基于SDN的5G智慧校园融合专网研究*
2022-09-14王理想廖永红戚德瑜
王理想,廖永红,戚德瑜,符 睿
(广东轻工职业技术学院,广东 广州 510300)
传统校园网由交换机、路由器组成,通过路由、交换实现数据通信,通过“VLAN+ACL”实现管控策略,安全策略、管控策略与网络接入位置、网络IP地址强相关,无法适应当前融合网络下的泛在网络接入、策略全局统一,无法实现快速网络切片,无法实现安防网、考试监控、智慧课室、明亮食堂、有线网络、无线网络、线上会议等子网的物理融合、逻辑划分、策略统一、信息安全、QOS保证等,已严重阻碍智慧校园大带宽接入、多网融合统一管控、网络切片安全隔离等业务需求的发展。
5G作为新一代无线通信技术,能够提供高性能的网络接入方式,SDN作为下一代互联网技术,将软件编程引入网络管理,实现网络的统一管理,将网络重新定义为业务层、控制层、数据层[1]。管理人员可通过编程来灵活设计网络控制策略,实现便捷的网络控制、降低网络运营成本、提高业务部署的效率。利用“SDN+5G”技术建设智慧校园5G融合专网,为智慧校园建设提供高效网络接入、极简网络管理、安全网络防护,支撑产教融合式教育的开展。
1 “SDN+5G”智慧校园专网建设需求
1.1 存在的问题
近年来,随着教育信息化持续投入,高校普遍建设了万兆骨干链路、主要区域有线/无线全覆盖的校园网络,建设了校园人脸识别系统、广播系统、安防系统、教室监控系统、云桌面等一系列系统,可以为师生提供各类网络服务,但是普遍存在以下两个问题:(1)系统暴露在校园网内,接入网络即可访问系统相关软硬件,存在较大安全漏洞;(2)基于“VLAN+ACL”方式对访问系统的IP或vlan进行限制,但造成校园各个网络孤岛,导致信息流转不畅,运维繁琐;(3)校园网无线无法承载大规模高清视频接入,无法满足大规模校园移动终端接入课堂直播、线上直播的接入需求,阻碍线上线下课堂同步、泛在学习等新型教学模式的顺利开展;(4)存在大范围网络覆盖死角,无法覆盖校园网,给平安校园建设带来较大困难;(5)校园网络迭代发展,不同系统由不同部门建设,造成校园内存在多个异构网络,无法满足智慧校园数据融通的建设需求。
1.2 智慧校园网络建设
(1)5G网络是第五代移动通信技术的简称,具有速率高、时延低、大连接的特点[2]。5G通讯充分考虑了人以外的物理的通信需求,提供人机物互联网络,实现万物泛在互联。“发改委工信部2020年新型基础建设工程”将5G专网建设提升为七项5G创新应用建设工程,利用5G切片、边缘计算技术建设5G虚拟企业/园区专网[3]。基于运营商云网融合MEP平台实现智慧校园与5G网络的打通,利用5G网络技术快速实现校园无缝覆盖的稳定网络环境,实现安防监控高清视频、智慧课室低时延视频、水电物联终端广泛连接的智慧校园互联网络。
(2)SDN(软件定义网络)是一种新型网络架构,是网络虚拟化的方式,通过OpenFlow将网络的控制面与数据面分离,实现网络流量的灵活控制[4]。通过SDN控制器实现智慧校园网络的统一管理,实现快速划分业务子网、一键下发安全策略、网络极简运维。
2 SDN驱动“5G+”校园融合专网建设
高校校园网是一个多网并存、相互隔离的网络环境,包括校园网、安防网、数字广播网、4/6级监控网、门禁网、物联网、4G/5G蜂窝网等独立网络,各个网络在不同时期、不同部门建设,导致网络相互隔离,信息共享难,基础设施重复建设,但校园内却仍存在着大量未覆盖区域,造成物理资源浪费、人力运维成本浪费。
SDN、5G网络切片技术已经逐渐成熟,利用SDN智能网络管理技术,通过5G网络通信实现校园万物互联,构建校园5G专网,实现5G、校园网、校园物联网、校园安防网、公有云、私有云、多校区网络互联互通,用户可通过5G网络随时随地接入校园业务,校园原有有线/无线网络提供固定地点的网络接入,并逐渐弱化,减少接入层网络资金投入,减轻运维人员压力,打造泛在、高速、稳定的5G教育专网。逐步运用5G网络代替原校园各独立网络,实现基础设施层的统一,终端可通过5G网络接入校园管理平台,实现校园各个角落均可部署安防、物联网终端,弥补原有校园网覆盖不足、布线困难的问题,打造无缝、安全、互联的5G校园物联网,为数据中台数据采集提供泛在网络支持。
“SDN+5G”智慧校园融合专网建设的目标是利用5G建设的契机,通过打通5G网与校园网对智慧校园网络进行一体化重构,通过SDN控制器对校园网络核心、5G校园网关进行控制,提供标准南北向RESTAPI接口,负责流量控制,实现智能网络;5G校园网关可通过多种方式与校园网核心打通,并对校园5G数据进行分流,校内数据不出校园网,校外数据按照SDN控制器下发策略进行转发。因此SDN控制器、校园网络核心、5G校园网关是“SDN+5G”智慧校园融合专网体系架构的关键节点。“SDN+5G”智慧校园融合专网体系架构如图1所示。
图1 “SDN+5G”智慧校园融合专网
2.1 SDN控制器
SDN网络架构实现网络控制与数据转发平面的分离,SDN控制器作为集中控制器,对网络整体资源及状态能够全局感知、快速联动,极大地调动网络资源保证业务的及时性、稳定性、安全性。通过SDN控制器将校园各类子网、人员、终端划分为不同资源组、安全组,制定安全组间策略、认证规则、访问策略,自动将配置、策略下发至校园核心、5G校园网关,实现精细化网络管理,同时SDN控制器提供标准北向接口,实现SDN网络应用的开发,提供网络业务编程能力,增加网络扩展弹性。
2.2 校园网络核心
校园网进行扁平化改造,并依据现网情况对校园网核心进行升级改造,核心层设备支持OpenFlow1.3以上协议,实现校园网核心支持SDN,核心层以下采用万兆链路、二层网络互联,认证网关与数据网关配置在认证BRAS,哑终端免认证网关配置在核心交换机,校园网现有大量汇聚交换机、接入交换机可不做升级替换就可实现校园网络升级为SDN网络。
为保证原有AAA系统不做大的改变,设计了SDN控制器做Radius中继与AAA系统对接,既满足用户准入准出,又实现用户业务随行、策略动态下发。
2.3 5G校园网关
利用网络功能虚拟化技术(Network Functions Virtualization,NFV)实现在行业标准服务器等设备上虚拟化部署5G网络专用设备的软硬件功能,并通过SDN技术实现5G边缘设备和网络核心的互通[5],通过NFV和SDN将5G网络切成多个虚拟子网(切片),实现5G智慧校园融合专网建设部署。
IGW(5G校园网关)是5G网络边缘节点,实现5G与校园网络的融合打通,利用GRE隧道、L2TP隧道、MPLS-VPN等协议或光纤直连实现5G网与校园网网络打通。5G校园网关采用二层链路接入校园网,实现5G接入用户的统一身份认证、统一安全管控策略。5G校园网关支持OpenFlow协议,SDN控制器能够管理5G校园网关,可以感知5G边缘网络状态及策略下发。5G网络首先根据接入用户的Tag标记,重定向用户流量到对应的5G校园网关,然后再根据SDN下发的校园网管控策略决定是放通、拒绝或是下一跳,流量放通进入校园后按照SDN下发的策略执行管控。
为多校区内部网络资源打标签,如广东轻工(广州校区)资源集合DNN_Tag=GDQY_GZ1@CMCC,利用5G-DNN技术在5G网络做策略,按DNN_Tag标记将相应流量路由到对应专网,实现对有权限的用户、已认证的终端通过5G网络即可访问对应权限资源,实现人、机、物提供接入智慧校园、获取校内资源,实现智慧校园5G云网端融合泛在网络(“5G+有线/无线+校园+私有云+公有云+教学资源”),实现平安校园感知终端快速部署覆盖、自由移动、智能门禁、人脸识别、监控、消防、智能楼宇(水、电、气、门)、智能工厂等可通过5G融合网络连接至校园平台,实现泛在接入、统一管控以及校园万物的数字化接入。
3 “SDN+5G”智慧校园业务分类及流量策略研究
3.1 5G网络切片应用业务
5G网络切片是一个复杂的技术,它是基于云计算、虚拟化、SDN等几大技术群实现的,通过统一管控平台在同一个物理网络基础架构上实现多服务类型保证的虚拟子网,根据服务对网络时延、带宽、安全性的不同要求将5G终端划分不同子网,通过载波或“VPN+QOS”隔离实现子网隔离,动态调整子网性能,保证不同业务的网络应用场景。
目前5G主流的三大应用场景是根据高带宽、高用户数链接、低QOS延迟等不同需求定义,对应三种通信服务类型eMBB、eMTC、eRLLC三个切片。校园业务场景的5G网络切片及业务分类如图2所示。
图2 5G网络切片及业务分类
3.2 校园网络切片及策略定义
通过SDN管理平台可以添加准入设备,定义安全组、安全组间策略、授权结果、授权规则、认证规则,快速进行校园各类业务的子网划分,实现物理一张网、逻辑多张网[6],子网之间管理可达、业务数据相互隔离,提高了网络的安全性。
通过SDN平台部署了多个校园子网,按设备属性及网络特性,将网络切片划分为财务专网、网管网、电子班牌、一卡通、安防网、门禁、智能水电表、教师监控等虚拟子网,虚拟子网之间不可互访,实现基于用户组、子网、资源组,允许、拒绝访问,强制下一跳等安全管控,并基于SDN管理实时感知网络波动,按照平台应用程序策略自动下发网络配置,更新网络管控策略,极大提高网络动态感知、设备安全、系统安全,降低运维难度。校园网络切片及策略定义如表1所示。
表1 校园网络切片及策略定义
4 “SDN+5G”教育专网应用研究
4.1 重构网络架构、打造软件定义智慧校园5G专网
5G校园网关采用二层链路接入校园网,校园网内进行扁平化改造,业务网关及认证网关均上移校园网核心,只需在校园网核心开启Https+Portal+LDAP认证,即可实现全网统一认证,SDN控制器作为Radius中继与AAA系统对接,实现用户业务随行,用户认证方式全网统一、管控策略全网一致,如图3所示。
图3 软件定义智慧校园专网
根据业务需求,利用NFV/SDN技术将5G网络、校园网进行网络切片,实现一张基础物理网络,多种、多个虚拟子网,实现网络隔离、按需定制[7],并基于SDN控制器集成日志管理中心,通过大数据分析及关联模型分析,能够对全网安全事件进行实时分析、协同联动、动态策略下发,及时封堵威胁流量。
软件定义智慧校园专网为用户、安防设备、水电物联终端、智能实训工厂等边缘终端提供泛在网络接入能力,打破内网资源不出外网的物理局限。利用5G基础网络实现校园人机物互联,解决传统校园网络带宽低、覆盖差、性能不足的问题,同时避免校园网络周期性改造升级的资金投资。校园5G专网实现5G、校园网、校园物联网、校园安防网、公有云、私有云、多校区网络互联互通,用户可通过5G网络随时随地接入校园业务,校园原有有线/无线网络提供固定地点的网络接入,并逐渐弱化,减少接入层网络资金投入,减轻运维人员压力,打造泛在、高速、稳定的5G教育专网;终端可通过5G网络接入校园管理平台,实现校园各个角落均可部署安防、物联网终端,弥补原有校园网覆盖不足、布线困难的问题,打造无缝、安全、互联、可编程的5G校园物联网,为数据中台数据采集提供泛在网络支持,为数字人才培养提供数据能力、接入能力、资源能力,校园网SDN网络部署,为学生和科研人员实现新协议和新算法提供了一个良好的平台。
4.2 支撑智慧课室、保障课堂音视频流量
智慧课室的大批量建设将带来校园网网络流量的大量、聚集性增长,为支撑智慧课室的常态化录播、课程同步、线上线下同步、随时随地投屏等高带宽、低时延的网络需求,采用“SDN+5G+wifi/有线+边缘云+私有云”的云网端架构,通过5G/wifi/有线融合网络把教室里的一切与云端连接起来,充分利用云端的算力与创新服务,让教室真正智慧起来。利用融合网络支撑智慧课室各类设备网络带宽、延迟、可靠性的需求,通过网络切片,在校园网为电子班牌、门禁切割出一个子网,通过网络策略配置,禁止普通用户访问子网,在网络层实现智慧课室第一层的信息安全管控。
4.3 提升平安校园,实现应用监控全覆盖
5G校园专网实现5G网络与校园网、安防网的融合,实现5G与校园的互通,为人脸识别门禁、人脸抓拍终端、安防机器人、安防摄像头等终端的校园覆盖和接入校园管控平台提供了稳定、高效、全覆盖的接入方式和途径,实现安防终端的泛在覆盖、统一管控、数据实时采集。
基于无缝平安校园设施,采集“校门门禁+宿舍门禁+人脸抓拍+校园APPGIS+车辆数据”,结合“学生一体化+心里调查+教学语音”等系统数据,开发校园大保障应用,实现学生安全问题、可疑人员的自动报警,实现重点人员实时监控,实现全校区人脸寻人。
4.4 基于云网融合,构建开放平台
基于“SDN+5G”融合网络,构建云网融合的开放平台。搭建融合、开放、共享、可编程平台,提供实时分析、统计决策分析、深度挖掘大数据分析、应用开发及发布、产教资源开发等能力,可快速构建智慧校园应用及业务,打造智能教育应用生态体系。
(1)构建数据资产地图。泛在的网络接入实现全量的数据采集,构建数据资产地图,并以主题库形成保存,开发者根据数据资产地图可快速找到所需的数据在哪里、数据的结构、数据的字段名称等,并在数据调用时根据用户等级进行数据脱敏,或通过隐私计算在用户无感的情况下获得计算结果。
(2)提供数据API接口。基于Token身份验证的数据获取机制,开发ETL、API、DB、文本等数据接口,提供JSON、XML、Text数据格式,用户通过图形化界面选择需要的数据、接口形式,审核通过后则自动为用户生成数据调用接口,实现数据快速获取。
(3)开放编程平台。根据不同应用类型提供实时分析类模型、统计决策类模型、深度挖掘类算法,实现模型即服务、算法即服务、AI即服务的平台能力,面向各业务部门管理员、各专业学生,只需通过界面拖动选择相应数据和服务即可实现一定的数据分析与展示,即可实时定位学生的校园位置情况,形成具有一定价值的分析结果,另外提供各类编程语言和大数据工具,开发者可根据需求的级别自主开发深度学习算法、应用,满足更加深度、个性的需求。教师利用平台教学,学生通过平台学习,平台数据又是校园师生数据,学生通过专业技术挖掘自己生活学习数据,开发应用提升生活学习的乐趣与质量,形成生活学习->产生数据->数据中台->开发平台->开发应用->生活学习的可循环的数据生态、应用生态,构建智慧校园应用生态体系,如图4所示。
图4 开放编程平台
5 结语
“SDN+5G”智慧校园专网实现校园万物互联、网络可编程,用户泛在接入,全量数据集成,基于一体化平台打造5G泛在教育接入(通过5G无感接入校园资源)、产教融合型教学资源平台、5G&AI平安校园、AI智慧课室、大数据教育质量智慧评价监测平台等一批智慧校园应用,充分发挥信息技术在学校教育事业发展中的作用,变革教育教学模式,建设教育智能应用生态体系、构建产教融合创新教育模式,有效提升学校人才培养质量和教育治理能力。