多校區(qū)全光局域網(wǎng)（POL）統(tǒng)一接入管理研究
——以廣東工程職業(yè)技術(shù)學(xué)院全光校園網(wǎng)絡(luò)部署為例

李 鋒，朱 靖，李旭斌，林俊發(fā)

（廣東工程職業(yè)技術(shù)學(xué)院，廣東 廣州 510520）

1 解決方案

目前，IP隨行的解決方案多數(shù)為由交換機(jī)廠家提供SDN（Software Define Network，軟件定義網(wǎng)絡(luò)）方案，且多數(shù)在一個(gè)校區(qū)部署，或者有多個(gè)校區(qū)，但是只有一個(gè)核心出口，且交換機(jī)廠家提供的SDN解決方案多數(shù)需要核心和匯聚交換采用同一廠家品牌的交換機(jī)，不同廠家的SDN控制器不能通用。該學(xué)校兩個(gè)校區(qū)采用的組網(wǎng)方案和核心交換機(jī)均不同，很難采用交換機(jī)+SDN的解決方案。

在不改動(dòng)現(xiàn)有網(wǎng)絡(luò)拓?fù)浜秃诵慕粨Q機(jī)等前提下，實(shí)現(xiàn)IP隨身需要解決以下問題：①采用方案必須不依賴于交換機(jī)硬件能力，方案能夠和兩校區(qū)現(xiàn)有的交換機(jī)兼容；②盡量采用通用協(xié)議，避免采用私有協(xié)議，避免后期擴(kuò)容等問題；③兩校區(qū)目前采用三層互通，方案必須保留現(xiàn)有兩校區(qū)三層互通拓?fù)浣Y(jié)構(gòu)，不對(duì)現(xiàn)有網(wǎng)絡(luò)拓?fù)溥M(jìn)行大的改動(dòng)；④兩校區(qū)存在的用戶終端數(shù)量較大，且大部分終端不需要實(shí)現(xiàn)IP隨身，比如，固定的視頻攝像頭、打印機(jī)等啞終端都是本地使用的，方案需要能夠區(qū)分那些終端需要IP隨身策略。

綜合以上問題，原則上采用NFV（網(wǎng)絡(luò)功能虛擬化）技術(shù)，通過網(wǎng)絡(luò)功能虛擬化技術(shù)，不需要依賴交換機(jī)廠家的硬件平臺(tái)，可直接部署虛擬網(wǎng)絡(luò)功能（Virtual Network Functions，VNF）來實(shí)現(xiàn)IP隨身。

對(duì)于在兩個(gè)校區(qū)三層互通的情況下解決二層傳輸問題，目前業(yè)界多數(shù)采用VxLAN協(xié)議，所以本方案也選用VxLAN協(xié)議實(shí)現(xiàn)兩校區(qū)之間的二層互通實(shí)現(xiàn)IP隨身?？梢酝ㄟ^采用NFV+VxLAN+控制器技術(shù)搭建一個(gè)SD-LAN（Software Define Local area Network，軟定義局域網(wǎng)），再通過SD-LAN來判斷終端屬于哪個(gè)局域網(wǎng)（LAN），并通過本地轉(zhuǎn)發(fā)或者VxLAN隧道轉(zhuǎn)發(fā)來解決多校區(qū)IP隨身問題。

組網(wǎng)拓?fù)淙鐖D1所示，在廣東工程職業(yè)技術(shù)學(xué)院兩個(gè)校區(qū)（廣州校區(qū)和清遠(yuǎn)校區(qū)）各部署一套基于NFV的vBRAS，vBRAS下行和學(xué)校核心交換對(duì)接，將需要做IP隨身的VLAN的網(wǎng)關(guān)遷移至新增的vBRAS上（二層端口）；vBRAS上行和核心對(duì)接，采用三層對(duì)接；兩臺(tái)vBRAS通過校際鏈路（或者采用互聯(lián)網(wǎng)鏈路）采用VxLAN互連。校區(qū)間的IP隨身業(yè)務(wù)通過兩臺(tái)vBRAS之間VxLAN隧道實(shí)現(xiàn)互通。

圖1 組網(wǎng)拓?fù)鋱D

在兩個(gè)校區(qū)各部署一套SD-LAN控制器（SDLAN Controller），兩臺(tái)控制器之間采用熱備模式部署，數(shù)據(jù)自動(dòng)同步；控制器有管理用戶MAC歸屬、策略下發(fā)等功能。

2 方案說明

2.1 NFV+VxLAN部署

（1）建立VxLAN隧道：多臺(tái)vBRAS之間采用VxLAN隧道實(shí)現(xiàn)二層通信。

（2）接入控制管理：對(duì)網(wǎng)絡(luò)接入進(jìn)行管理，區(qū)分哪些MAC地址是本地轉(zhuǎn)發(fā)的，哪些MAC地址是需要通過VxLAN隧道至其他vBRAS轉(zhuǎn)發(fā)的。

（3）接入認(rèn)證功能：能夠開啟認(rèn)證功能，對(duì)接AAA服務(wù)器等獲取用戶身份信息。

（4）數(shù)據(jù)轉(zhuǎn)發(fā)：能夠根據(jù)MAC地址管理策略轉(zhuǎn)發(fā)數(shù)據(jù)，在轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)，可以根據(jù)MAC地址的策略（內(nèi)外層VLAN、所屬vBRAS）等進(jìn)行轉(zhuǎn)發(fā)。

（5）MAC地址管理功能：和SD-LAN控制器配合，實(shí)現(xiàn)MAC地址管理功能，主要是上報(bào)新MAC地址和同步SD-LAN控制器的MAC地址管理表，并執(zhí)行對(duì)應(yīng)MAC地址管理策略。

（6）上報(bào)MAC地址信息：將接入的MAC地址、其所在的vBRAS信息、QINQ信息上報(bào)給SD-LAN控制器。

2.2 SD-LAN控制器

（1）MAC地址管理功能：和vBRAS配合，對(duì)整個(gè)辦公教學(xué)網(wǎng)實(shí)現(xiàn)MAC地址管理功能。MAC地址管理功能包括MAC地址收集（vBRAS上報(bào)/手動(dòng)輸入）、MAC地址歸屬管理（歸屬vBRAS以及VLAN信息）、MAC地址管理策略（是否需要IP隨身）等。

（2）策略下發(fā)功能：將MAC地址表及相關(guān)策略下發(fā)給vBRAS。

（3）熱備部署：兩臺(tái)SD-LAN控制器雙機(jī)熱備部署。

3 業(yè)務(wù)流程

3.1 終端MAC地址第一次注冊(cè)

在SD-LAN組網(wǎng)模式下，用戶終端第一次接入網(wǎng)絡(luò)時(shí)，vBRAS會(huì)向SD-LAN控制器發(fā)送MAC地址注冊(cè)流程，如圖2所示。具體流程如下：①用戶終端接入；②vBRAS查詢本地MAC地址管理策略；③判斷本地MAC地址管理策略是否存在，如果存在，按照對(duì)用的策略實(shí)現(xiàn)轉(zhuǎn)發(fā)；如果不存在，則向SD-LAN控制器發(fā)送MAC地址注冊(cè)信息；④SD-LAN控制器收到上報(bào)的MAC地址注冊(cè)信息后，生成MAC地址注冊(cè)記錄，等待人工或接口判斷該MAC地址使用的管理策略；⑤在收到該MAC地址的管理策略后，生成管理策略記錄，同步給vBRAS，更新vBRAS的本地MAC地址管理策略。

圖2 MAC地址注冊(cè)流程圖

3.2 MAC地址在其他校區(qū)上線

在SD-LAN組網(wǎng)模式下，用戶終端在接入網(wǎng)絡(luò)時(shí)，vBRAS會(huì)判斷該MAC地址是本地轉(zhuǎn)發(fā)的還是通過VxLAN隧道轉(zhuǎn)發(fā)至其他遠(yuǎn)端vBRAS的，如圖3所示。

圖3 轉(zhuǎn)發(fā)數(shù)據(jù)流程圖圖

具體流程如下：①用戶終端接入；②vBRAS查詢本地MAC地址管理策略；③判斷是否存在該MAC地址的本地管理策略：如果不存在，按照新MAC地址注冊(cè)流程進(jìn)行操作；如果存在，則進(jìn)入數(shù)據(jù)轉(zhuǎn)發(fā)流程；④vBRAS查詢?cè)揗AC地址的管理策略是否屬于本地vBRAS；⑤如果該MAC地址的管理策略屬于本地轉(zhuǎn)發(fā)，則vBRAS直接進(jìn)行本地轉(zhuǎn)發(fā)；⑥如果該MAC地址的管理策略不屬于本地轉(zhuǎn)發(fā)，vBRAS查詢對(duì)應(yīng)的遠(yuǎn)程vBRAS的VxLAN隧道和VLAN信息，并通過VxLAN隧道將數(shù)據(jù)轉(zhuǎn)發(fā)至遠(yuǎn)程vBRAS進(jìn)行本地轉(zhuǎn)發(fā)。

3.3 MAC地址策略修改、更新

在SD-LAN組網(wǎng)模式下，可以人工修改MAC地址對(duì)應(yīng)的策略，并實(shí)時(shí)更新至所有的vBRAS，如圖4所示。具體流程如下：①管理員修改/更新MAC地址慣例策略；②SD-LAN控制器實(shí)時(shí)向所有的vBRAS發(fā)送MAC地址策略更新信息；③vBRAS收到SD-LAN控制器發(fā)送的MAC地址策略更新信息后，自動(dòng)更新本地MAC地址策略管理表。

圖4 MAC地址策略修改/更新流程圖

4 方案優(yōu)勢(shì)

（1）開放性：本方案采用NFV技術(shù)和VxLAN技術(shù)來解決IP隨身問題，沒有采用私有協(xié)議，具備良好的開放性。

（2）兼容性：本方案可以和兩個(gè)校區(qū)現(xiàn)有的網(wǎng)絡(luò)設(shè)備兼容，不需要對(duì)現(xiàn)有網(wǎng)絡(luò)設(shè)備進(jìn)行大替換和調(diào)整。

（3）可擴(kuò)展性：本方案可以根據(jù)實(shí)際需求分步實(shí)施，將需要做IP隨身的網(wǎng)絡(luò)（不同的VLAN）分批次實(shí)施。同時(shí)根據(jù)實(shí)際的流量情況選擇不同容量的vBRAS來滿足使用需求。

（4）技術(shù)潛力：本方案采用的NFV和VxLAN技術(shù)，均為目前IT前沿技術(shù)，本方案后期還有較大的技術(shù)潛力，目前已經(jīng)可以考慮的功能包括：QINQ下的打印機(jī)共享、啞終端的認(rèn)證管理、5G校園網(wǎng)接入等。這些可以在現(xiàn)有的vBRAS和SD-LAN控制器的基礎(chǔ)上開發(fā)對(duì)應(yīng)的功能。

5 結(jié)束語

本方案采用了與SD-WAN類似的組網(wǎng)方式的SDLAN方案[1-2]，通過VxLAN將兩個(gè)校區(qū)互聯(lián)，不需要對(duì)網(wǎng)絡(luò)拓?fù)溥M(jìn)行大的調(diào)整，校區(qū)之間依然采用三層互通；不需要校區(qū)間采用二層互通的方式，通過三層的VxLAN技術(shù)實(shí)現(xiàn)二層互通，減少環(huán)路風(fēng)險(xiǎn)；VxLAN隧道不僅可通過校際互聯(lián)鏈路，也可通過互聯(lián)網(wǎng)鏈路實(shí)現(xiàn)校際互聯(lián)；采用NFV方案，不依賴交換機(jī)廠家，可以自由選擇各校區(qū)的核心設(shè)備；可以根據(jù)實(shí)際網(wǎng)絡(luò)情況部署多臺(tái)vBRAS，單臺(tái)vBRAS可以支持多條VxLAN隧道，可以根據(jù)校園網(wǎng)的發(fā)展，調(diào)整vBRAS的部署；SD-LAN控制器雙機(jī)熱備部署，一臺(tái)控制器故障后，vBRAS自動(dòng)切換至另一臺(tái)控制器；如果兩臺(tái)控制器故障，vBRAS使用本地MAC地址管理策略工作；可以通過SD-LAN控制器，針對(duì)每個(gè)MAC地址提供具體策略，也可以考慮和認(rèn)證系統(tǒng)對(duì)接，獲取MAC地址的用戶身份信息，自動(dòng)匹配MAC地址管理策略；可以人工設(shè)置MAC地址管理策略，對(duì)需要IP隨身的MAC地址才啟用隨身策略，減少校際鏈路的壓力，充分利用各自校區(qū)的互聯(lián)網(wǎng)出口。