基于SDN的中小學校園網建設

梁彩隆 余敏 韋旻

摘 要：為解決傳統校園網結構僵化以及業務復雜場景多樣的問題，在校園網建設中引入SDN理念，實現按需定義網絡，將一個物理網絡虛擬化成多個邏輯網絡并與各個業務網絡一一對應；同時，利用VXLAN技術將用戶IP與物理地址解耦，實現基于角色分配IP并策略跟隨。通過SDN校園網的實施，實現了多網自定義以及共存合一、網絡設備自動化上線，使校園網絡更加便捷、自動化。

關鍵詞：SDN（軟件定義網絡）；網絡虛擬化；多網共存

一、引言

信息化建設已進入一個新的時期，網絡規模更大、承擔的任務更多、業務更加豐富，這些對傳統的網絡運維提出了更高的要求。我區面臨越來越多的老校園網改造和新校園網建設，如何在校園網建設中避免走以往的老路，建設起點過低、網絡管理落后、難以適應新業務的需求，特別是對于全新的校園網建設，如何在一張白紙上畫好藍圖，如何整合利用各種新的技術和手段來構建一個更加安全、可靠、高效、靈活的校園網成為一個新的課題。

軟件定義網絡（Software Defined Network，SDN），是由美國斯坦福大學Clean Slate研究組提出的一種新型網絡創新架構，其核心技術OpenFlow通過將網絡設備控制面與數據面分離開來，從而實現了網絡流量的靈活控制，為核心網絡及應用的創新提供了良好的平臺。

人大附中豐臺學校校園網建設正是在這樣的背景下展開的，該校校園網建設業務需求復雜、應用場景多樣，不僅涵蓋小學、中學部，按功能區還包含教學區、辦公區、公共區、宿舍區。業務需求包括辦公教學需要的有線、無線、IP電話、IPTV、IP廣播、多媒體大屏、電子班牌、計算機教室等。校園網建設不僅需要按時高質量交付以滿足招生和教學管理的基本需要，同時需要體現一定的技術領先性。我們在項目中引入SDN理念，為網絡硬件設備提供抽象虛擬化的能力，實現按需定義網絡，將一個物理網絡虛擬化成多個邏輯網絡并與各個業務網絡一一對應，使眾多業務多網合一；同時利用VXLAN技術將用戶IP與物理地址解耦，做到底層設備自動下發相同配置的情況下用戶在任何位置IP地址不變，訪問權限不變，便于設備運維和用戶審計。

二、傳統校園網建設存在的問題

校園網業務復雜場景多樣，若按照傳統網絡方案進行部署會出現以下幾方面問題。

1. 無法滿足校園跨區域移動性需求

目前，校園移動化特征增強，用戶上網位置不確定性增加，校園跨區域移動性需求增加。例如，教師從辦公區移動到教學區，需要共享PPT和其他資源，相關的權限需要繼續保持；教師從教學區移動到宿舍區，宿舍區要有相同的權限訪問辦公區訪問的資源。而傳統網絡劃分L3網段時往往與位置緊密關聯。一個學校要根據不同的樓層或樓棟劃分不同L3網段，這種模式下要想實現師生移動非常困難，如教師跨區域教學、工位搬遷等。要想獲得同樣的權限，必須要適應網絡架構，在接入交換機對應不同IP寫很多ACL，難以成型或者IT人員在進行網絡配置調整的時候代價過大，用戶體驗不佳。

2. 用戶審計不靈活

傳統網絡狀態下，如果用戶移動，IP地址會發生變化，當審計的時候，由于用戶的IP地址不停變化，需要結合不同時間段內用戶的IP地址情況綜合查詢，查詢雖然可以實現，但是達不到單獨審計IP的效果。

3. 業務專網重復投資建設

當下校園各類業務應用增多，多業務專網需求增加，對專用網絡安全的隔離提出了更高的要求。

4. 設備人工上線運維效率低

校園網設備數量龐大，傳統的人工手動上線模式工作量大、效率低，容易出錯，校園網本身運維成本提高，IT管理員投入大量時間關注基礎運維。巨大的網絡運維工作量，導致網管人員80%～90%的時間都陷在網絡運維的泥潭里不能自拔，極其缺乏創新時間。

三、校園網建設的新思路

目前，校園網承載的業務越來越多，使用的用戶、終端也越來越多，校園網絡所面臨的問題越來越復雜。當問題復雜度增長到一定程度時，人們往往會將復雜的問題分解成幾個復雜度較低的問題。根據該學校實際業務需求，經過我們多方多維度的調研，最終決定在傳統校園網絡中通過引入一系列新網絡技術，如SDN、Overlay、NFV等技術，將越來越復雜的校園網絡邏輯上分解成不同業務、不同用戶群體的虛擬網絡，從而降低業務、用戶群體的管理復雜度，提升用戶體驗。

SDN是網絡虛擬化的一種實現方式，SDN所做的事是將網絡設備上的控制權分離出來，由集中的控制器管理，無須依賴底層網絡設備（路由器、交換機、防火墻），屏蔽了來自底層網絡設備的差異。而控制權是完全開放的，用戶可以根據應用需求，自定義任何想實現的網絡路由和傳輸規則策略，從而更加靈活和智能。同時基于VXLAN技術構成的Overlay大二層網絡，可以滿足用戶在整個校園內的自由移動而不用改變任何配置，同時也不會影響其二層流量（以太網幀、ARP交互）。而NFV（Network Function Virtualization，網絡功能虛擬化）則是為了應對網絡虛擬化之后隨之提高的網絡安全性要求，保證SDN校園網的安全平穩運行。

結合各種新技術，經過多次探討和驗證，我們采用了SDN校園網的解決方案。按照我們上面所描述的分層解決復雜問題的思路，我們將傳統的園區網絡劃分為四層，從下到上分別為傳統物理網絡層、根本業務與用戶群組劃分的按需定義的虛擬網絡層、集中的園區控制層（SDN控制器）以及最上層的校園業務層。

本次校園網的建設分為四層架構進行規劃，整網由接入、匯聚、核心三層設備組成，外部搭配重要的園區SDN控制器。

接入到匯聚使用VLAN進行聯通，在匯聚層設備上，不同VLAN映射到不同VXLAN進行隔離，同時匯聚和核心設備之間運行VXLAN構建Overlay網絡，構建一個邏輯上的大二層網絡，同時采用分布式L3網關并通過可靠的機制有效地抑制廣播風暴。

策略管理上則采用面向業務的分組模式，將屬性或者訪問權限相近的用戶分到一個分組中，同時也將服務器側的資源劃分到分組進行統一管理。策略定義時，基于圖形化矩陣表格的方式簡單直觀。具體策略可調控性較大，從而實現各種高級復雜的策略控制功能。

SDN校園網的控制平面采用EVPN（Ethernet VPN）技術，通過BGP協議來實現校園內用戶終端的ARP、MAC信息的扁平化同步擴散；同時在匯聚層設備支持ARP代答機制，有效抑制ARP廣播；整個網絡具備VRF支持能力，具有完善的端到端VPN隔離能力，可以達到MPLS的隔離效果。

SDN校園網的轉發平面采用了基于VXLAN的Overlay轉發（隧道轉發）本質上是一種mac over UDP的封裝和轉發方式，封裝和解封裝節點成為VTEP（Virtual Tunnel End Point，虛擬隧道端點，本項目中為支持VXLAN的匯聚交換機），這些節點完成普通報文到VXLAN的封裝（上行）和解封裝（下行），報文封裝之后，外層轉發是一個標準的IP尋址轉發技術，容易為熟悉IP的人們理解和掌握。

SDN相比傳統網絡有了革命性的變化，不再是原有體系結構的修補和提升，而是從根本上改變了網絡。SDN將傳統網絡設備的控制功能從網絡設備的“盒子”里提取出來進行集中控制，并向上層的業務系統（應用系統）開放接口，可以由上層應用系統直接調度網絡資源，創造了真正能“隨業務需求而動”的自定義式網絡。

在校園網絡建設中可引入SDN技術，通過構建基于VXLAN的新一代的柔性校園網，配合相關理念，顛覆傳統的校園網“人適應網”的現狀，實現整個校園網范圍內的“網隨人動”的效果。在不需要做任何網絡配置調整，增加運維成本的基礎上，讓人和終端可以在整個校園內任意角落移動，保持用戶和終端始終處于既定的隔離網絡、延續既定的網絡策略，從而大大降低校園網的運維復雜度，滿足校園網絡移動化的新需求。

四、SDN校園網方案亮點及技術實現

1. 位置與IP地址解耦，基于角色分配IP

傳統網絡基于二三層技術，終端接入網絡受預分配IP地址限制，其設計理念就是和位置緊耦合，無法靈活地實現教師的移動辦公，IP地址只提供技術上的路由連通性功能。辦公區與宿舍區的位置不同，預先分配的IP就不同。因為師生移動往往要跨越不同L3網段，IP地址必須進行更換，往往會喪失原先的權限，體驗感很差。

SDN校園網采用創新的網絡架構，改變以往基于位置的IP分配方式，用基于角色的IP分配方式，做到網絡無狀態，接入無差別，IP地址與位置解耦，不管師生移動到哪里，IP地址都能隨身攜帶。IP地址不只承擔路由連通性的技術功能，還具有身份和業務的標識功能。在SDN校園網架構下，IP地址完全可以做到與位置解耦，真正實現IP即用戶、網段即業務的效果，審計更簡單。

2. 策略隨位置移動并實時跟隨

在用戶移動的過程中，如何保證策略隨行、體驗不變是用戶最希望追求的效果。要實現策略隨行，都需要對用戶進行分組，傳統的分組方式與地理位置緊耦合，同一個用戶組位于一個辦公區，一個樓層后者一個大樓之內，很難跨越地理的局限。用戶一旦移動，策略實施就非常復雜，想達到策略跟隨或者體驗一致非常困難。

在SDN校園網架構下，用戶分組完全打破地理位置的壁壘，可以跨越整個校園網。除了用戶分組之外，策略的定義、動態跟蹤也是策略隨行的重要內容。在SDN校園網架構中，用戶分組和IP網段嚴格對應。用戶未入網，整個網絡的策略控制內容已經完整清晰地確定下來。

不需要使用NP，因為我們網段即用戶組，組間策略就是網段到網段的ACL，現有的任何ASIC芯片都支持此功能。不需要維護IP到組的對應關系，組間策略只需要一條ACL即可搞定，極大降低了對設備的ACL需求，不需要防火墻來輔助，不需要查詢機制，一切從簡，組網成本下降。

以下是IP綁定、策略隨行的具體實現步驟。

第一步：管理員定義分組，包括用戶組和資源組，組別的劃分完全打破位置的壁壘和限制，做到和位置解耦，只需從業務角度進行考慮即可。

第二步：給每個分組分派一組固定的網絡資源（VlAN/VXlAN/VRF/IP網段），其中的VlAN ID作為RADIUS下發的參數，由AAA服務器保存，網段信息則通過控制器配置作為DHCP Server的不同作用域或地址池。

第三步：定義組間策略，集中式策略管理，矩陣式表格，一目了然，清晰直觀。策略可以是簡單的Permit/Deny，也可以是復雜的針對應用層端口號的策略，還可以是高級的防火墻策略。比傳統方式簡化的就是全部都轉換為簡單的網段到網段的ACL。

第四步：使用SDN校園網的SDN控制器將矩陣表格顯示的組間策略轉化為ACL下發到指定的策略執行點（所有的匯聚層交換機）；一鍵下發，實時生效。

第五步：用戶上線時根據5W1H進入相應的用戶分組，分配IP。AAA服務器根據接入場景，匹配到一個分組，然后將該分組對應的VlAN ID通過RADIUS報文下發給NAS設備，NAS將接入端口動態加入該VlAN ID；用戶動態申請地址，獲得對應網段內的地址，用戶的業務流將匹配矩陣表格定義的策略，獲得相應的訪問權限。

第六步：當終端通過DHCP獲取到IP地址以后，將此IP地址上報控制器，控制器再綁定到DHCP Server上，成為永久的靜態表項，確保用戶每次申請地址，永遠獲得相同的IP地址。當用戶移動時，由于接入場景沒有變化，AAA服務器依舊匹配到相同的分組，下發相同的VLAN ID，終端在相同VLAN內申請地址，依舊獲得同一個地址池的地址。用戶移動后，5W1H條件若沒有發生變化，用戶仍然會進入相同的分組并獲取綁定的固定IP，訪問權限不變，真正實現體驗跟隨。同時在后期全網實名制之后，溯源審計也更加精確便捷。

3. 自動化

自動化是所有網管追求的終極目標，就是不用網管人員任何操作，網絡自己就把自己配置好，把自己管理好。因此，應盡量增加網絡自我配置的部分，減少網管人員參與配置的部分。我們這里的自動化主要指設備自動化開局和業務自動化上線的功能。

傳統的網絡開局一般都是手工的，需要網絡維護人員一臺一臺地上電、更新版本、寫配置、組網、調試、運行，工作辛苦冗長且容易出錯，網絡開局上線的時間較長。

在新的SDN校園網網絡中，自動化上線由于采用了新的網絡架構得到了極大的簡化。

（1）設備自動化上線流程

第一步：配置自動化參數。管理員在控制器的“園區規劃”中配置IP地址池，設備自動化IP地址段（即VlAN1的網段），設備管理與控制IP地址段（即VlAN/VXlAN 4094的網段），Underlay IP地址段（即Spine/Leaf設備loopback接口地址段），之后指定Master Spine，設定Spine/Leaf之間三層接口使用的VLAN范圍，配置設備的Local-user/Password。控制器根據以上信息生成各角色的動態配置模板，并自動設置DHCP Server。

第二步：設定設備位置、角色。先掃描錄入設備序列號，然后在控制器上給設備設置位置標簽、角色，生成“設備標簽角色文件”，之后在設備上標注安裝位置，最后設備安裝。

第三步：設備安裝上電、連線。

第四步：設備自動化上線。通過DHCP獲取IP地址及控制器地址，從控制器下載“設備標簽角色文件”，配置位置標簽，根據角色獲取配置文件模板。然后自動鄰居發現， 配置鏈路類型，自動配置Underlay路由、使能EVPN，自動獲取管理IP地址、配置納管參數。最后控制器納管設備，自動加入設備組，接口組控制器自動為Access配置下行接口的pvid。

（2）業務部署自動化流程

第一步：基于角色的資源分配。私網（隔離域/VPN）、二層網絡域（VXLAN、IP網段）等。

第二步：矩陣式的策略定義。通過控制器策略定義矩陣，直觀定義各用戶組之間；用戶組與資源服務器之間；以及用戶組與外網的訪問權限。

（3）設備故障替換自動化

傳統網絡設備故障替換，配置的恢復一般依賴于網管系統的日常備份，如果備份丟失，或者未及時備份，或者替換設備型號不一致，都需要管理員手動配置恢復，回顧整網地址分配、權限定義等大量網絡參數，業務恢復周期長。

應用驅動園區提供的設備故障替換自動化，無須設備配置備份、無須回顧網絡參數，新設備自動化上線后，控制器自動完成全部配置的恢復，即使面對不同型號設備替換的情況下仍舊可以做到一鍵下發，讓運維人員從煩瑣的故障恢復工作中解脫出來。

五、SDN校園網運行效果總結

如今新的校園網已經建成并且投入運營，對校園日常工作起到了重要的支撐作用。經過一段時間的穩定運營，我們有以下體會。

首先，網絡的表現符合之前的預期，達到了設計要求，基于SDN和VXlAN技術，可在物理網絡之上輕松自定義虛擬網絡，實現了包括有線、無線、監控、數字廣播、IP電話在內的多網共存合一的目標。

其次，基于VXlAN架構，通過SDN控制器實現了基于角色分配IP并策略跟隨，真正做到“網隨人動”，全校師生對全網的體驗感有了質的變化和提升。

再次，基于SDN技術，通過SDN控制器實現業務自動化上線，利用VXlAN技術創建虛擬專網，快速開展IP廣播、IP監控等業務，借助準入機制，保障專網安全性。同時，創新的架構模型使整個網絡設備角色精簡至三種，通過SDN控制器定義分發配置，真正實現設備自動化上線，節省80%以上的設備上線時間。

最后，基于角色的IP地址分配方式，實現所見即所得的狀態，即見IP地址即見用戶，達到審計回溯時單獨審計IP的效果，保證網絡安全。

總之，SDN校園網更先進、更開放、更便捷、更自動化，為教育行業信息化建設提供新的范本。

參考文獻：

[1]陳偉東.SDN軟件定義網絡技術發展研究[J].電腦編程技巧與維護，2015 （23）.

[2]孔慶偉.基于SDN的高校校園網設計及應用研究[J].山東社會科學，2015 （S2）.

[3]劉婉.SDN網絡技術的安全架構分析[J].數碼世界，2016 （12）.

[4]鄭鐘楊.高校SDN網絡應用創新的探討解析[J].網絡安全技術與應用，2017 （8）.