SDN架构和VxLAN技术在校园网建设中的研究与实践
2021-09-22王宇翔胡建龙佀洁张帆
王宇翔 胡建龙 佀洁 张帆
(西北大学网络和数据中心 陕西省西安市 710127)
随着各高校智慧校园建设的深入展开,各种新的技术,如物联网、人工智能、云计算、融合支付等,已经成为高校信息化建设必须考虑的发展方向。新技术的加入,必然会给校园网络基础设施的规划建设和运维管理带来新的挑战。当前各高校的校园网络架构基本以传统三层架构或以BRAS为主的扁平化大二层架构,架构比较分散,对于网络的规划以及安全策略均分布在不同的设备之上,网络的扩展也比较困难。随着新技术的推广普及,接入校园网的终端数量和类型也在不断的增加,需要划分很多个VLAN和IP子网;各类专网(如一卡通专网、财务专网、智慧教室专网、节能监控专网等)的建设和互通的需求,都给校园网络的建设和运维管理带来了一系列的问题,迫切需要一种集中式的,可视化的,自动化的网络建设和管理工具,来满足日益增加的网络规划建设和运维管理的需求。随着SDN(Software Defined Network,软件定义网络)架构和VxLAN(Virtual Extensible LAN,可扩展虚拟局域网)技术逐渐成熟,不同的厂家均有了较完备的方案,使得大二层扁平化结构和SDN的运行模式可满足对复杂网络的可视化、自动化配置和管理,终端设备自动上线,故障自动化排除的接入和管理需求,易于扩展,运维简便,已成为智慧校园建设中基础网络建设的首选方案。
1 高校校园网基础架构的发展历程
随着中国教育和科研计算机网(CERNET)的建设和发展,高校从90年代末开始建设自己的校园网络。经过20多年的建设,已经形成了规模性的校园基础网络设施架构,为学校信息化和智慧校园建设提供基础的网络保障。高校校园网基础架构发展主要有以下四个阶段:
1.1 传统三层架构阶段
高校最初在建设校园网时,均采用的是传统三层的架构来构建校园网,直到2010年左右,才逐渐进入第二阶段大二层扁平化改造。传统三层网络架构主要采用核心、汇聚和接入分层架构,核心层连接汇聚层和出口设备,放置在校园网核心机房内,主要负责数据高速转发,较少配置访问控制等安全策略;汇聚层连接接入设备,放置在楼宇汇聚机房内,主要负责区分不同区域用户的VLAN和IP子网,配置VLAN间的访问控制等策略;接入层负责连接用户,并配置部分访问控制策略。传统三层架构中,用户一般以物理区域或功能的不同来划分VLAN,VLAN内用户可以互访和资源共享,VLAN间用户可配置访问控制策略来有限互访。用户认证一般采用准出模式的portal认证,易于管理和维护但安全性较差。该架构在网络复杂程度较低的网络中比较适用,存在运维粗放,无法精细化管理的问题。
1.2 大二层扁平化架构改造阶段
为了解决三层架构无法精细化管理的问题,在2013年左右高校均开始试点或完成了大二层扁平化架构的改造。该架构使用BRAS+QinQ方式进行扁平化组网,将用户网关全部放置于BRAS设备中,并通过QinQ技术来隔离用户,可做到在集中管理的前提下很好的访问控制。这种架构相比传统三层架构在逻辑上更加简单,减少了接入层的维护工作。在认证层面,BRAS可以支持PPPoE和IPoE方式认证,可针对不同的区域选用更合适的认证方式,在简化用户接入操作复杂度的基础之上,同时增加了带宽管控等更加精细化的访问控制功能。该架构目前已是大多数高校正在使用的架构,相比传统三层架构进一步简化了运维复杂度,并增加了精细化管理的程度。但该架构仍存在设备配置分散,接入上线步骤繁琐,无法集中统一管理设备的缺点、
1.3 有线无线一体化架构阶段
从2015年开始,各高校陆续开始建设覆盖全校的无线网络,部分高校在出口上选择与运营商合作租赁出口带宽,采用社会化运营的方式来给校内用户提供更多套餐选择。在该阶段的建设中,由于增加了一张无线网络,所以针对有线无线一体化架构的规划至关重要,需要在核心层面、认证层面、访问控制层面将整个无线网络和已有有线网络融合,达到统一架构,统一运维的要求。在该阶段中,校园网络复杂程度已经很高,同时存在有线、无线网络以及一卡通专网、财务专网、节能监控专网等各类专用网络,设备终端也逐渐增多,运维复杂度高、安全管理困难、故障问题解决速度缓慢等问题逐渐成为网络运维的难点。很多时候网络设备的配置和变更还需要人工现场进行操作,人力成本持续增加,因人为原因造成的配置错误等故障时有发生,所以迫切需要建设自动化、集中控制、灵活性高的新一代校园网络。
1.4 新一代网络架构阶段
进入到2019年,SDN架构及VxLAN技术已逐渐普及,其特有的集中控制和灵活配置的解决方案非常适合解决高校校园网络目前存在的各种问题。使用SDN架构和VxLAN技术可在一个物理拓扑上构建多个虚拟网络,来承载不同层面的流量;统一的控制设备负责管理底层物理设备的配置,实现办公教学区多业务接入虚拟化部署的要求。该架构以用户或设备为中心,更加精细化管理,按角色分配访问权限,做到人(user)、物(things)专有的访问策略。同时构建多个虚拟网络即可在同一个物理架构上承载不同区域不同要求的专网,融合一卡通、财务专网、节能监控等专网,还可在合作运营的框架下融合第三方运营厂家的网络,构建出更加精细化和更具灵活性的新一代网络架构。
2 SDN网络架构和VxLAN技术
SDN架构最早由ONF(Open Networking Foundation,开放网络基金会)组织提出,并发布了白皮书规范标准架构,其架构由数据平面、控制平面和应用平面组成,将转发和控制分离,不同平面使用API接口关联,具有可编程,开放标准的特点。[1]
SDN的核心思想是将数据转发平面和控制平面分离,通过软件编程来优化数据转发的控制机制,从而实现对实际网络流量的集中控制和灵活的转发策略。由于可使用的控制条件相比传统转发机制更丰富,所以使得网络具有智能化和自动化能力,易于扩展,适应性强,能够适配各种业务的快速变化需求。
VxLAN技术是对传统VLAN的扩展,是一种在3层网络上构建虚拟网络的VPN技术。VxLAN使用MAC in UDP的封装方式将流量封装并扩展到第三层网关,故其可以穿透三层网络形成一种大二层的虚拟网络。VxLAN相比VLAN,可以跨越三层网络,突破了传统VLAN技术4096个用户的限制,具有16M用户支持能力,同时具有24个预留位标识用户组,扩展能力更强。通过VxLAN技术,即可在SDN架构构建的全互联逻辑拓扑之上创建多个虚拟网络(Virtual Network,VN),实现在同一个物理网络之上的不同业务互相隔离。VxLAN与SDN架构相结合,以其灵活、可扩展、高安全性的优势,可以取代BRAS+QinQ的方式构建高校扁平化大二层网络。
3 SDN架构和VxLAN技术的实践
SDN架构和VxLAN技术相结合,其优势可以适应智慧校园建设过程中面临的问题。以下以西北大学SDN网络建设为例,分析SDN架构和VxLAN技术的建设和应用。
西北大学SDN网络建设采用思科SDA(Software Defined Access,软件定义接入)解决方案,由DNA Center作为SDN控制器, Fusion层、Border层和Access层作为底层物理拓扑架构,构建了一个可视化、自动化、智能化的接入网络。西北大学SDN网络建设拓扑如图1所示。
图1:西北大学SDN网络建设拓扑
DNA Center负责将物理网络underlay逻辑化为一个整体的overlay网络,再使用VxLAN技术再overlay之上构建了教学办公VN、智慧教室VN以及IoT VN,用于分别接入不同的用户终端。与思科的ISE认证系统、城市热点认证计费系统对接,保持教学办公VN内用户的在上网习惯保持和原来一样的基础上,在同一个专网内部任意漫游。同时设置智慧教室VN和IoT VN内的接入设备的访问控制策略,统一下发给所有物理设备,大大降低了ACL的维护工作量。对园区网中的移动用户、固定用户及各类终端进行识别,按照用户所属的用户组,或者终端所代表的一类设备进行标记后下发策略,整个网络中用户和终端可以不受位置限制,任意位置接入,但是最终获取的网络资源和网络权限保持一致,达到网随人动的效果。设备终端在上线后,可以根据认证自动进入其对应的逻辑网络VN中;同一专网内的业务可以互通,不同专网网之间的业务完全隔离。
西北大学SDN专网建成后,承载了教学办公区内5栋楼宇的师生及智慧教室、自助打印等设备的网络接入,满足了使用同一套基础设施承载多个专网的需求,和师生在SDN网络范围内快速便捷接入校园网的需求。同时可视化的运维界面使得故障问题排查更加简便,可扩展性方便未来更多的改造,高安全性保证多个专网之间的安全问题,极大的减轻了网络运维人员的工作。
智慧校园建设是未来高校信息化建设的方向,在建设过程中,持续提高用户接入便捷性、扩大物联设备接入范围、保障接入用户的安全,是每位网络规划建设维护人员面临的挑战。使用SDN架构和VxLAN技术构建的新一代网络架构可以更好的为信息化建设部门提供解决方案。西北大学SDN网络建设实践表明基于SDN架构和VxLAN相结合的网络有效减轻了运维人员的压力,网络运维也变的可视化,由被动运维变为主动运维,提高了运维效率也降低了运维成本,提升西北大学智慧校园建设和信息化建设水平。