基于SDN和VxLAN的校園網(wǎng)扁平化架構(gòu)設(shè)計研究

林維鏘

摘要：隨著校園智慧化的發(fā)展，校園網(wǎng)扁平化管理成為高校信息化建設(shè)的方向。本文在分析了校園網(wǎng)絡(luò)扁平化必要性的基礎(chǔ)上，提出了一種基于SDN和VxLAN技術(shù)的高校校園網(wǎng)扁平化的較新設(shè)計方案。

關(guān)鍵詞：SDN;VxLAN;扁平化;大二層

中圖分類號：TP391? ? ?文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2019）26-0053-02

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

Abstract： With the development of campus intelligence， the flat management of campus network has become the inevitable direction of university information construction. Based on an analysis of the necessity of flattening the campus network in colleges and universities， this paper proposes a new design scheme for the flattening of college campus network based on SDN and VxLAN Technology.

Key words： SDN; VxLAN; lat; large second layer

隨著云計算、人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)的普及，智慧校園已成為高校信息化建設(shè)的新模式和發(fā)展方向。高校校園網(wǎng)中普遍使用的核心、匯聚和接入的三層網(wǎng)絡(luò)架構(gòu)，已無法滿足基于數(shù)字化校園的智慧教學(xué)業(yè)務(wù)、日常管理的需求。校園網(wǎng)絡(luò)架構(gòu)扁平化是目前校園網(wǎng)發(fā)展的主要趨勢，基于SDN和VxLAN技術(shù)來實現(xiàn)校園網(wǎng)扁平化架構(gòu)是目前較新的主流技術(shù)路線，其使用了二層扁平化結(jié)構(gòu)和軟件定義網(wǎng)絡(luò)的運(yùn)行模式，實現(xiàn)了對校園網(wǎng)設(shè)備的自動化管理、全面監(jiān)控、設(shè)備無須配置上線和故障自動化排除，其特有的運(yùn)維簡易和靈活擴(kuò)展性，適合教育智慧化的需求。

1 校園網(wǎng)扁平化問題的提出

1.1 傳統(tǒng)三層網(wǎng)絡(luò)架構(gòu)的存在問題

目前大部分高校校園網(wǎng)均采用傳統(tǒng)的以基于路由交換機(jī)的接入、匯聚和核心三層網(wǎng)絡(luò)架構(gòu)，這種網(wǎng)絡(luò)架構(gòu)下的匯聚層設(shè)備兼做接入層的網(wǎng)關(guān)，接入用戶的權(quán)限管理和業(yè)務(wù)隔離主要通過劃分不同Vlan方式進(jìn)行實現(xiàn)，存在校園網(wǎng)拓?fù)浣Y(jié)構(gòu)復(fù)雜、設(shè)置配置冗長、擴(kuò)展不便等問題，網(wǎng)管的大量管理工作是處理網(wǎng)絡(luò)優(yōu)化和故障排查等繁雜問題。另外，大量的接入層和匯聚層設(shè)備部署在校園各個地方，設(shè)備環(huán)境差，導(dǎo)致設(shè)備故障率高，管理維護(hù)難度增大;校園網(wǎng)昂貴的出口帶寬無法得到有效監(jiān)控和控制，P2P下載、視頻、IM傳文件等大流量應(yīng)用搶占帶寬;且以太網(wǎng)是一種廣播網(wǎng)絡(luò)，容易受到類似 ARP欺騙、IP沖突、DHCP偽造等攻擊。因此，高校智慧化校園建設(shè)首先需要解決傳統(tǒng)三層網(wǎng)絡(luò)架構(gòu)的弊端，構(gòu)建高性能、精細(xì)化、易管理的網(wǎng)絡(luò)新架構(gòu)。

1.2 校園網(wǎng)的扁平化

扁平化網(wǎng)絡(luò)架構(gòu)不是要求物理連接層次上的減少，而是根據(jù)功能將網(wǎng)絡(luò)邏輯劃分為業(yè)務(wù)控制層和寬帶接入層。業(yè)務(wù)控制層則由核心層設(shè)備構(gòu)成， 主要提供網(wǎng)絡(luò)中的終端用戶控制、 業(yè)務(wù)功能實現(xiàn)等復(fù)雜功能， 寬帶接入層由匯聚和接入設(shè)備構(gòu)成， 主要提供終端用戶帶寬接入、二層隔離和隧道建立等功能。扁平化的網(wǎng)絡(luò)結(jié)構(gòu)不僅能簡化網(wǎng)絡(luò)管理工作，解決傳統(tǒng)三層邏輯網(wǎng)絡(luò)架構(gòu)存在的問題，更能夠提高網(wǎng)絡(luò)運(yùn)行的效率及安全。 目前校園網(wǎng)主流的扁平化方案是在不大規(guī)模改變現(xiàn)有以太網(wǎng)接入方式和物理網(wǎng)絡(luò)拓?fù)浠A(chǔ)上， 將三層的校園網(wǎng)架構(gòu)調(diào)整為業(yè)務(wù)控制層和寬帶接入層的二層網(wǎng)絡(luò)架構(gòu)， 在功能上將核心設(shè)備、 匯聚和接入設(shè)備劃分到相應(yīng)的網(wǎng)絡(luò)層次上，從而實現(xiàn)大二層的扁平化邏輯校園網(wǎng)絡(luò)架構(gòu)。

本文研究的是使用最新的SDN和VxLAN技術(shù)，對廣東一所理工類高職校園網(wǎng)進(jìn)行改造實現(xiàn)網(wǎng)絡(luò)扁平化的設(shè)計和實踐。

2 扁平化網(wǎng)絡(luò)使用的主要技術(shù)

目前校園網(wǎng)扁平化所用的技術(shù)主要有BRAS、GPON、QinQ、Overlay等，本文所研究的SDN架構(gòu)和VxLAN隧道是最新網(wǎng)絡(luò)扁平化技術(shù)，具有結(jié)構(gòu)靈活、管理更簡單、擴(kuò)展性更強(qiáng)等特性。

2.1 SDN技術(shù)架構(gòu)及特性

SDN（Software Defined Network，軟件定義網(wǎng)絡(luò)）是一種基于軟件可編程思想的新型網(wǎng)絡(luò)技術(shù)架構(gòu)，其核心思想是通過分離網(wǎng)絡(luò)設(shè)備的控制層面與轉(zhuǎn)發(fā)層面，來實現(xiàn)對網(wǎng)絡(luò)流量的集中和靈活控制。通過利用軟件技術(shù)優(yōu)化網(wǎng)絡(luò)技術(shù)， 提高網(wǎng)絡(luò)的智能化和自動化能力， 從而使網(wǎng)絡(luò)具有高度可擴(kuò)展性和適應(yīng)性，能快速響應(yīng)業(yè)務(wù)變化的需求。SDN 架構(gòu)一般由傳統(tǒng)網(wǎng)絡(luò)、虛擬化網(wǎng)絡(luò)等控制器整合管理的網(wǎng)絡(luò)設(shè)備層，通過OpenFlow等接口，實現(xiàn)網(wǎng)絡(luò)的可靠性、負(fù)載分擔(dān)、協(xié)同處理以及資源池控制與資源抽象層編排，通過拓展插件、標(biāo)準(zhǔn)接口與其他平臺對接形式，實現(xiàn)統(tǒng)一網(wǎng)絡(luò)架構(gòu)的管理。

基于SDN構(gòu)架的網(wǎng)絡(luò)具有自適應(yīng)性和可編程性的特點(diǎn)。自適應(yīng)性指網(wǎng)絡(luò)架構(gòu)具有較強(qiáng)可擴(kuò)展性，可以在物理網(wǎng)絡(luò)上自定義虛擬網(wǎng)絡(luò)，并且與接入位置完全解耦，使同一IP可以在任意位置接入，相應(yīng)網(wǎng)段及策略也可隨位置變化實時跟隨，實現(xiàn)網(wǎng)絡(luò)的資源跟隨人和應(yīng)用移動;同時，通過設(shè)備的上線自動感知及配置智能下發(fā)，從而實現(xiàn)設(shè)備零配置上線，結(jié)合虛擬通道配置隔離、網(wǎng)絡(luò)傳輸質(zhì)量自動感知等策略，實現(xiàn)故障的快速自動化排除及網(wǎng)絡(luò)擴(kuò)展自適應(yīng)。可編程性指通過功能接口進(jìn)行轉(zhuǎn)發(fā)層和控制層的編程，實現(xiàn)整個網(wǎng)絡(luò)的軟件化和可視化控制，可快速開展一卡通、財務(wù)、廣播、IP監(jiān)控等專網(wǎng)定制業(yè)務(wù)，以及利用可編程自定義的用戶準(zhǔn)入機(jī)制，提升專網(wǎng)安全性;同時，通過SDN開放的接口和與第三方系統(tǒng)通訊實現(xiàn)網(wǎng)絡(luò)接口的開放，滿足校園網(wǎng)各種復(fù)雜應(yīng)用的個性化特殊網(wǎng)絡(luò)需求。

2.2 VxLAN技術(shù)介紹

VxLAN （Virtual Extensible LAN，虛擬擴(kuò)展局域網(wǎng)）是由VMware、思科、Arista、Broadcom、Citrix和紅帽等業(yè)界巨頭企業(yè)提出的一種基于隧道封裝的網(wǎng)絡(luò)虛擬化技術(shù)，得到了廣泛的認(rèn)可，已逐漸發(fā)展最為成熟的新二層數(shù)據(jù)中心技術(shù)，可在傳統(tǒng)的三層物理網(wǎng)絡(luò)拓?fù)浼軜?gòu)上虛擬出大二層的邏輯網(wǎng)絡(luò)。VxLAN通過將終端發(fā)送的數(shù)據(jù)封裝在UDP數(shù)據(jù)包中，并將物理網(wǎng)絡(luò)的MAC 作為包頭，然后在 IP 網(wǎng)絡(luò)上傳輸，到達(dá)目的地后由隧道終結(jié)點(diǎn)進(jìn)行解封裝，整個通信過程對終端來說物理網(wǎng)絡(luò)拓?fù)涫峭该鞯模K端只感知到邏輯網(wǎng)絡(luò)結(jié)構(gòu)。VXLAN 主要特性有：可實現(xiàn)最多支持 16M個VLAN，解決了傳統(tǒng)二層網(wǎng)絡(luò)最多支持4K個 VLAN的問題;基于 IP的大二層網(wǎng)絡(luò)，使得網(wǎng)絡(luò)部署和維護(hù)變得便捷，且可利用現(xiàn)有大部分設(shè)備;只有進(jìn)行封解數(shù)據(jù)包的邊緣設(shè)備需要進(jìn)行VxLAN 處理，中間設(shè)備只需可轉(zhuǎn)發(fā)傳統(tǒng)ip數(shù)據(jù)包。

VxLAN技術(shù)以前主要使用在大型的數(shù)據(jù)中心，用于解決VLAN 不足問題， 在校園網(wǎng)中使用更多的大二層技術(shù)是QinQ，但隨著其技術(shù)發(fā)展成熟、對比QinQ更多技術(shù)優(yōu)勢，以及所支持的設(shè)備增多，逐漸在廣域網(wǎng)、大型局域網(wǎng)中得到應(yīng)用。VxLAN配置相對復(fù)雜、不適合大規(guī)模部署的缺點(diǎn)在結(jié)合SDN技術(shù)后，已得到較好的解決，并充分發(fā)揮其靈活、擴(kuò)展性好、安全性高等優(yōu)勢。

3 基于SDN和VxLAN的校園網(wǎng)扁平化架構(gòu)設(shè)計

3.1 校園網(wǎng)扁平化的架構(gòu)設(shè)計

廣東某理工類職業(yè)院校的校園網(wǎng)于 2008 年建設(shè)完成，采用傳統(tǒng)的三層路由交換組網(wǎng)模式，網(wǎng)絡(luò)架構(gòu)使用核心、匯聚和接入的拓?fù)浼軜?gòu)，隨著互聯(lián)網(wǎng)的高速發(fā)展和智慧校園業(yè)務(wù)應(yīng)用的不斷增多，其三層架構(gòu)帶來的可管理性差、安全性不足、專網(wǎng)擴(kuò)展困難等問題日益凸顯，現(xiàn)有的校園網(wǎng)已難以滿足學(xué)校業(yè)務(wù)發(fā)展的需求。該校校園網(wǎng)的核心設(shè)備也運(yùn)行近10年，開始出現(xiàn)性能不足及穩(wěn)定性差等問題，為提升校園網(wǎng)基礎(chǔ)設(shè)施服務(wù)質(zhì)量，該校對校園網(wǎng)進(jìn)行改造升級，考慮到為滿足日后發(fā)展需要，將校園網(wǎng)進(jìn)行扁平化設(shè)計，網(wǎng)絡(luò)拓?fù)淙缦聢D所示。

新的扁平化校園網(wǎng)架構(gòu)從物理邏輯架構(gòu)上看，還是分為接入、匯聚、核心等三個層次，但在邏輯架構(gòu)上已變成大二層。核心層由兩臺支持VxLAN的高性能核心交換機(jī)和 SDN控制器組成，兩臺核心交換機(jī)采用虛擬化部署，組成單臺邏輯核心設(shè)備，來實現(xiàn)核心層的負(fù)載均衡和冗余備份，SDN控制器負(fù)責(zé)整網(wǎng)設(shè)備管理及接入控制;匯聚層將原有的總多匯聚節(jié)點(diǎn)調(diào)整為教學(xué)樓、實訓(xùn)樓、圖書館、宿舍區(qū)4 個大節(jié)點(diǎn)，采用4臺高性能核心路由交換機(jī)，作為校園網(wǎng) 4 個區(qū)域匯聚交換機(jī)，采用雙萬兆鏈路直連核心層設(shè)備，同時采用萬兆鏈路和各樓棟匯聚交換機(jī)互聯(lián)，全面實現(xiàn)核心匯聚萬兆校園骨干網(wǎng);校園網(wǎng)接入層設(shè)備是與用戶終端直接互聯(lián)的，接入交換機(jī)的性能及穩(wěn)定性將直接決定終端用戶的可用性及體驗，在本次改造中將使用年限較長的非智能化百兆交換機(jī)替換為可網(wǎng)管智能千兆交換機(jī)，另外在物理結(jié)構(gòu)上盡量將弱電間的接入交換機(jī)通過光纖鏈路直接互聯(lián)匯聚交換機(jī)，減少匯聚到接入的級聯(lián)層數(shù)，提升接入層的可用性。

3.2 網(wǎng)絡(luò)架構(gòu)大二層扁平化的實現(xiàn)

改造后的校園網(wǎng)物理邏輯雖然還是三層架構(gòu)，但在采用SDN和VxLAN技術(shù)實現(xiàn)扁平化后，將三層網(wǎng)絡(luò)結(jié)構(gòu)在邏輯上變成只有業(yè)務(wù)控制層和接入層的兩層架構(gòu)，兩臺核心交換機(jī)虛擬化成一臺設(shè)備作為所有接入層的三層網(wǎng)關(guān)，下聯(lián)的所有匯聚和接入層的交換設(shè)備只啟用二層功能，實現(xiàn)整網(wǎng)大二層扁平化架構(gòu)。

首先，實現(xiàn)了整網(wǎng)設(shè)備的維護(hù)和管理扁平化。所有交接機(jī)設(shè)備的注冊和配置都在SDN控制器上來自動完成，網(wǎng)管人員再也無需要針對每一臺匯聚或接入層的交換機(jī)進(jìn)行復(fù)雜的配置操作，接入扁平化網(wǎng)絡(luò)交換機(jī)配置的更新和端口調(diào)整都可通過SDN管理器進(jìn)行，較好簡化了以前對交換機(jī)設(shè)備的管理工作，降低了校園網(wǎng)設(shè)備的故障率，提升校園網(wǎng)的可用性。

其次，實現(xiàn)了校園網(wǎng)終端用戶管理的扁平化。校園網(wǎng)用戶接入控制在SDN控制器上完成，傳統(tǒng)架構(gòu)下需負(fù)責(zé)數(shù)據(jù)包進(jìn)行路由轉(zhuǎn)發(fā)的接入、匯聚層現(xiàn)只需負(fù)責(zé)數(shù)據(jù)的透明傳輸。接入終端的數(shù)據(jù)包經(jīng)過接入層交換機(jī)時進(jìn)行VxLAN的封裝后，作為普通IP數(shù)據(jù)包進(jìn)入扁平化網(wǎng)絡(luò)傳輸，然后到達(dá)核心層交換機(jī)后進(jìn)行解封裝。改造后的數(shù)據(jù)包傳輸過程簡單化，數(shù)據(jù)只需進(jìn)行二層傳輸，且只需通過配置簡單的二層隔離，可實現(xiàn)所有用戶之間的有效隔離。且在簡化了網(wǎng)絡(luò)結(jié)構(gòu)的同時，實現(xiàn)了用戶管道化隔離，較好解決了原有網(wǎng)絡(luò)中常出現(xiàn)的環(huán)路問題和 ARP 病毒泛濫問題。

最后，實現(xiàn)了業(yè)務(wù)專網(wǎng)管理的扁平化。傳統(tǒng)三層架構(gòu)網(wǎng)絡(luò)在進(jìn)行一卡通、財務(wù)、廣播、視頻監(jiān)控等專網(wǎng)建設(shè)時，需要對專網(wǎng)涉及的大量設(shè)備進(jìn)行各種vlan設(shè)置、透傳、ACL隔離等復(fù)雜操作，容易出現(xiàn)異常，且?guī)挓o法得到有效監(jiān)控和控制。在利用SDN控制器對專網(wǎng)的VxLAN進(jìn)行定制后，可快速在整個大網(wǎng)中虛擬出多個所需的二層子網(wǎng)，并可對子網(wǎng)的可用帶寬分別進(jìn)行詳細(xì)控制，較好提升了專網(wǎng)管理難度及安全性。

完成改造后的廣東某理工類高職院校校園網(wǎng)，將傳統(tǒng)的三層網(wǎng)絡(luò)架構(gòu)變成可精細(xì)化管理控制的大二層扁平化網(wǎng)絡(luò)架構(gòu)，實現(xiàn)了對校園網(wǎng)接入終端及各種網(wǎng)絡(luò)應(yīng)用進(jìn)行有效的流量管理、接入用戶安全管控等，有效提升了網(wǎng)絡(luò)的安全性、穩(wěn)定性和可靠性。同時，可根據(jù)學(xué)校智慧化校園需要，進(jìn)行平滑升級，實現(xiàn)校園網(wǎng)具備高可管理目標(biāo)。

4 結(jié)束語

傳統(tǒng)三層網(wǎng)絡(luò)架構(gòu)支撐了過去二三十年校園網(wǎng)的發(fā)展和應(yīng)用，隨著云計算、大數(shù)據(jù)等智慧應(yīng)用的興起，校園網(wǎng)用戶的業(yè)務(wù)需求呈現(xiàn)出多樣化、靈活化、不確定性等特點(diǎn)，傳統(tǒng)的三層網(wǎng)絡(luò)體系架構(gòu)已不能滿足需求。SDN作為一種新技術(shù)將對未來校園網(wǎng)的演進(jìn)帶來較大的影響，通過SDN和VxLAN技術(shù)對校園網(wǎng)進(jìn)行設(shè)備整合，組建扁平化的大二層網(wǎng)絡(luò)架構(gòu)，實現(xiàn)“網(wǎng)隨人動、接入控制、業(yè)務(wù)隔離、融合安全”的一體化智能接入平臺將成為校園網(wǎng)絡(luò)的發(fā)展方向。

參考文獻(xiàn)：

[1] 張朝昆，崔勇，唐翯翯，等.軟件定義網(wǎng)絡(luò)（SDN）研究進(jìn)展[J].軟件學(xué)報 ，2015，26（1）：63-80.

[2] 馬文杰. 扁平化網(wǎng)絡(luò)架構(gòu)在校園網(wǎng)中的應(yīng)用[J]. 連云港師范高等?？茖W(xué)校學(xué)報，20189（1）：71-73.

[3] 張代華.基于扁平化和精細(xì)化管理的校園網(wǎng)基礎(chǔ)平臺建設(shè)[J].軟件，2014，35（8）：59：62.

【通聯(lián)編輯：梁書】