摘 要：传统高校极简网络方案通过集中认证的方式减少了接入汇聚设备的运维量，也解决了无线认证性能不足的问题，但同时其也暴露出了改造周期长、SuperVLAN大二层部署下终端位置定位困难、哑终端部署复杂、无可视化管理界面等问题。软件定义网络（SDN）是一种指导未来网络发展的新架构，基于这种新的思想和方法论，学校打造出新一代网络平台，平台符合开放网络联盟ONF所定义的SDN网络架构，其包含网络基础设施层、控制层、网络应用层，并支持设备、控制、应用多层次开放，基于开放接口，用户可扩展网络应用，集成了计算/存储/网络于一体的IT平台，充分展现了学校SDN平台的平台开放性、设备虚拟化和网络智能化。

关键词：教育信息化；校园网；软件定义网络；开放平台

中图分类号：TP393.18 文献标识码：A 文章编号：2096-4706（2019）02-0058-03

Abstract：The traditional minimalist network scheme in colleges and universities reduces the operation and maintenance of access convergence devices by centralized authentication，and also solves the problem of insufficient performance of wireless authentication. But at the same time，it also exposes the long transformation cycle，the difficulty of terminal location under the second-tier deployment of SuperVLAN，the complexity of dumb terminal deployment，and the lack of visual management interface. The software definition network （SDN）is a new architecture to guide future network development. Based on this new idea and methodology，the school has created a new generation of network platform. The platform conforms to the SDN network architecture defined by open network alliance（ONF），which includes network infrastructure layer，control layer，network application layer，and supports devices. Control and application are multi-level and open. Based on open interfaces，users can expand network applications，integrate computing/storage/network into an IT platform，fully demonstrate the openness of SDN platform，virtualization of equipment and network intelligence.

Keywords：education informatization；campus network；SDN（software defined network）；open platform

0 引 言

傳统高校极简网络方案通过集中认证的方式减少了接入汇聚设备的运维量、也解决了无线认证性能不足的问题，但同时也暴露出了改造周期长、SuperVLAN大二层部署下终端位置定位困难、哑终端部署复杂、无可视化管理界面等问题。本文提出的SDN方案在兼容传统极简网络方案的基础上针对传统极简网络方案遇到的问题进行方案精进，以期解决用户问题，给用户带来更好的体验。

智慧校园指的是以物联网为基础的智慧化的校园工作、学习和生活一体化环境，这个一体化环境以各种应用服务系统为载体，将教学、科研、管理和校园生活进行充分融合。无处不在的网络学习、融合创新的网络科研、透明高效的校务治理、丰富多彩的校园文化、方便周到的校园生活。简而言之，要做一个安全、稳定、环保、节能的校园。

SDN既是一种指导未来网络发展的新架构，又是一种指导思想，一种方法论。基于这种新的思想和方法论，学校打造出新一代网络平台，平台符合开放网络联盟ONF所定义的SDN网络架构，其包含网络基础设施层、控制层、网络应用层，并支持设备、控制、应用多层次开放，基于开放接口，用户可扩展网络应用，集成了计算/存储/网络于一体的IT平台，充分展现了学校SDN平台的开放性、设备虚拟化和网络智能化。

1 解决的主要问题

平台开放性体现在多层次开放上，网络基础设施层由SDN虚拟软件/物理硬件交换构成，并支持南向OpenFlow标准协议，除此之外为兼容传统网络部署，还支持传统网络的SNMP、NETCONF、TR069和Telnet等标准接口。网络控制层由逻辑上集中物理上分布的控制器集群构成，同时控制层上的所有网络服务和功能都为用户提供二次开发接口。

同时，为了提高网络资源利用率，满足网络资源按需自动化分配需求，平台支持网络分片Network Slicing技术，默认所有硬件和软件网络资源都归属于某个网络资源池。平台还将提供丰富的网络应用APP组件，这些组件使用户可根据应用需求部署各种基础和高级网络功能。基础网络包括L2转发、L3转发、DHCP地址池、安全过滤器、静态路由。高级网络功能包括一键完成MPLS L3 VPN配置，快速部署服务器负载均衡和整网链路负载均衡，以及业务感知QOS策略等。

在智慧校园趋势的推动之下，高校物联终端的数量和种类不断增多，现有的高校网络无法支撑其业务的高速发展，高校的网络管理面临如下问题：（1）各类终端接入后极大地增加了网络中心部门的运维量。1）针对这些终端需要进行资产管理。2）需要方便快捷地将这些物联终端连入网络。3）不同终端存在不同的特性，需要支持各类终端。（2）业务系统、运维管理边界不清，产生扯皮，影响服务。（3）现有的网络故障处理速度与能力不满足多业务入网后的故障实时性处理要求。（4）各类业务终端入网给现有网络带来不安全及不稳定隐患。

如上，高校迫切需要一套整体解决方案来满足不断增长的业务需求以及随之而来的终端的爆发式增长。本文提出的SDN方案针对物联终端提供了业务快速上线、安全准入、业务隔离、接入傻瓜化、分级分权等解决方案，让高校轻松应对智慧校园的发展趋势。

2 研究技术路线与方法

基于IPV6的SDN研究采用了以下研究方法和技术路线：

2.1 泛载一切，弹性网络

在智慧校园趋势的推动之下，高校哑终端种类和数量越来越多，平均终端类型20～30种，终端个数从几百个到上万个不等。这些业务终端归属部门不同（有财务部、保卫科、后勤等），分布不均匀，管理方式不同，不同终端业务之间需要进行安全隔离。在这样的背景下，高校网络中心需要为每种终端分配专用的VLAN，专用的端口，不同的安全策略，导致网络越来越复杂，运维难度越来越大。由于终端分布不均匀，如果将每种终端单独组网，就会导致大量端口闲置，从而导致端口利用率低，组网成本增加。

本文设计的基于SDN方案的解决方案下，一套设备和配置支持承载所有业务，直接在控制器上创建一个新业务，无需更改接入设备的配置，在控制器上还可以一键完成新业务和旧业务的隔离，开通一个新业务的时间从2天缩短到5分钟。

2.2 终端极速入网

现在很多业务不属于网络中心管辖，将这些业务接入到网络中需要网络工作人员来进行现场协作处理，这样就会造成多业务上线涉及方面较多，只要有一方或者一个环节出现问题，就会导致整个业务无法成功上线。

为了管理简单，一般情况下，教师的办公PC和學生电脑采用动态IP分配，接入交换机后，开启ip source guard来防止乱配静态IP地址导致的IP地址冲突，同时需要进行认证才能上外网。但这些多业务终端比如摄像头，门禁，电子公告栏等，为了方便进行资产管理和访问，需要采用静态IP地址，而哑终端则需要进行免认证。

2.3 终端移动随行策略

近几年基于网络的业务爆炸式增长，同时迎来无线网络的建设的浪潮，终端位置的移动接入成为常态，业务的灵活部署以及迁移成为刚需。以往基于网络位置进行网络规划的方式无法满足现在复杂的业务场景。

本文提出的基于SDN方案的解决方案支持终端位置移动IP网段随行，因此我们只需要将策略应用在对应的用户分组或者指定IP上，这样用户的所有的安全策略和权限就能移动随行。

2.4 接入傻瓜化

当前在用户的设备替换过程中遇到三个问题：问题一，设备替换要求专员操作；问题二，替换专员少，替换面积大，替换效率低下；问题三，学生对长时间断网反应强烈，替换时间紧迫。

自动化运维已经解决了上述三个问题的一部分，但在解决过程中经常出现以下错误：第一，接入模板不统一，不固定，操作人员按自己理解操作，没有使用最佳实施方案，容易出现部署过程设备配置模板错误导致部署断网的情况；第二，耗时长，容易出错，特别是每台设备的VLAN，IP要修改，另外操作人员的技术，素质参差不齐，很容易出现工作马虎，错配，漏配的情况；第三，上架的时候可能拿错设备，接错口。另外在传统极简网络方案运维期间，由于各接入设备的模板各异，在业务新入网时需要更改接入设备的配置，对运维能力要求较高，特别是替换时，配置不同容易导致更换设备时因。配置错误引起断网。

本套SDN方案可以做到接入设备模板化配置，下联端口VLAN无需担心接错口问题。通过自动化运维的解决方案做到设备0配置上线、0配置替换配合环路检测功能，大大降低了接入运维的工作量，使无任何经验的人也可完成接入运维工作。

2.5 分级分权

物联终端隶属于各个业务部门，例如后勤，安保部门，他们的哑终端接入都需要网络中心来完成，运维量大，网络中心希望能够将这些终端的网络准入和IP地址分配权限下放给各业务部门，而各个业务部门可以看到自己可管理的终端页面。

部分学校的实验室下接着各类终端，这种情况下，网络中心会直接分配一个网段的IP地址给实验室，让其自己分配这些IP地址，而这网段一般是免认证的。对于这种情况，网络中心既不想管理，但又希望对这些终端进行审核，否则容易出现私接的情况。

部署哑终端接入的时，一般都是在办公室外（例如一卡通），工作人员很多时候不会随身携带电脑，而这时就希望哑终端的入网审请能在移动端完成。随着移动办公越来越普及，在移动端进行审批将成为现实。

本文提出的基于SDN方案的解决方案同时支持PC端和移动端的分级分权功能，终端的网络准入和IP地址分配权限下放给业务部门，各个业务部门可以看到自己可管理的终端页面，可以对终端进行准入审核。

3 创新点

本文的创新主要表现在软件方面：模块化软件架构、多种南向接口和丰富北向接口、丰富网络功能以适应广泛应用场景，支持集群部署，外加人性化Web界面操作，充分简化了网络部署和运维等。

（1）平台支持为用户构建广义SDN解决方案，支持多种南向接口，控制器硬件支持OpenFlow和SNMP两种协议。（2）丰富北向接口（开放的系统）。北向接口支持RESTful和Java本地API两种形式。Java本地接口主要用于锐捷自身或合作伙伴的二次开发。为了充分满足用户对平台的开放性需求，其支持多种功能的接口开放。（3）适用广泛应用场景。平台作为支持广义SDN网络的控制核心，除了支持丰富的南向和北向接口外，还集成了一部分基础和高级网络服务组件。（4）友好性界面操作。平台设计目标是解放用户双手，通过人性化可视界面操作即可完成整网资源划分、网络配置、策略部署和故障诊断。

参考文献：

[1] 陆一飞，朱书宏.数据中心网络下基于SDN的TCP拥塞控制机制研究与实现 [J].计算机学报，2017，40（9）：2167-2180.

[2] 孙琼，解冲锋，赵慧玲，等.基于SDN架构的IPv6过渡技术设计与实现 [J].电信科学，2014，30（4）：15-21.

[3] 葛敬国，弭伟，吴玉磊.IPv6过渡机制：研究综述、评价指标与部署考虑 [J].软件学报，2014，25（4）：896-912.

作者简介：陈思（1987-），女，汉族，湖北襄阳人，科员，硕士，研究方向：网络与信息系统建设。