Cisco DNA在高校校園網(wǎng)中應用的探討研究

龐鐳

摘? ?要：隨著網(wǎng)絡結構、運維管理、安全層級越來越復雜，當網(wǎng)絡復雜度達到一定程度后，運維工作一定不是通過運維人員的經(jīng)驗、精力來支撐的，而是需要引入自動化、智能化的運維工具。本文結合當前高校校園網(wǎng)運維面臨的困難和挑戰(zhàn)，闡述了Csico DNA在高校校園網(wǎng)中應用的優(yōu)勢和存在的問題，給高校運維人員高質(zhì)量運維工作提供了借鑒。

關鍵詞：DNA? 校園網(wǎng)? VXLAN

中圖分類號：G64? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ?文章編號：1674-098X（2020）03（b）-0093-02

隨著高校校園網(wǎng)規(guī)模的不斷擴大，各類網(wǎng)絡設備、多種物聯(lián)終端數(shù)量越來越多，校園應用系統(tǒng)更加多樣，網(wǎng)絡安全策略更加嚴格，傳統(tǒng)由人工操作的命令行式運維模式與日益復雜的網(wǎng)絡格局之間的矛盾逐漸凸顯。作為校園網(wǎng)的運維管理部門，學校教育技術中心運維人員亟需研究和探索自動化、智能化的網(wǎng)絡運維管理模式，應對復雜的網(wǎng)絡環(huán)境，以便能夠更好地實現(xiàn)服務教學、科研，方便師生應用的目標。

1? 校園網(wǎng)運維面臨的困難和挑戰(zhàn)

當前，高校校園網(wǎng)蓬勃發(fā)展，呈現(xiàn)出復雜格局。校園用戶有線無線網(wǎng)、物聯(lián)網(wǎng)、安保專網(wǎng)、一卡通專網(wǎng)、財務專網(wǎng)、教學考務監(jiān)控專網(wǎng)等單獨組網(wǎng)，各功能網(wǎng)絡呈塊狀結構分布，塊與塊之間有的需要嚴格的物理隔絕，有的需要相互連通，有的塊內(nèi)網(wǎng)段之間需要互通，或某兩個網(wǎng)段之間杜絕互通。多種訪問需求，就需要多種不同的配置策略與之相匹配，無形中給管理人員帶來巨大挑戰(zhàn)。

1.1 人工運維成本高

傳統(tǒng)的校園網(wǎng)功能多，設備的基礎配置、設備與設備之間互通配置等，全部需要運維人員去完成，運維成本大。特別是上新項目時，大量設備需要逐個配置。當網(wǎng)絡拓撲和策略需要調(diào)整變更時，人為操作，無法保證變更前后設備配置完全一致。

1.2 用戶策略分級多

高校網(wǎng)絡訪問策略針對不同用戶有差異。老師、學生，非在編人員等等，不同的用戶訪問不同的資源，小型網(wǎng)絡通常使用訪問控制列表即可實現(xiàn)。高校校園網(wǎng)拓撲結構復雜，設備數(shù)量眾多，需要保證全網(wǎng)一致性的實施，僅用訪問控制列表，在實現(xiàn)和維護兩個層面都很困難。

1.3 安全等級要求高

2019年12月1日，等保2.0標準正式實施，標準中對于網(wǎng)絡關鍵應用有嚴格的要求，必須做到物理隔離，獨立運維。

1.4 故障判斷難度高

傳統(tǒng)的網(wǎng)管系統(tǒng)功能多集中在監(jiān)控設備的運行狀態(tài)，無法做到對全網(wǎng)故障進行分析和預判。校園網(wǎng)用戶多，故障類型多，傳統(tǒng)抓包的或憑經(jīng)驗的故障排除方式顯然已不能適應復雜網(wǎng)絡結構。

在這樣的背景下，Cisco DNA應運而生。DNA從網(wǎng)絡的部署、配置、調(diào)試、到排障，全過程摒棄傳統(tǒng)的命令行方式，通過控制器圖形化界面進行操作，實現(xiàn)了自動化、智能化運維的目標。

2? Cisco DNA簡介

DNA—Digital Network Architecture，是面向園區(qū)網(wǎng)的全數(shù)字化網(wǎng)絡架構。包含：自動化運維工具、基于意圖的策略部署、網(wǎng)絡分析及故障排除功能。實現(xiàn)管理和轉發(fā)功能的分離，是DNA最基本的原則之一。

部署DNA可以長期提供網(wǎng)絡運維的支撐和保障。在DNA模式下，設備加電即可獲得配置，智能化程度高。所有針對網(wǎng)絡設備管理層面的操作都交由DNA-C控制器來統(tǒng)一指揮，完成管理、配置、策略下發(fā)等任務，全網(wǎng)交換機等網(wǎng)絡設備只完成轉發(fā)功能?？刂破鲿崟r從設備提取信息，同時將網(wǎng)絡知識庫放置于控制器中，用于分析網(wǎng)絡風險，評價網(wǎng)絡健康狀況，提示網(wǎng)絡安全隱患。

3? DNA在高校校園網(wǎng)中應用的優(yōu)勢

3.1 網(wǎng)絡安全層面

傳統(tǒng)方式，校園網(wǎng)出口需要部署安全策略，就配置防火墻設備;需要搜集分析用戶上網(wǎng)行為，就部署行為管理設備;需要實現(xiàn)一鍵斷網(wǎng)，就部署反向代理設備，所有完成安全功能的設備是疊加式的部署方式，不能將上述功能集中在一臺設備上。DNA架構提倡集成式的安全，全網(wǎng)設備，包括AP、交換機、防火墻，都是作為網(wǎng)絡探針存在，通過全網(wǎng)搜集數(shù)據(jù)的方式來保證網(wǎng)絡的安全。

3.2 設備層面

所有設備只需上架、加電、IP可達，其他的操作都無需人工干預，都由DNA-C控制器進行配置和策略的下發(fā)。特別是針對有多個校區(qū)的情況，某分校區(qū)的設備只需加電，其他操作都可在主校區(qū)完成。校園網(wǎng)設備傳統(tǒng)且普遍采用的運維管理方式是，運維人員為主，各類網(wǎng)絡監(jiān)控軟件為輔，所有的網(wǎng)絡設備配置、策略調(diào)整均是通過命令行實現(xiàn)。這就網(wǎng)絡運管人員提出了比較高的要求，不僅需要熟悉某一品牌某種型號設備的所有命令及其含義，還需要考慮并解決不同品牌網(wǎng)絡設備交叉使用的兼容性問題。

3.3 組網(wǎng)方式層面

當前，安保網(wǎng)、一卡通、校園網(wǎng)等各個功能網(wǎng)絡之間物理隔離，存在多網(wǎng)建設、維護成本高的問題。DNA是疊加的網(wǎng)絡，只需建立一套物理網(wǎng)絡，在此基礎上疊加多個虛擬網(wǎng)絡。通過虛擬方式實現(xiàn)物理隔離，可以在控制器上添加多個虛擬網(wǎng)絡，不僅節(jié)省了硬件成本，更為管理員的部署和規(guī)劃提供了方便。

3.4 故障處理層面

傳統(tǒng)故障處理需要經(jīng)過多個環(huán)節(jié)，多次操作，多個節(jié)點去排查故障原因，在DNA架構中，DNA控制器會搜索智能故障數(shù)據(jù)庫直接給出故障原因及處理意見，簡化并弱化了人為參與的因素，將極大提升運維效率。

4? DNA在高校校園網(wǎng)中應用存在的問題

從兼容性角度來看，目前，CiscoDNA都是基于Cisco-C系列9000型號的交換機展開的，DNA不支持其他品牌的網(wǎng)絡設備，同時也不支持思科較早型號的設備。而校園網(wǎng)大量在用的CiscoC2960，C3750等型號交換機無法支持DNA。同時，無線設備方面，Cisco17、27、37、18、28、38系列的無線接入點都可以支持DNA，早期的型號都不支持。

從功能角度來看，實現(xiàn)DNA必備的組建有控制器（DNA-C）、ISE認證模塊、無線控制器。DNA體系對傳統(tǒng)三層網(wǎng)絡結構中的核心層、接入層設備有型號的要求，必須支持VXLAN。因為VXLAN是在接入層進行封裝，在核心層進行解封裝。

也就是說，要實現(xiàn)DNA，需要更換校園網(wǎng)大量在用的網(wǎng)絡設備。無論是從成本還是從制度層面來看，大量更換在用設備都需要一個較長的時間周期。

5? 結語

Cisco DNA作為一種自動化、智能化程度較高的運維模式，已經(jīng)成為園區(qū)網(wǎng)運維發(fā)展的新趨勢，高校校園網(wǎng)可以在逐步消化現(xiàn)有設備的基礎上，引入DNA設備，在為運維工作提供更大方便的同時，以期實現(xiàn)更加穩(wěn)定，更加敏捷的校園網(wǎng)接入方案。

參考文獻

[1] 劉倩熙. IPTV在校園網(wǎng)的應用研究[D].湖南大學，2012.

[2] 王鳳霞. 校園網(wǎng)無線網(wǎng)絡管理與應用優(yōu)化[D].復旦大學，2012.

[3] 吳文皓. 校園網(wǎng)環(huán)境下的MPLS技術研究與仿真[D].哈爾濱理工大學，2013.