SDN园区解决方案的应用
2018-02-28张立军于淼
张立军 于淼
摘要
随着智慧医院的发展,近年来SDN的概念被越来越广泛地宣传与接受,随着技术的发展,园区网络已经有规模化的使用,本文通过实施SDN园区解决方案,实现了网络自动化运维、图形化管理以及人随网动,满足了医院对网络的需求。
【关键词】SDN 网络建设 解决方案
1 SDN园区网络建设背景
根据业务需求,医院需要建设并维护内网、外网、金宏网、卫计专网、社保网等网络,目前网络自动化程度不高,网络僵化、难以满足业务快速变化的需求、运维费时费力,如何升级网络自动化程度,满足医院业务快速发展对网络的需求,已经提上日程。
2 SDN园区网络实施
2.1 所需条件
本方案采用VXlan技术和EVPN分布式转发。服务器侧,需要两台服务器,分别用于安装dhcp和控制器。医院目前的用户数量不多,规模不大,可以采用二层组网模型,分为leaf和access,用户的网关都放在leaf上,leaf设备需要支持Vxlan技术和EVPN,为了实现交换机自动上线,leaf和access交换机采用与控制器同一品牌的交换机。
2.2 组网
组网拓扑如图1所示,其中leaf角色的交换机为核心交换机,考虑可靠性,将两台交换机虚拟化为一台,Director,EIA和DHCPServer服务器,都需要准备2个网卡,一个网卡配置VLANI网段ip,连接到Vlan1交换机;另一个网卡配置VLAN4094网段ip,连接到Vlan 4094交换机;
DHCP服务器采用windows server2012操作系统自带的,用于对全网设备、终端分配IP地址;Director为控制器,对整网交换机、终端以及dhcp服务器进行统一管理。
2.3 实施过程
Director上实现的自动化配置一共包含两部分,一部分是Underlay的全自动化部署,支持设备自动堆叠和自动聚合,可以实现设备的互联互通以及图形化管理,另一部分是用于承载用户业务的Overlay自动化配置。
2.3.1 Underlay自动化部署
Underlay自动化部署流程图如下所示,整个流程大体包括自动化部署准备、设备空配置启动获取角色模板自动化上线以及Director自动纳管三部分。首先需要在Director页面完成自动化参数(包含登录账号、密码,IP地址规划)等初始配置,其中DHCP服务器地址池部分也是由Director通过安装在DHCP服务器上的插件实现的自动配置,然后设备进行空配置启动,启动过程中从DHCP服务器获取给定范围的IP地址以及服务器地址信息,根据角色分别获取对应的自动化配置模板并下发到设备侧。当设备被Director自动纳管,且加入到对应的设备组和接口组后,Underlay部分的自动化部署即全部完成,整个过程无需登录设备、无需通过命令行修改配置。
设备的上线过程可以通过监控拓扑进行监控,设备上线后,对应角色的图标就会变绿,状态显示“已纳管“,也可看到设备对应的IP地址、MAC地址、SN码等信息。如果SN角色绑定了设备标签的,也将同步显示出设备标签。
2.3.2 Overlay自动化配置
Overlay部分自动化配置包含业务配置、私网配置以及用户接入配置,这些配置都只需要管理员在Director上通过图形化界面配置。
(1)业务配置内容主要在通用组里的设备组和接口组进行。
设备组里主要做全局的配置,系统根据组网设备角色预置Spine设备组、Leaf设备组、Access设备组。通过向设备组配置组策略(组策略由若干动作组成),完成配置下发。删除组策略或者删除动作时,清除下发的配置。
由于本方案需要Leaf设备实现802.1x认证、MAC地址认证以及MAC Portal所需要的业务功能,因此在Leaf设备组里,需要对应配置全局使能802.1x认证、MAC认证、AAA认证、DHCP Snooping,有线MAC Portal FreeACL3001功能,在“Leaf设备组代”->”组策略“中增加策略,并增加动作。
配置完成后,Director会讲配置下发到设备上去,可以点击“部署结果”的图标,查看相应的部署结果。
(2)私網配置包括创建私有网络、二层网路域、安全组、资源组。
私有网络亦即逻辑隔离的vpn,根据业务需求,可将医院网络分为内网、外网、金宏网、卫计专网、社保网。
二层网路域对应的是VXlan,按照部门进行分配,每个部门一个VXlan。
安全组对应的是IP地址段,对应不同的部门分配不同的地址段。
资源组对应的是各个部分所能访问的服务器资源,本方案按照服务器的安全等级进行划分,分为一般服务器和重要服务器,分配给不同的安全组访问权限。
(3)用户接入配置包含接入策略、接入组和接入用户。
接入策略指的是用户接入时的设定的属性,包括授权信息、认证绑定信息和用户客户端配置等。
接入组是用户使用网络的一个途径,主要指定采用的接入策略、安全组等信息。
接入用户需要提前录入认证系统,每个用户需要对应一个接入组,而接入组中对应了接入策略和安全组,进而确定所属的二层网络域。
3 SDN园区网络展望
本套园区网络解决方案基于传统交换机功能实现,稳定、可靠性有所保障,同时,在SDN园区网络解决方案中,交换机仅需要提供各基础功能,无需频繁的升级,面向客户的各种功能,均通过软件的方式提供,相对传统升级交换机芯片或系统的方式,这种方式更新、迭代的速度更快,定制化程度更高,随着技术的发展,整套方案的自动化程度会更高,也将将更贴近业务需求。
参考文献
[1]刘兴光.基于SDN的智能园区交换网络解决方案[J].通讯世界,2015(19).
