摘 要：傳統(tǒng)高校極簡網(wǎng)絡(luò)方案通過集中認(rèn)證的方式減少了接入?yún)R聚設(shè)備的運(yùn)維量，也解決了無線認(rèn)證性能不足的問題，但同時(shí)其也暴露出了改造周期長、SuperVLAN大二層部署下終端位置定位困難、啞終端部署復(fù)雜、無可視化管理界面等問題。軟件定義網(wǎng)絡(luò)（SDN）是一種指導(dǎo)未來網(wǎng)絡(luò)發(fā)展的新架構(gòu)，基于這種新的思想和方法論，學(xué)校打造出新一代網(wǎng)絡(luò)平臺，平臺符合開放網(wǎng)絡(luò)聯(lián)盟ONF所定義的SDN網(wǎng)絡(luò)架構(gòu)，其包含網(wǎng)絡(luò)基礎(chǔ)設(shè)施層、控制層、網(wǎng)絡(luò)應(yīng)用層，并支持設(shè)備、控制、應(yīng)用多層次開放，基于開放接口，用戶可擴(kuò)展網(wǎng)絡(luò)應(yīng)用，集成了計(jì)算/存儲/網(wǎng)絡(luò)于一體的IT平臺，充分展現(xiàn)了學(xué)校SDN平臺的平臺開放性、設(shè)備虛擬化和網(wǎng)絡(luò)智能化。

關(guān)鍵詞：教育信息化；校園網(wǎng)；軟件定義網(wǎng)絡(luò)；開放平臺

中圖分類號：TP393.18 文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2019）02-0058-03

Abstract：The traditional minimalist network scheme in colleges and universities reduces the operation and maintenance of access convergence devices by centralized authentication，and also solves the problem of insufficient performance of wireless authentication. But at the same time，it also exposes the long transformation cycle，the difficulty of terminal location under the second-tier deployment of SuperVLAN，the complexity of dumb terminal deployment，and the lack of visual management interface. The software definition network （SDN）is a new architecture to guide future network development. Based on this new idea and methodology，the school has created a new generation of network platform. The platform conforms to the SDN network architecture defined by open network alliance（ONF），which includes network infrastructure layer，control layer，network application layer，and supports devices. Control and application are multi-level and open. Based on open interfaces，users can expand network applications，integrate computing/storage/network into an IT platform，fully demonstrate the openness of SDN platform，virtualization of equipment and network intelligence.

Keywords：education informatization；campus network；SDN（software defined network）；open platform

0 引 言

傳統(tǒng)高校極簡網(wǎng)絡(luò)方案通過集中認(rèn)證的方式減少了接入?yún)R聚設(shè)備的運(yùn)維量、也解決了無線認(rèn)證性能不足的問題，但同時(shí)也暴露出了改造周期長、SuperVLAN大二層部署下終端位置定位困難、啞終端部署復(fù)雜、無可視化管理界面等問題。本文提出的SDN方案在兼容傳統(tǒng)極簡網(wǎng)絡(luò)方案的基礎(chǔ)上針對傳統(tǒng)極簡網(wǎng)絡(luò)方案遇到的問題進(jìn)行方案精進(jìn)，以期解決用戶問題，給用戶帶來更好的體驗(yàn)。

智慧校園指的是以物聯(lián)網(wǎng)為基礎(chǔ)的智慧化的校園工作、學(xué)習(xí)和生活一體化環(huán)境，這個(gè)一體化環(huán)境以各種應(yīng)用服務(wù)系統(tǒng)為載體，將教學(xué)、科研、管理和校園生活進(jìn)行充分融合。無處不在的網(wǎng)絡(luò)學(xué)習(xí)、融合創(chuàng)新的網(wǎng)絡(luò)科研、透明高效的校務(wù)治理、豐富多彩的校園文化、方便周到的校園生活。簡而言之，要做一個(gè)安全、穩(wěn)定、環(huán)保、節(jié)能的校園。

SDN既是一種指導(dǎo)未來網(wǎng)絡(luò)發(fā)展的新架構(gòu)，又是一種指導(dǎo)思想，一種方法論?；谶@種新的思想和方法論，學(xué)校打造出新一代網(wǎng)絡(luò)平臺，平臺符合開放網(wǎng)絡(luò)聯(lián)盟ONF所定義的SDN網(wǎng)絡(luò)架構(gòu)，其包含網(wǎng)絡(luò)基礎(chǔ)設(shè)施層、控制層、網(wǎng)絡(luò)應(yīng)用層，并支持設(shè)備、控制、應(yīng)用多層次開放，基于開放接口，用戶可擴(kuò)展網(wǎng)絡(luò)應(yīng)用，集成了計(jì)算/存儲/網(wǎng)絡(luò)于一體的IT平臺，充分展現(xiàn)了學(xué)校SDN平臺的開放性、設(shè)備虛擬化和網(wǎng)絡(luò)智能化。

1 解決的主要問題

平臺開放性體現(xiàn)在多層次開放上，網(wǎng)絡(luò)基礎(chǔ)設(shè)施層由SDN虛擬軟件/物理硬件交換構(gòu)成，并支持南向OpenFlow標(biāo)準(zhǔn)協(xié)議，除此之外為兼容傳統(tǒng)網(wǎng)絡(luò)部署，還支持傳統(tǒng)網(wǎng)絡(luò)的SNMP、NETCONF、TR069和Telnet等標(biāo)準(zhǔn)接口。網(wǎng)絡(luò)控制層由邏輯上集中物理上分布的控制器集群構(gòu)成，同時(shí)控制層上的所有網(wǎng)絡(luò)服務(wù)和功能都為用戶提供二次開發(fā)接口。

同時(shí)，為了提高網(wǎng)絡(luò)資源利用率，滿足網(wǎng)絡(luò)資源按需自動化分配需求，平臺支持網(wǎng)絡(luò)分片Network Slicing技術(shù)，默認(rèn)所有硬件和軟件網(wǎng)絡(luò)資源都?xì)w屬于某個(gè)網(wǎng)絡(luò)資源池。平臺還將提供豐富的網(wǎng)絡(luò)應(yīng)用APP組件，這些組件使用戶可根據(jù)應(yīng)用需求部署各種基礎(chǔ)和高級網(wǎng)絡(luò)功能?；A(chǔ)網(wǎng)絡(luò)包括L2轉(zhuǎn)發(fā)、L3轉(zhuǎn)發(fā)、DHCP地址池、安全過濾器、靜態(tài)路由。高級網(wǎng)絡(luò)功能包括一鍵完成MPLS L3 VPN配置，快速部署服務(wù)器負(fù)載均衡和整網(wǎng)鏈路負(fù)載均衡，以及業(yè)務(wù)感知QOS策略等。

在智慧校園趨勢的推動之下，高校物聯(lián)終端的數(shù)量和種類不斷增多，現(xiàn)有的高校網(wǎng)絡(luò)無法支撐其業(yè)務(wù)的高速發(fā)展，高校的網(wǎng)絡(luò)管理面臨如下問題：（1）各類終端接入后極大地增加了網(wǎng)絡(luò)中心部門的運(yùn)維量。1）針對這些終端需要進(jìn)行資產(chǎn)管理。2）需要方便快捷地將這些物聯(lián)終端連入網(wǎng)絡(luò)。3）不同終端存在不同的特性，需要支持各類終端。（2）業(yè)務(wù)系統(tǒng)、運(yùn)維管理邊界不清，產(chǎn)生扯皮，影響服務(wù)。（3）現(xiàn)有的網(wǎng)絡(luò)故障處理速度與能力不滿足多業(yè)務(wù)入網(wǎng)后的故障實(shí)時(shí)性處理要求。（4）各類業(yè)務(wù)終端入網(wǎng)給現(xiàn)有網(wǎng)絡(luò)帶來不安全及不穩(wěn)定隱患。

如上，高校迫切需要一套整體解決方案來滿足不斷增長的業(yè)務(wù)需求以及隨之而來的終端的爆發(fā)式增長。本文提出的SDN方案針對物聯(lián)終端提供了業(yè)務(wù)快速上線、安全準(zhǔn)入、業(yè)務(wù)隔離、接入傻瓜化、分級分權(quán)等解決方案，讓高校輕松應(yīng)對智慧校園的發(fā)展趨勢。

2 研究技術(shù)路線與方法

基于IPV6的SDN研究采用了以下研究方法和技術(shù)路線：

2.1 泛載一切，彈性網(wǎng)絡(luò)

在智慧校園趨勢的推動之下，高校啞終端種類和數(shù)量越來越多，平均終端類型20～30種，終端個(gè)數(shù)從幾百個(gè)到上萬個(gè)不等。這些業(yè)務(wù)終端歸屬部門不同（有財(cái)務(wù)部、保衛(wèi)科、后勤等），分布不均勻，管理方式不同，不同終端業(yè)務(wù)之間需要進(jìn)行安全隔離。在這樣的背景下，高校網(wǎng)絡(luò)中心需要為每種終端分配專用的VLAN，專用的端口，不同的安全策略，導(dǎo)致網(wǎng)絡(luò)越來越復(fù)雜，運(yùn)維難度越來越大。由于終端分布不均勻，如果將每種終端單獨(dú)組網(wǎng)，就會導(dǎo)致大量端口閑置，從而導(dǎo)致端口利用率低，組網(wǎng)成本增加。

本文設(shè)計(jì)的基于SDN方案的解決方案下，一套設(shè)備和配置支持承載所有業(yè)務(wù)，直接在控制器上創(chuàng)建一個(gè)新業(yè)務(wù)，無需更改接入設(shè)備的配置，在控制器上還可以一鍵完成新業(yè)務(wù)和舊業(yè)務(wù)的隔離，開通一個(gè)新業(yè)務(wù)的時(shí)間從2天縮短到5分鐘。

2.2 終端極速入網(wǎng)

現(xiàn)在很多業(yè)務(wù)不屬于網(wǎng)絡(luò)中心管轄，將這些業(yè)務(wù)接入到網(wǎng)絡(luò)中需要網(wǎng)絡(luò)工作人員來進(jìn)行現(xiàn)場協(xié)作處理，這樣就會造成多業(yè)務(wù)上線涉及方面較多，只要有一方或者一個(gè)環(huán)節(jié)出現(xiàn)問題，就會導(dǎo)致整個(gè)業(yè)務(wù)無法成功上線。

為了管理簡單，一般情況下，教師的辦公PC和學(xué)生電腦采用動態(tài)IP分配，接入交換機(jī)后，開啟ip source guard來防止亂配靜態(tài)IP地址導(dǎo)致的IP地址沖突，同時(shí)需要進(jìn)行認(rèn)證才能上外網(wǎng)。但這些多業(yè)務(wù)終端比如攝像頭，門禁，電子公告欄等，為了方便進(jìn)行資產(chǎn)管理和訪問，需要采用靜態(tài)IP地址，而啞終端則需要進(jìn)行免認(rèn)證。

2.3 終端移動隨行策略

近幾年基于網(wǎng)絡(luò)的業(yè)務(wù)爆炸式增長，同時(shí)迎來無線網(wǎng)絡(luò)的建設(shè)的浪潮，終端位置的移動接入成為常態(tài)，業(yè)務(wù)的靈活部署以及遷移成為剛需。以往基于網(wǎng)絡(luò)位置進(jìn)行網(wǎng)絡(luò)規(guī)劃的方式無法滿足現(xiàn)在復(fù)雜的業(yè)務(wù)場景。

本文提出的基于SDN方案的解決方案支持終端位置移動IP網(wǎng)段隨行，因此我們只需要將策略應(yīng)用在對應(yīng)的用戶分組或者指定IP上，這樣用戶的所有的安全策略和權(quán)限就能移動隨行。

2.4 接入傻瓜化

當(dāng)前在用戶的設(shè)備替換過程中遇到三個(gè)問題：問題一，設(shè)備替換要求專員操作；問題二，替換專員少，替換面積大，替換效率低下；問題三，學(xué)生對長時(shí)間斷網(wǎng)反應(yīng)強(qiáng)烈，替換時(shí)間緊迫。

自動化運(yùn)維已經(jīng)解決了上述三個(gè)問題的一部分，但在解決過程中經(jīng)常出現(xiàn)以下錯(cuò)誤：第一，接入模板不統(tǒng)一，不固定，操作人員按自己理解操作，沒有使用最佳實(shí)施方案，容易出現(xiàn)部署過程設(shè)備配置模板錯(cuò)誤導(dǎo)致部署斷網(wǎng)的情況；第二，耗時(shí)長，容易出錯(cuò)，特別是每臺設(shè)備的VLAN，IP要修改，另外操作人員的技術(shù)，素質(zhì)參差不齊，很容易出現(xiàn)工作馬虎，錯(cuò)配，漏配的情況；第三，上架的時(shí)候可能拿錯(cuò)設(shè)備，接錯(cuò)口。另外在傳統(tǒng)極簡網(wǎng)絡(luò)方案運(yùn)維期間，由于各接入設(shè)備的模板各異，在業(yè)務(wù)新入網(wǎng)時(shí)需要更改接入設(shè)備的配置，對運(yùn)維能力要求較高，特別是替換時(shí)，配置不同容易導(dǎo)致更換設(shè)備時(shí)因。配置錯(cuò)誤引起斷網(wǎng)。

本套SDN方案可以做到接入設(shè)備模板化配置，下聯(lián)端口VLAN無需擔(dān)心接錯(cuò)口問題。通過自動化運(yùn)維的解決方案做到設(shè)備0配置上線、0配置替換配合環(huán)路檢測功能，大大降低了接入運(yùn)維的工作量，使無任何經(jīng)驗(yàn)的人也可完成接入運(yùn)維工作。

2.5 分級分權(quán)

物聯(lián)終端隸屬于各個(gè)業(yè)務(wù)部門，例如后勤，安保部門，他們的啞終端接入都需要網(wǎng)絡(luò)中心來完成，運(yùn)維量大，網(wǎng)絡(luò)中心希望能夠?qū)⑦@些終端的網(wǎng)絡(luò)準(zhǔn)入和IP地址分配權(quán)限下放給各業(yè)務(wù)部門，而各個(gè)業(yè)務(wù)部門可以看到自己可管理的終端頁面。

部分學(xué)校的實(shí)驗(yàn)室下接著各類終端，這種情況下，網(wǎng)絡(luò)中心會直接分配一個(gè)網(wǎng)段的IP地址給實(shí)驗(yàn)室，讓其自己分配這些IP地址，而這網(wǎng)段一般是免認(rèn)證的。對于這種情況，網(wǎng)絡(luò)中心既不想管理，但又希望對這些終端進(jìn)行審核，否則容易出現(xiàn)私接的情況。

部署啞終端接入的時(shí)，一般都是在辦公室外（例如一卡通），工作人員很多時(shí)候不會隨身攜帶電腦，而這時(shí)就希望啞終端的入網(wǎng)審請能在移動端完成。隨著移動辦公越來越普及，在移動端進(jìn)行審批將成為現(xiàn)實(shí)。

本文提出的基于SDN方案的解決方案同時(shí)支持PC端和移動端的分級分權(quán)功能，終端的網(wǎng)絡(luò)準(zhǔn)入和IP地址分配權(quán)限下放給業(yè)務(wù)部門，各個(gè)業(yè)務(wù)部門可以看到自己可管理的終端頁面，可以對終端進(jìn)行準(zhǔn)入審核。

3 創(chuàng)新點(diǎn)

本文的創(chuàng)新主要表現(xiàn)在軟件方面：模塊化軟件架構(gòu)、多種南向接口和豐富北向接口、豐富網(wǎng)絡(luò)功能以適應(yīng)廣泛應(yīng)用場景，支持集群部署，外加人性化Web界面操作，充分簡化了網(wǎng)絡(luò)部署和運(yùn)維等。

（1）平臺支持為用戶構(gòu)建廣義SDN解決方案，支持多種南向接口，控制器硬件支持OpenFlow和SNMP兩種協(xié)議。（2）豐富北向接口（開放的系統(tǒng)）。北向接口支持RESTful和Java本地API兩種形式。Java本地接口主要用于銳捷自身或合作伙伴的二次開發(fā)。為了充分滿足用戶對平臺的開放性需求，其支持多種功能的接口開放。（3）適用廣泛應(yīng)用場景。平臺作為支持廣義SDN網(wǎng)絡(luò)的控制核心，除了支持豐富的南向和北向接口外，還集成了一部分基礎(chǔ)和高級網(wǎng)絡(luò)服務(wù)組件。（4）友好性界面操作。平臺設(shè)計(jì)目標(biāo)是解放用戶雙手，通過人性化可視界面操作即可完成整網(wǎng)資源劃分、網(wǎng)絡(luò)配置、策略部署和故障診斷。

參考文獻(xiàn)：

[1] 陸一飛，朱書宏.數(shù)據(jù)中心網(wǎng)絡(luò)下基于SDN的TCP擁塞控制機(jī)制研究與實(shí)現(xiàn) [J].計(jì)算機(jī)學(xué)報(bào)，2017，40（9）：2167-2180.

[2] 孫瓊，解沖鋒，趙慧玲，等.基于SDN架構(gòu)的IPv6過渡技術(shù)設(shè)計(jì)與實(shí)現(xiàn) [J].電信科學(xué)，2014，30（4）：15-21.

[3] 葛敬國，弭偉，吳玉磊.IPv6過渡機(jī)制：研究綜述、評價(jià)指標(biāo)與部署考慮 [J].軟件學(xué)報(bào)，2014，25（4）：896-912.

作者簡介：陳思（1987-），女，漢族，湖北襄陽人，科員，碩士，研究方向：網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)。