基于SDN的中小学校园网建设

2018-10-15梁彩隆余敏韦旻

新校园·上旬刊 2018年6期

梁彩隆余敏韦旻

摘要：为解决传统校园网结构僵化以及业务复杂场景多样的问题，在校园网建设中引入SDN理念，实现按需定义网络，将一个物理网络虚拟化成多个逻辑网络并与各个业务网络一一对应；同时，利用VXLAN技术将用户IP与物理地址解耦，实现基于角色分配IP并策略跟随。通过SDN校园网的实施，实现了多网自定义以及共存合一、网络设备自动化上线，使校园网络更加便捷、自动化。

关键词：SDN（软件定义网络）；网络虚拟化；多网共存

一、引言

信息化建设已进入一个新的时期，网络规模更大、承担的任务更多、业务更加丰富，这些对传统的网络运维提出了更高的要求。我区面临越来越多的老校园网改造和新校园网建设，如何在校园网建设中避免走以往的老路，建设起点过低、网络管理落后、难以适应新业务的需求，特别是对于全新的校园网建设，如何在一张白纸上画好蓝图，如何整合利用各种新的技术和手段来构建一个更加安全、可靠、高效、灵活的校园网成为一个新的课题。

软件定义网络（Software Defined Network，SDN），是由美国斯坦福大学Clean Slate研究组提出的一种新型网络创新架构，其核心技术OpenFlow通过将网络设备控制面与数据面分离开来，从而实现了网络流量的灵活控制，为核心网络及应用的创新提供了良好的平台。

人大附中丰台学校校园网建设正是在这样的背景下展开的，该校校园网建设业务需求复杂、应用场景多样，不仅涵盖小学、中学部，按功能区還包含教学区、办公区、公共区、宿舍区。业务需求包括办公教学需要的有线、无线、IP电话、IPTV、IP广播、多媒体大屏、电子班牌、计算机教室等。校园网建设不仅需要按时高质量交付以满足招生和教学管理的基本需要，同时需要体现一定的技术领先性。我们在项目中引入SDN理念，为网络硬件设备提供抽象虚拟化的能力，实现按需定义网络，将一个物理网络虚拟化成多个逻辑网络并与各个业务网络一一对应，使众多业务多网合一；同时利用VXLAN技术将用户IP与物理地址解耦，做到底层设备自动下发相同配置的情况下用户在任何位置IP地址不变，访问权限不变，便于设备运维和用户审计。

二、传统校园网建设存在的问题

校园网业务复杂场景多样，若按照传统网络方案进行部署会出现以下几方面问题。

1. 无法满足校园跨区域移动性需求

目前，校园移动化特征增强，用户上网位置不确定性增加，校园跨区域移动性需求增加。例如，教师从办公区移动到教学区，需要共享PPT和其他资源，相关的权限需要继续保持；教师从教学区移动到宿舍区，宿舍区要有相同的权限访问办公区访问的资源。而传统网络划分L3网段时往往与位置紧密关联。一个学校要根据不同的楼层或楼栋划分不同L3网段，这种模式下要想实现师生移动非常困难，如教师跨区域教学、工位搬迁等。要想获得同样的权限，必须要适应网络架构，在接入交换机对应不同IP写很多ACL，难以成型或者IT人员在进行网络配置调整的时候代价过大，用户体验不佳。

2. 用户审计不灵活

传统网络状态下，如果用户移动，IP地址会发生变化，当审计的时候，由于用户的IP地址不停变化，需要结合不同时间段内用户的IP地址情况综合查询，查询虽然可以实现，但是达不到单独审计IP的效果。

3. 业务专网重复投资建设

当下校园各类业务应用增多，多业务专网需求增加，对专用网络安全的隔离提出了更高的要求。

4. 设备人工上线运维效率低

校园网设备数量庞大，传统的人工手动上线模式工作量大、效率低，容易出错，校园网本身运维成本提高，IT管理员投入大量时间关注基础运维。巨大的网络运维工作量，导致网管人员80%～90%的时间都陷在网络运维的泥潭里不能自拔，极其缺乏创新时间。

三、校园网建设的新思路

目前，校园网承载的业务越来越多，使用的用户、终端也越来越多，校园网络所面临的问题越来越复杂。当问题复杂度增长到一定程度时，人们往往会将复杂的问题分解成几个复杂度较低的问题。根据该学校实际业务需求，经过我们多方多维度的调研，最终决定在传统校园网络中通过引入一系列新网络技术，如SDN、Overlay、NFV等技术，将越来越复杂的校园网络逻辑上分解成不同业务、不同用户群体的虚拟网络，从而降低业务、用户群体的管理复杂度，提升用户体验。

SDN是网络虚拟化的一种实现方式，SDN所做的事是将网络设备上的控制权分离出来，由集中的控制器管理，无须依赖底层网络设备（路由器、交换机、防火墙），屏蔽了来自底层网络设备的差异。而控制权是完全开放的，用户可以根据应用需求，自定义任何想实现的网络路由和传输规则策略，从而更加灵活和智能。同时基于VXLAN技术构成的Overlay大二层网络，可以满足用户在整个校园内的自由移动而不用改变任何配置，同时也不会影响其二层流量（以太网帧、ARP交互）。而NFV（Network Function Virtualization，网络功能虚拟化）则是为了应对网络虚拟化之后随之提高的网络安全性要求，保证SDN校园网的安全平稳运行。

结合各种新技术，经过多次探讨和验证，我们采用了SDN校园网的解决方案。按照我们上面所描述的分层解决复杂问题的思路，我们将传统的园区网络划分为四层，从下到上分别为传统物理网络层、根本业务与用户群组划分的按需定义的虚拟网络层、集中的园区控制层（SDN控制器）以及最上层的校园业务层。

本次校园网的建设分为四层架构进行规划，整网由接入、汇聚、核心三层设备组成，外部搭配重要的园区SDN控制器。

接入到汇聚使用VLAN进行联通，在汇聚层设备上，不同VLAN映射到不同VXLAN进行隔离，同时汇聚和核心设备之间运行VXLAN构建Overlay网络，构建一个逻辑上的大二层网络，同时采用分布式L3网关并通过可靠的机制有效地抑制广播风暴。

策略管理上则采用面向业务的分组模式，将属性或者访问权限相近的用户分到一个分组中，同时也将服务器侧的资源划分到分组进行统一管理。策略定义时，基于图形化矩阵表格的方式简单直观。具体策略可调控性较大，从而实现各种高级复杂的策略控制功能。

SDN校园网的控制平面采用EVPN（Ethernet VPN）技术，通过BGP协议来实现校园内用户终端的ARP、MAC信息的扁平化同步扩散；同时在汇聚层设备支持ARP代答机制，有效抑制ARP广播；整个网络具备VRF支持能力，具有完善的端到端VPN隔离能力，可以达到MPLS的隔离效果。

SDN校园网的转发平面采用了基于VXLAN的Overlay转发（隧道转发）本质上是一种mac over UDP的封装和转发方式，封装和解封装节点成为VTEP（Virtual Tunnel End Point，虚拟隧道端点，本项目中为支持VXLAN的汇聚交换机），这些节点完成普通报文到VXLAN的封装（上行）和解封装（下行），报文封装之后，外层转发是一个标准的IP寻址转发技术，容易为熟悉IP的人们理解和掌握。

SDN相比传统网络有了革命性的变化，不再是原有体系结构的修补和提升，而是从根本上改变了网络。SDN将传统网络设备的控制功能从网络设备的“盒子”里提取出来进行集中控制，并向上层的业务系统（应用系统）开放接口，可以由上层应用系统直接调度网络资源，创造了真正能“随业务需求而动”的自定义式网络。

在校园网络建设中可引入SDN技术，通过构建基于VXLAN的新一代的柔性校园网，配合相关理念，颠覆传统的校园网“人适应网”的现状，实现整个校园网范围内的“网随人动”的效果。在不需要做任何网络配置调整，增加运维成本的基础上，让人和终端可以在整个校园内任意角落移动，保持用户和终端始终处于既定的隔离网络、延续既定的网络策略，从而大大降低校园网的运维复杂度，满足校园网络移动化的新需求。

四、SDN校园网方案亮点及技术实现

1. 位置与IP地址解耦，基于角色分配IP

传统网络基于二三层技术，终端接入网络受预分配IP地址限制，其设计理念就是和位置紧耦合，无法灵活地实现教师的移动办公，IP地址只提供技术上的路由连通性功能。办公区与宿舍区的位置不同，预先分配的IP就不同。因为师生移动往往要跨越不同L3网段，IP地址必须进行更换，往往会丧失原先的权限，体验感很差。

SDN校园网采用创新的网络架构，改变以往基于位置的IP分配方式，用基于角色的IP分配方式，做到网络无状态，接入无差别，IP地址与位置解耦，不管师生移动到哪里，IP地址都能随身携带。IP地址不只承担路由连通性的技术功能，还具有身份和业务的标识功能。在SDN校园网架构下，IP地址完全可以做到与位置解耦，真正实现IP即用户、网段即业务的效果，审计更简单。

2. 策略随位置移动并实时跟随

在用户移动的过程中，如何保证策略随行、体验不变是用户最希望追求的效果。要实现策略随行，都需要对用户进行分组，传统的分组方式与地理位置紧耦合，同一个用户组位于一个办公区，一个楼层后者一个大楼之内，很难跨越地理的局限。用户一旦移动，策略实施就非常复杂，想达到策略跟随或者体验一致非常困难。

在SDN校园网架构下，用户分组完全打破地理位置的壁垒，可以跨越整个校园网。除了用户分组之外，策略的定义、动态跟踪也是策略随行的重要内容。在SDN校园网架构中，用户分组和IP网段严格对应。用户未入网，整个网络的策略控制内容已经完整清晰地确定下来。

不需要使用NP，因为我们网段即用户组，组间策略就是网段到网段的ACL，现有的任何ASIC芯片都支持此功能。不需要维护IP到组的对应关系，组间策略只需要一条ACL即可搞定，极大降低了对设备的ACL需求，不需要防火墙来辅助，不需要查询机制，一切从简，组网成本下降。

以下是IP绑定、策略随行的具体实现步骤。

第一步：管理员定义分组，包括用户组和资源组，组别的划分完全打破位置的壁垒和限制，做到和位置解耦，只需从业务角度进行考虑即可。

第二步：给每个分组分派一组固定的网络资源（VlAN/VXlAN/VRF/IP网段），其中的VlAN ID作为RADIUS下发的参数，由AAA服务器保存，网段信息则通过控制器配置作为DHCP Server的不同作用域或地址池。

第三步：定义组间策略，集中式策略管理，矩阵式表格，一目了然，清晰直观。策略可以是简单的Permit/Deny，也可以是复杂的针对应用层端口号的策略，还可以是高级的防火墙策略。比传统方式简化的就是全部都转换为简单的网段到网段的ACL。

第四步：使用SDN校园网的SDN控制器将矩阵表格显示的组间策略转化为ACL下发到指定的策略执行点（所有的汇聚层交换机）；一键下发，实时生效。

第五步：用户上线时根据5W1H进入相应的用户分组，分配IP。AAA服务器根据接入场景，匹配到一个分组，然后将该分组对应的VlAN ID通过RADIUS报文下发给NAS设备，NAS将接入端口动态加入该VlAN ID；用户动态申请地址，获得对应网段内的地址，用户的业务流将匹配矩阵表格定义的策略，获得相应的访问权限。

第六步：當终端通过DHCP获取到IP地址以后，将此IP地址上报控制器，控制器再绑定到DHCP Server上，成为永久的静态表项，确保用户每次申请地址，永远获得相同的IP地址。当用户移动时，由于接入场景没有变化，AAA服务器依旧匹配到相同的分组，下发相同的VLAN ID，终端在相同VLAN内申请地址，依旧获得同一个地址池的地址。用户移动后，5W1H条件若没有发生变化，用户仍然会进入相同的分组并获取绑定的固定IP，访问权限不变，真正实现体验跟随。同时在后期全网实名制之后，溯源审计也更加精确便捷。

3. 自动化

自动化是所有网管追求的终极目标，就是不用网管人员任何操作，网络自己就把自己配置好，把自己管理好。因此，应尽量增加网络自我配置的部分，减少网管人员参与配置的部分。我们这里的自动化主要指设备自动化开局和业务自动化上线的功能。

传统的网络开局一般都是手工的，需要网络维护人员一台一台地上电、更新版本、写配置、组网、调试、运行，工作辛苦冗长且容易出错，网络开局上线的时间较长。

在新的SDN校园网网络中，自动化上线由于采用了新的网络架构得到了极大的简化。

（1）设备自动化上线流程

第一步：配置自动化参数。管理员在控制器的“园区规划”中配置IP地址池，设备自动化IP地址段（即VlAN1的网段），设备管理与控制IP地址段（即VlAN/VXlAN 4094的网段），Underlay IP地址段（即Spine/Leaf设备loopback接口地址段），之后指定Master Spine，设定Spine/Leaf之间三层接口使用的VLAN范围，配置设备的Local-user/Password。控制器根据以上信息生成各角色的动态配置模板，并自动设置DHCP Server。

第二步：设定设备位置、角色。先扫描录入设备序列号，然后在控制器上给设备设置位置标签、角色，生成“设备标签角色文件”，之后在设备上标注安装位置，最后设备安装。

第三步：设备安装上电、连线。

第四步：设备自动化上线。通过DHCP获取IP地址及控制器地址，从控制器下载“设备标签角色文件”，配置位置标签，根据角色获取配置文件模板。然后自动邻居发现，配置链路类型，自动配置Underlay路由、使能EVPN，自动获取管理IP地址、配置纳管参数。最后控制器纳管设备，自动加入设备组，接口组控制器自动为Access配置下行接口的pvid。

（2）业务部署自动化流程

第一步：基于角色的资源分配。私网（隔离域/VPN）、二层网络域（VXLAN、IP网段）等。

第二步：矩阵式的策略定义。通过控制器策略定义矩阵，直观定义各用户组之间；用户组与资源服务器之间；以及用户组与外网的访问权限。

（3）设备故障替换自动化

传统网络设备故障替换，配置的恢复一般依赖于网管系统的日常备份，如果备份丢失，或者未及时备份，或者替换设备型号不一致，都需要管理员手动配置恢复，回顾整网地址分配、权限定义等大量网络参数，业务恢复周期长。

应用驱动园区提供的设备故障替换自动化，无须设备配置备份、无须回顾网络参数，新设备自动化上线后，控制器自动完成全部配置的恢复，即使面对不同型号设备替换的情况下仍旧可以做到一键下发，让运维人员从烦琐的故障恢复工作中解脱出来。

五、SDN校园网运行效果总结

如今新的校园网已经建成并且投入运营，对校园日常工作起到了重要的支撑作用。经过一段时间的稳定运营，我们有以下体会。

首先，网络的表现符合之前的预期，达到了设计要求，基于SDN和VXlAN技术，可在物理网络之上轻松自定义虚拟网络，实现了包括有线、无线、监控、数字广播、IP电话在内的多网共存合一的目標。

其次，基于VXlAN架构，通过SDN控制器实现了基于角色分配IP并策略跟随，真正做到“网随人动”，全校师生对全网的体验感有了质的变化和提升。

再次，基于SDN技术，通过SDN控制器实现业务自动化上线，利用VXlAN技术创建虚拟专网，快速开展IP广播、IP监控等业务，借助准入机制，保障专网安全性。同时，创新的架构模型使整个网络设备角色精简至三种，通过SDN控制器定义分发配置，真正实现设备自动化上线，节省80%以上的设备上线时间。

最后，基于角色的IP地址分配方式，实现所见即所得的状态，即见IP地址即见用户，达到审计回溯时单独审计IP的效果，保证网络安全。