的情況下，通過一定的方法，構(gòu)建一個自動化網(wǎng)絡(luò)運(yùn)維模型，建立起高校智慧網(wǎng)絡(luò)運(yùn)維平臺是十分必要的。

目前高校網(wǎng)絡(luò)運(yùn)維的現(xiàn)狀

高校網(wǎng)絡(luò)的建設(shè)在我國教育信息化工程的建設(shè)中占據(jù)著越來越重要的地位，高校的教學(xué)、科研以及通訊辦公等對高校網(wǎng)絡(luò)的依賴性也在日益增強(qiáng)。隨著高校網(wǎng)絡(luò)用戶的增長，以及各種網(wǎng)絡(luò)應(yīng)用系統(tǒng)的投入使用，用戶對高校網(wǎng)絡(luò)的可用性、穩(wěn)定性、安全性等方面的要求愈發(fā)提高，高校網(wǎng)絡(luò)運(yùn)維管理的工作量也隨之增加。

流量調(diào)度的現(xiàn)狀

流量調(diào)度通過對網(wǎng)絡(luò)流量的路由進(jìn)行調(diào)度，以此來升級網(wǎng)絡(luò)的承載能力并試圖讓網(wǎng)絡(luò)業(yè)務(wù)以當(dāng)前的最優(yōu)方式存在，是一種比較關(guān)鍵的機(jī)制[2]。目前高校網(wǎng)絡(luò)流量調(diào)度普遍存在以下局限性：

1.依賴物理鏈路；

2.依 賴VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）設(shè)置；

3.依賴路由協(xié)議；

4.不夠靈活，需要人工操作。每次變更時都會導(dǎo)致業(yè)務(wù)中斷，無法滿足快速和自動化變更的需求。

網(wǎng)絡(luò)運(yùn)維的現(xiàn)狀

目前高校網(wǎng)絡(luò)的運(yùn)維普遍存在以下局限性：

1.需要現(xiàn)場測試，依賴大量人力資源；

2.故障定位步驟繁瑣，需要經(jīng)驗(yàn)積累；

3.大量重復(fù)性工作。

究其原因，是由于網(wǎng)絡(luò)的互通與控制都同時實(shí)現(xiàn)于一張物理網(wǎng)絡(luò)中，“通”和“控”可能存在相互矛盾。校園網(wǎng)絡(luò)的業(yè)務(wù)功能和物理網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的緊耦合，使得網(wǎng)絡(luò)與應(yīng)用緊密相關(guān)：（1）應(yīng)用與Port/VLAN/IP 地址的耦合，意味著應(yīng)用和位置的緊密綁定，不具備移動性；（2）基于ACL（Access Control List，訪問控制列表）的應(yīng)用控制與IP 地址的耦合，意味著無法實(shí)現(xiàn)靈活的策略部署；（3）業(yè)務(wù)流量流向到網(wǎng)絡(luò)轉(zhuǎn)發(fā)路徑環(huán)環(huán)相扣；（4）業(yè)務(wù)的變更意味著基礎(chǔ)網(wǎng)絡(luò)頻繁的配置修改，反之亦然。

突破上述局限性的前提就是要實(shí)現(xiàn)應(yīng)用和網(wǎng)絡(luò)的解耦合，在物理網(wǎng)絡(luò)上層抽象出一個業(yè)務(wù)層，把網(wǎng)絡(luò)的基本轉(zhuǎn)發(fā)功能（即“通”）和對應(yīng)用的復(fù)雜控制功能（即“控”）完全分離，面向用戶和應(yīng)用進(jìn)行靈活的業(yè)務(wù)流量調(diào)度和業(yè)務(wù)邏輯控制，實(shí)現(xiàn)智慧網(wǎng)絡(luò)的智能運(yùn)維。

面向用戶和應(yīng)用的智慧網(wǎng)絡(luò)實(shí)現(xiàn)

SDN Overlay 方案簡述

Overlay 技術(shù)與SDN（Software Defined Network， 軟件定義網(wǎng)絡(luò)）技術(shù)結(jié)合而成的SDN Overlay 方案可以很好地實(shí)現(xiàn)應(yīng)用與網(wǎng)絡(luò)架構(gòu)的解耦合。Overlay 是一種網(wǎng)絡(luò)架構(gòu)上疊加的虛擬化技術(shù)模式，它可以在已有網(wǎng)絡(luò)上建立一個虛擬網(wǎng)，并具有獨(dú)立的控制和轉(zhuǎn)發(fā)平面，如圖1 所示。它的優(yōu)勢在于物理網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)性能比較高，可以支持非虛擬化的物理服務(wù)器之間的組網(wǎng)互通。而SDN 技術(shù)能實(shí)現(xiàn)對整個Overlay 網(wǎng)絡(luò)的管理和控制，具有較高的可靠性和可擴(kuò)展性。SDN Overlay 方案能支持智能化診斷、流量可視化以及自動化運(yùn)維[3][4]，相比傳統(tǒng)方案具有明顯優(yōu)勢。

面向用戶和應(yīng)用的智慧大腦

圖1 基于Overlay 的疊加網(wǎng)絡(luò)平面

通過SDN Overlay 方案將應(yīng)用與底層網(wǎng)絡(luò)解耦合，網(wǎng)絡(luò)的基本轉(zhuǎn)發(fā)功能和對應(yīng)用的控制功能就實(shí)現(xiàn)了分離。應(yīng)用的控制功能不再單純地依賴于基礎(chǔ)網(wǎng)絡(luò)元素的Port/VLAN/IP，而只與用戶、業(yè)務(wù)屬性相關(guān)，實(shí)現(xiàn)面向用戶和應(yīng)用的感知、自動化的流量調(diào)度和控制。通過人工輔助決斷、乃至今后人工智能的輸入，可以實(shí)現(xiàn)業(yè)務(wù)調(diào)度、業(yè)務(wù)控制、自動檢測、動態(tài)響應(yīng)、業(yè)務(wù)保障、系統(tǒng)聯(lián)動、主動防御、分析報告等內(nèi)容的輸出，構(gòu)建一個面向用戶和應(yīng)用的智慧大腦。

基于智慧大腦的智慧網(wǎng)絡(luò)運(yùn)維

智慧網(wǎng)絡(luò)運(yùn)維主要分為數(shù)據(jù)收集分析、事件關(guān)聯(lián)處理分析、判斷定位和自動響應(yīng)四個環(huán)節(jié)，以實(shí)現(xiàn)變手動為自動、變被動為主動的高校智慧網(wǎng)絡(luò)的智能運(yùn)維，如圖2 所示。

圖2 智慧網(wǎng)絡(luò)運(yùn)維流程

1.數(shù)據(jù)收集分析

數(shù)據(jù)來源主要是應(yīng)用系統(tǒng)監(jiān)測數(shù)據(jù)，第三方系統(tǒng)接口信息，事件觸發(fā)主動檢測，AAA（Authentication、Authorization、Accounting，驗(yàn)證、授權(quán)和記賬）、 DHCP（Dynamic Host Configuration Protocol，動態(tài)主機(jī)配置協(xié)議）、DNS（Domain Name System，域名系統(tǒng)）、Syslog 數(shù)據(jù)。經(jīng)過數(shù)據(jù)的預(yù)處理和海量數(shù)據(jù)的分析，平臺開始進(jìn)行事件關(guān)聯(lián)處理分析。

2.事件關(guān)聯(lián)處理分析

根據(jù)業(yè)務(wù)流程和應(yīng)用場景的事件關(guān)聯(lián)、基于歷史基線和預(yù)測趨勢的處理分析，可以進(jìn)入到判斷定位的環(huán)節(jié)。

3.判斷定位

經(jīng)過數(shù)據(jù)收集分析和事件關(guān)聯(lián)處理分析兩個環(huán)節(jié)，故障基本已經(jīng)可以進(jìn)行判斷定位了。此時若該場景的處理流程在模板中能找到，則發(fā)起基于該模板的處理流程，進(jìn)入自動響應(yīng)環(huán)節(jié)；若該場景需人工處理，則等待手動干預(yù)，再轉(zhuǎn)至自動響應(yīng)環(huán)節(jié)。

4.自動響應(yīng)

經(jīng)過一系列的環(huán)節(jié)，故障已經(jīng)得到定位。平臺將根據(jù)不同的場景進(jìn)行相應(yīng)的自動響應(yīng)。包括業(yè)務(wù)調(diào)度業(yè)務(wù)控制、動態(tài)響應(yīng)自動修復(fù)、業(yè)務(wù)保障自動切換、安全事件主動防御、主動檢測系統(tǒng)聯(lián)動等等。

經(jīng)過上述四個環(huán)節(jié)，就實(shí)現(xiàn)了面向用戶和應(yīng)用的智慧網(wǎng)絡(luò)運(yùn)維。該自動化網(wǎng)絡(luò)運(yùn)維模型實(shí)現(xiàn)了流量按需導(dǎo)引，靈活且具有可擴(kuò)展性，大大改進(jìn)了目前高校網(wǎng)絡(luò)運(yùn)維中存在的局限性，實(shí)現(xiàn)了面向用戶和應(yīng)用的智慧網(wǎng)絡(luò)智能運(yùn)維。

高校智慧網(wǎng)絡(luò)運(yùn)維應(yīng)用場景

智慧網(wǎng)絡(luò)運(yùn)維平臺通過實(shí)現(xiàn)對應(yīng)用和轉(zhuǎn)發(fā)的分離，以及對用戶和應(yīng)用信息的采集分析和響應(yīng)實(shí)現(xiàn)了智慧網(wǎng)絡(luò)的智能運(yùn)維，有著極為廣泛的應(yīng)用場景。其中在高校網(wǎng)絡(luò)運(yùn)維中，最為典型和常用的就是端到端業(yè)務(wù)檢測與故障報告。

1.網(wǎng)絡(luò)的自檢測：作為日常運(yùn)維檢測，可以設(shè)置每天8 點(diǎn)自動探測，以用戶的身份從末端向上探測，DNS、網(wǎng)絡(luò)是否正常。

2.網(wǎng)絡(luò)報障的快速檢測：用戶報障后，從末端到核心自動進(jìn)行檢測。

3.應(yīng)用的自檢測：作為日常檢測，可以實(shí)現(xiàn)從內(nèi)到外或從外到內(nèi)的檢測。

4.應(yīng)用報障的快速檢測：用戶報障后，從內(nèi)到外或從外到內(nèi)地進(jìn)行自動檢測。

實(shí)現(xiàn)具體方式為：一臺VM（Virtual Machine，虛擬機(jī)），滿足全網(wǎng)模擬測試的需求，自動完成每個節(jié)點(diǎn)的端到端測試，提供模擬用戶全流程的測試報告。周期性覆蓋全網(wǎng)每個節(jié)點(diǎn)、AP（Access Point，接入點(diǎn)）或者用戶VLAN 進(jìn)行檢測，如圖3 所示。

圖3 端到端業(yè)務(wù)檢測與故障報告

測試內(nèi)容包括：（1）可以設(shè)定任意區(qū)域任意用戶VLAN；（2）模擬DHCP Client（DHCP 客戶端服務(wù)）測試；（3）模擬WEB portal 認(rèn)證測試；（4）模擬校內(nèi)、校外DNS 解析測試；（5）模擬校內(nèi)應(yīng)用訪問測試；（6）模擬校外應(yīng)用訪問測試。

在用戶群體增加、應(yīng)用數(shù)量增多、設(shè)備規(guī)模擴(kuò)大的趨勢下，傳統(tǒng)的網(wǎng)絡(luò)運(yùn)維管理方法已無法高效地滿足高校信息化管理的需求。尤其是在高校智慧網(wǎng)絡(luò)建設(shè)的大背景之下，更要求轉(zhuǎn)變傳統(tǒng)模式，面向用戶和應(yīng)用，實(shí)現(xiàn)自動化的智能網(wǎng)絡(luò)運(yùn)維。本文指出了目前高校網(wǎng)絡(luò)運(yùn)維的局限性，提出了一個面向用戶和應(yīng)用的高校智慧網(wǎng)絡(luò)的自動化網(wǎng)絡(luò)運(yùn)維模型，并對其中的關(guān)鍵技術(shù)和應(yīng)用場景進(jìn)行了討論。目前，國內(nèi)關(guān)于高校網(wǎng)絡(luò)智慧化的相關(guān)研究仍處于起步階段，可供借鑒的案例有限。如何全方位地構(gòu)建一個穩(wěn)定、安全、易維護(hù)的高校智慧網(wǎng)絡(luò)已成為高校在信息化建設(shè)中的重要課題。