基于SDN架構(gòu)的智慧校園網(wǎng)建設(shè)應(yīng)用與實踐

李書欽 史運濤 馬時來

摘要：針對高校網(wǎng)絡(luò)建設(shè)現(xiàn)狀及網(wǎng)絡(luò)運維中存在的問題，基于SDN（Software Defined Network）網(wǎng)絡(luò)架構(gòu)，實現(xiàn)了網(wǎng)絡(luò)可視化配置、自動化部署、智能化運維和基于用戶的策略配置等目標(biāo)。以北方工業(yè)大學(xué)智慧校園網(wǎng)建設(shè)的具體實踐為例，重點論述了SDN基本原理，SDN網(wǎng)絡(luò)總體框架、建設(shè)方案和應(yīng)用實踐，為其他高校的智慧校園網(wǎng)建設(shè)提供參考。

關(guān)鍵詞：SDN；智慧校園網(wǎng)；校園無線

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2019）07-0050-03

Abstract：In view of the current situation of university network construction and the problems existing in network operation and maintenance， based on the SDN network architecture， the goals of network visualization configuration， automatic deployment， intelligent operation and user-based strategy configuration were realized. Taking the concrete practice of the intelligent campus network construction of North China University of Technology as an example， the basic principle of SDN， the overall framework of SDN network， construction scheme and application practice were emphatically discussed， which will provide reference for the construction of intelligent campus network of other universities.

Key words：SDN； wisdom campus network； campus wireless

隨著學(xué)校信息化程度不斷提高，校園網(wǎng)早已成為校園里不可缺少的基礎(chǔ)設(shè)施，在學(xué)校網(wǎng)絡(luò)建設(shè)和運維管理工作中，不斷涌現(xiàn)出新的挑戰(zhàn)，比如：分散的網(wǎng)絡(luò)架構(gòu)、分散的網(wǎng)絡(luò)規(guī)劃、分散的安全策略、越來越困難的網(wǎng)絡(luò)擴展等等[1]。隨著不斷增加的用戶和客戶端類型、不斷增加的VLAN和IP子網(wǎng)，數(shù)量眾多的多個專網(wǎng)（節(jié)能環(huán)控專網(wǎng)、視頻監(jiān)控專網(wǎng)、一卡通專網(wǎng)、智慧教室專網(wǎng)等），獨立的有線和無線網(wǎng)絡(luò)用戶安全策略，上述現(xiàn)象帶來了安全管理困難、管理運維復(fù)雜、問題解決緩慢等一系列問題。目前，絕大多數(shù)高校的網(wǎng)絡(luò)配置和網(wǎng)絡(luò)變更依靠人工方式完成，越來越多的網(wǎng)絡(luò)故障和網(wǎng)絡(luò)違規(guī)由于人工錯誤引起，網(wǎng)絡(luò)運維和網(wǎng)絡(luò)故障排除方面的投入正逐年增加，傳統(tǒng)的網(wǎng)絡(luò)建設(shè)和運維方式已無法跟上業(yè)務(wù)數(shù)字化的節(jié)奏[2]。

因此，擬采用SDN技術(shù)解決校園網(wǎng)絡(luò)建設(shè)和運維中的一系列問題，打造有線無線一體的智慧校園網(wǎng)，實現(xiàn)可視化配置、自動化部署、智能化運維和基于用戶身份的策略隨行等目標(biāo)。擬以北方工業(yè)大學(xué)校園網(wǎng)的具體實踐為例，論述SDN校園網(wǎng)絡(luò)建設(shè)的實踐經(jīng)驗及取得的成效。

1 網(wǎng)絡(luò)建設(shè)現(xiàn)狀

北方工業(yè)大學(xué)校園網(wǎng)承載著學(xué)校網(wǎng)絡(luò)教學(xué)平臺和教學(xué)資源共享平臺以及教務(wù)、圖書、財務(wù)、校務(wù)辦公信息等十多個教學(xué)、科研管理信息系統(tǒng)，并擁有學(xué)校和學(xué)校各院系、部處的數(shù)十個網(wǎng)站，成為學(xué)校教學(xué)、科研和管理的重要基礎(chǔ)設(shè)施[3]。校園網(wǎng)為全校師生員工提供網(wǎng)絡(luò)教學(xué)、資源共享服務(wù)及DNS、E-mail、WWW、FTP等互聯(lián)網(wǎng)服務(wù)，為學(xué)校教育信息化進(jìn)程提供了有力支持[4]。

從1997年開始，學(xué)校分階段進(jìn)行了校園網(wǎng)的規(guī)劃與實施，目前有線網(wǎng)絡(luò)已實現(xiàn)教學(xué)樓，辦公樓、學(xué)生宿舍樓100%覆蓋，校內(nèi)主要樓宇間主干網(wǎng)絡(luò)實現(xiàn)萬兆互聯(lián)，千兆至桌面， 共有10500個有線信息點，學(xué)校網(wǎng)絡(luò)實現(xiàn)了IPV4與IPV6的雙棧運行。校園網(wǎng)擁有中國電信、中國教育科研網(wǎng)、北京教育信息網(wǎng)3個網(wǎng)絡(luò)出口，總帶寬達(dá)到3.5G。學(xué)校無線網(wǎng)絡(luò)服務(wù)于全校學(xué)生和教職工，約15000余人，截至2018年10月，共部署無線AP點位4500余顆，最大同時接入終端總數(shù)達(dá)到8000個，無線網(wǎng)絡(luò)流量峰值達(dá)到3GBps。無線網(wǎng)絡(luò)采用“AC+瘦AP”組網(wǎng)模式，覆蓋了教學(xué)區(qū)、辦公區(qū)、學(xué)生宿舍區(qū)和生活區(qū)，校園網(wǎng)絡(luò)建設(shè)有力促進(jìn)了學(xué)校的教學(xué)、科研的發(fā)展，滿足了廣大師生訪問校內(nèi)外網(wǎng)絡(luò)資源的迫切需求，為開展智慧校園建設(shè)提供了堅實保障。

2 SDN網(wǎng)絡(luò)設(shè)計與建設(shè)方案

2.1 SDN基本原理

軟件定義網(wǎng)絡(luò) （SDN） 旨在賦予網(wǎng)絡(luò)靈活性和敏捷性，利用SDN設(shè)計、構(gòu)建和管理網(wǎng)絡(luò)，可以實現(xiàn)控制平面和數(shù)據(jù)平面的分離，這樣就能夠直接對控制平面進(jìn)行編程，并對用于應(yīng)用和網(wǎng)絡(luò)服務(wù)的底層基礎(chǔ)設(shè)施進(jìn)行抽象化[5，6]。SDN 可提供一個可編程的集中式網(wǎng)絡(luò)，其中包含SDN控制器、南向API和北向API。其中，SDN控制器是網(wǎng)絡(luò)的核心，提供針對整個網(wǎng)絡(luò)的集中視圖，南向API可將信息轉(zhuǎn)發(fā)至網(wǎng)絡(luò)中的交換機和路由器，北向API用于實現(xiàn)應(yīng)用通信和服務(wù)部署，思科SDN網(wǎng)絡(luò)架構(gòu)如圖1所示：

2.2 SDN網(wǎng)絡(luò)建設(shè)總體框架

根據(jù)北方工業(yè)大學(xué)校園網(wǎng)“整體規(guī)劃，逐步實施”的原則，我校將統(tǒng)籌考慮學(xué)校信息化建設(shè)現(xiàn)狀及學(xué)校未來信息化發(fā)展需求，按照集約建設(shè)的思路實現(xiàn)建設(shè)與“現(xiàn)代化大學(xué)”相適應(yīng)的信息化建設(shè)水平的總體目標(biāo)，我校SDN校園網(wǎng)覆蓋校內(nèi)教學(xué)區(qū)主要樓宇：勵學(xué)樓、廣學(xué)樓、浩學(xué)樓、瀚學(xué)樓和教學(xué)實習(xí)樓，SDN網(wǎng)絡(luò)總體框架如圖2所示。

2.3 SDN網(wǎng)絡(luò)建設(shè)方案

北方工業(yè)大學(xué)的SDN網(wǎng)絡(luò)采用思科SD-Access方案，利用思科DNA Center實現(xiàn)網(wǎng)絡(luò)的可視化配置、自動化部署和智能化網(wǎng)絡(luò)運維，具體實現(xiàn)方式如下：

1）搭建Underlay物理網(wǎng)絡(luò)，實現(xiàn)網(wǎng)絡(luò)分層及虛擬化，Underlay網(wǎng)絡(luò)實現(xiàn)簡單的三層互通，形成帶寬資源池，實現(xiàn)網(wǎng)絡(luò)的自動化部署和橫向擴展，該功能通過DNA Center的DESIGN和PROVISION實現(xiàn)。

2）部署SD-Access，實現(xiàn)Overlay網(wǎng)絡(luò)及虛擬專網(wǎng)，借助端到端VXLAN（VNID）技術(shù)實現(xiàn)專網(wǎng)應(yīng)用隔離，在DNA Center中通過Design創(chuàng)建樓宇和樓層，定義網(wǎng)絡(luò)中的AAA、DHCP、DNS和NTP 服務(wù)器。

3）使用Discovery APP 發(fā)現(xiàn)網(wǎng)絡(luò)中的設(shè)備，定義一個新的Discovery策略，采用IP Range的方式，優(yōu)先使用loopback 接口，當(dāng)Discovery完成后，可以看到所發(fā)現(xiàn)設(shè)備的數(shù)量、IP地址、狀態(tài)等信息。使用Inventory工具管理所發(fā)現(xiàn)的設(shè)備，當(dāng)所有設(shè)備的狀態(tài)變?yōu)镸anaged狀態(tài)時，可以對設(shè)備進(jìn)行配置下發(fā)。

4）使用Provision功能對交換機進(jìn)行配置下發(fā)，選擇所有的Switches and Hubs，點擊Action-Provision進(jìn)行配置下發(fā)，當(dāng)Provision Status的狀態(tài)為success時，表示設(shè)備Provision成功。使用Provision對WLC進(jìn)行配置下發(fā)，下發(fā)SSID、AAA、DNS和DHCP Server等配置信息。

5）在Overlay網(wǎng)絡(luò)虛擬多個獨立的虛擬網(wǎng)絡(luò)（VN）。在默認(rèn)情況下，相同VN內(nèi)的任何網(wǎng)絡(luò)設(shè)備或用戶彼此進(jìn)行通信，但是VN之間相互隔離。創(chuàng)建2個VN：校園網(wǎng)VN和Guest VN，其中，校園網(wǎng)VN包括：ncut_teacher， ncut_lsg， ncut_bks， ncut_yjs，用于校園網(wǎng)老師、學(xué)生使用，Guest VN包括NCUT-GUEST，用于Guest用戶使用，系統(tǒng)默認(rèn)的INFRA_VN，用于AP管理。

6）與城市熱點計費認(rèn)證系統(tǒng)、思科ISE認(rèn)證系統(tǒng)對接，實現(xiàn)同一專網(wǎng)內(nèi)部終端分組及任意漫游，實現(xiàn)基于組和身份的精細(xì)化安全策略管理，降低ACL維護的巨大工作量，實現(xiàn)策略隨行，實現(xiàn)有線無線一體化及策略統(tǒng)一管理。

3 SDN網(wǎng)絡(luò)應(yīng)用與實踐

對SDN網(wǎng)絡(luò)中的WLAN信道進(jìn)行統(tǒng)一規(guī)劃，WLAN信道規(guī)劃的好壞，影響到無線網(wǎng)絡(luò)的帶寬、無線網(wǎng)絡(luò)的性能、無線網(wǎng)絡(luò)的擴展以及無線網(wǎng)絡(luò)的抗干擾能力，也必將直接影響到廣大師生的上網(wǎng)體驗。

3.1 SDN網(wǎng)絡(luò)SSID規(guī)劃

目前，北方工業(yè)大學(xué)SDN網(wǎng)絡(luò)廣播3個SSID：NCUT、NCUT-AUTO和NCUT-GUEST，其中，NCUT采用PORTAL認(rèn)證，NCUT-AUTO采用802.1X認(rèn)證方式，分別對應(yīng)4類用戶：教師、臨時工、本科生和研究生；NCUT-GUEST采用Portal認(rèn)證，對應(yīng)校外訪客用戶。上述三個SSID均需要AC與思科ISE、城市熱點計費認(rèn)證系統(tǒng)對接，分別將ISE作為Authentication Server，將城市熱點Radius Server作為Accounting Server，實現(xiàn)Portal和802.1X認(rèn)證。

3.2 基于用戶身份的策略隨行和安全管理

為了實現(xiàn)基于用戶身份的策略隨性和安全管理，針對4類用戶：教師、臨時工、本科生和研究生，在城市熱點計費認(rèn)證系統(tǒng)中分別建立相應(yīng)資費組，為每一類資費組定義相應(yīng)的fid進(jìn)行標(biāo)識。在思科ISE中，分別建立對應(yīng)的4類Policy Elements：Teacher， Lsg， Bks， Yjs，并分別將其匹配到各個SSID（NCUT、NCUT-AUTO）。將上述思科ISE中的策略同步到DNA Center，分別對應(yīng)虛擬網(wǎng)絡(luò)NCUT中的4個Group：ncut_teacher， ncut_lsg， ncut_bks， ncut_yjs。上述策略共同配合，實現(xiàn)了教師、學(xué)生、臨時用戶的策略隨行和安全管理，即同一虛擬網(wǎng)絡(luò)中的不同Group，在SDN網(wǎng)絡(luò)中的任一位置，均可以基于其用戶身份分配相應(yīng)策略，實現(xiàn)基于組和身份的精細(xì)化安全策略管理，降低了ACL維護的巨大工作量。

3.3 SDN網(wǎng)絡(luò)使用情況

我校SDN網(wǎng)絡(luò)服務(wù)于全校學(xué)生和教職工，截至2018年10月，SDN網(wǎng)絡(luò)同時最大接入終端總數(shù)超過3000個，無線網(wǎng)絡(luò)流量峰值達(dá)到1GBps。學(xué)校SDN網(wǎng)絡(luò)滿足了全校師生在各種場景下的用網(wǎng)需求。在教學(xué)區(qū)，師生可以在任意一間教室將自己攜帶的無線終端快速接入校園網(wǎng)，并且支持大量終端同時接入。同時，SDN的智能網(wǎng)絡(luò)運維使得基于用戶的問題排查更有針對性，排除網(wǎng)絡(luò)故障的速度大大提高，SDN網(wǎng)絡(luò)運行情況見圖3。

4 總結(jié)

隨著高校校園網(wǎng)絡(luò)規(guī)模的不斷擴大，接入用戶數(shù)和接入終端的不斷增加，網(wǎng)絡(luò)運維和網(wǎng)絡(luò)故障排除方面的投入正逐年增加，各高校的網(wǎng)絡(luò)運維管理工作變得更加繁重。針對上述問題，本研究基于SDN網(wǎng)絡(luò)架構(gòu)，研究智慧校園網(wǎng)建設(shè)的應(yīng)用與實踐，實現(xiàn)網(wǎng)絡(luò)可視化配置、自動化部署、智能化運維和基于用戶身份的策略隨行，在提升用戶體驗的同時，有效減輕運維壓力、節(jié)省網(wǎng)絡(luò)運維成本。SDN網(wǎng)絡(luò)建設(shè)有力促進(jìn)了學(xué)校教學(xué)、科研的發(fā)展，有力提升了教育信息化和智慧校園建設(shè)水平。

參考文獻(xiàn)：

[1] 蘇群，趙宇明，徐曉新，等.校園無線網(wǎng)的建設(shè)和管理[J].工業(yè)儀表與自動化裝置，2011（02）：83-85.

[2] 李書欽，馬時來.OA協(xié)同辦公平臺在高校信息化管理中的應(yīng)用與實踐[J].現(xiàn)代計算機（專業(yè)版），2018（10）：85-88.

[3] 李四軍.高校無線網(wǎng)絡(luò)建設(shè)探討——以南京大學(xué)金陵學(xué)院為例[J].計算機時代，2018（06）：42-44+48.

[4] 李書欽，李敏，馬時來.基于微信企業(yè)號的移動教學(xué)服務(wù)平臺設(shè)計與實現(xiàn)[J].計算機時代，2016（03）：25-26+30.

[5] 徐明明，唐震洲.基于802.11n標(biāo)準(zhǔn)的校園無線網(wǎng)的規(guī)劃與設(shè)計[J].電子設(shè)計工程，2011，19（11）：31-33+36.

[6] 李書欽，李琳，劉炳興.多出口網(wǎng)絡(luò)智能域名解析的設(shè)計與實現(xiàn)[J].現(xiàn)代計算機（專業(yè)版），2013（29）：55-59.

【通聯(lián)編輯：代影】