基于SDN和VxLAN的校園網扁平化架構設計研究

林維鏘

摘要：隨著校園智慧化的發展，校園網扁平化管理成為高校信息化建設的方向。本文在分析了校園網絡扁平化必要性的基礎上，提出了一種基于SDN和VxLAN技術的高校校園網扁平化的較新設計方案。

關鍵詞：SDN;VxLAN;扁平化;大二層

中圖分類號：TP391? ? ?文獻標識碼：A

文章編號：1009-3044（2019）26-0053-02

開放科學（資源服務）標識碼（OSID）：

Abstract： With the development of campus intelligence， the flat management of campus network has become the inevitable direction of university information construction. Based on an analysis of the necessity of flattening the campus network in colleges and universities， this paper proposes a new design scheme for the flattening of college campus network based on SDN and VxLAN Technology.

Key words： SDN; VxLAN; lat; large second layer

隨著云計算、人工智能、大數據、物聯網等新技術的普及，智慧校園已成為高校信息化建設的新模式和發展方向。高校校園網中普遍使用的核心、匯聚和接入的三層網絡架構，已無法滿足基于數字化校園的智慧教學業務、日常管理的需求。校園網絡架構扁平化是目前校園網發展的主要趨勢，基于SDN和VxLAN技術來實現校園網扁平化架構是目前較新的主流技術路線，其使用了二層扁平化結構和軟件定義網絡的運行模式，實現了對校園網設備的自動化管理、全面監控、設備無須配置上線和故障自動化排除，其特有的運維簡易和靈活擴展性，適合教育智慧化的需求。

1 校園網扁平化問題的提出

1.1 傳統三層網絡架構的存在問題

目前大部分高校校園網均采用傳統的以基于路由交換機的接入、匯聚和核心三層網絡架構，這種網絡架構下的匯聚層設備兼做接入層的網關，接入用戶的權限管理和業務隔離主要通過劃分不同Vlan方式進行實現，存在校園網拓撲結構復雜、設置配置冗長、擴展不便等問題，網管的大量管理工作是處理網絡優化和故障排查等繁雜問題。另外，大量的接入層和匯聚層設備部署在校園各個地方，設備環境差，導致設備故障率高，管理維護難度增大;校園網昂貴的出口帶寬無法得到有效監控和控制，P2P下載、視頻、IM傳文件等大流量應用搶占帶寬;且以太網是一種廣播網絡，容易受到類似 ARP欺騙、IP沖突、DHCP偽造等攻擊。因此，高校智慧化校園建設首先需要解決傳統三層網絡架構的弊端，構建高性能、精細化、易管理的網絡新架構。

1.2 校園網的扁平化

扁平化網絡架構不是要求物理連接層次上的減少，而是根據功能將網絡邏輯劃分為業務控制層和寬帶接入層。業務控制層則由核心層設備構成， 主要提供網絡中的終端用戶控制、 業務功能實現等復雜功能， 寬帶接入層由匯聚和接入設備構成， 主要提供終端用戶帶寬接入、二層隔離和隧道建立等功能。扁平化的網絡結構不僅能簡化網絡管理工作，解決傳統三層邏輯網絡架構存在的問題，更能夠提高網絡運行的效率及安全。 目前校園網主流的扁平化方案是在不大規模改變現有以太網接入方式和物理網絡拓撲基礎上， 將三層的校園網架構調整為業務控制層和寬帶接入層的二層網絡架構， 在功能上將核心設備、 匯聚和接入設備劃分到相應的網絡層次上，從而實現大二層的扁平化邏輯校園網絡架構。

本文研究的是使用最新的SDN和VxLAN技術，對廣東一所理工類高職校園網進行改造實現網絡扁平化的設計和實踐。

2 扁平化網絡使用的主要技術

目前校園網扁平化所用的技術主要有BRAS、GPON、QinQ、Overlay等，本文所研究的SDN架構和VxLAN隧道是最新網絡扁平化技術，具有結構靈活、管理更簡單、擴展性更強等特性。

2.1 SDN技術架構及特性

SDN（Software Defined Network，軟件定義網絡）是一種基于軟件可編程思想的新型網絡技術架構，其核心思想是通過分離網絡設備的控制層面與轉發層面，來實現對網絡流量的集中和靈活控制。通過利用軟件技術優化網絡技術， 提高網絡的智能化和自動化能力， 從而使網絡具有高度可擴展性和適應性，能快速響應業務變化的需求。SDN 架構一般由傳統網絡、虛擬化網絡等控制器整合管理的網絡設備層，通過OpenFlow等接口，實現網絡的可靠性、負載分擔、協同處理以及資源池控制與資源抽象層編排，通過拓展插件、標準接口與其他平臺對接形式，實現統一網絡架構的管理。

基于SDN構架的網絡具有自適應性和可編程性的特點。自適應性指網絡架構具有較強可擴展性，可以在物理網絡上自定義虛擬網絡，并且與接入位置完全解耦，使同一IP可以在任意位置接入，相應網段及策略也可隨位置變化實時跟隨，實現網絡的資源跟隨人和應用移動;同時，通過設備的上線自動感知及配置智能下發，從而實現設備零配置上線，結合虛擬通道配置隔離、網絡傳輸質量自動感知等策略，實現故障的快速自動化排除及網絡擴展自適應。可編程性指通過功能接口進行轉發層和控制層的編程，實現整個網絡的軟件化和可視化控制，可快速開展一卡通、財務、廣播、IP監控等專網定制業務，以及利用可編程自定義的用戶準入機制，提升專網安全性;同時，通過SDN開放的接口和與第三方系統通訊實現網絡接口的開放，滿足校園網各種復雜應用的個性化特殊網絡需求。

2.2 VxLAN技術介紹

VxLAN （Virtual Extensible LAN，虛擬擴展局域網）是由VMware、思科、Arista、Broadcom、Citrix和紅帽等業界巨頭企業提出的一種基于隧道封裝的網絡虛擬化技術，得到了廣泛的認可，已逐漸發展最為成熟的新二層數據中心技術，可在傳統的三層物理網絡拓撲架構上虛擬出大二層的邏輯網絡。VxLAN通過將終端發送的數據封裝在UDP數據包中，并將物理網絡的MAC 作為包頭，然后在 IP 網絡上傳輸，到達目的地后由隧道終結點進行解封裝，整個通信過程對終端來說物理網絡拓撲是透明的，終端只感知到邏輯網絡結構。VXLAN 主要特性有：可實現最多支持 16M個VLAN，解決了傳統二層網絡最多支持4K個 VLAN的問題;基于 IP的大二層網絡，使得網絡部署和維護變得便捷，且可利用現有大部分設備;只有進行封解數據包的邊緣設備需要進行VxLAN 處理，中間設備只需可轉發傳統ip數據包。

VxLAN技術以前主要使用在大型的數據中心，用于解決VLAN 不足問題， 在校園網中使用更多的大二層技術是QinQ，但隨著其技術發展成熟、對比QinQ更多技術優勢，以及所支持的設備增多，逐漸在廣域網、大型局域網中得到應用。VxLAN配置相對復雜、不適合大規模部署的缺點在結合SDN技術后，已得到較好的解決，并充分發揮其靈活、擴展性好、安全性高等優勢。

3 基于SDN和VxLAN的校園網扁平化架構設計

3.1 校園網扁平化的架構設計

廣東某理工類職業院校的校園網于 2008 年建設完成，采用傳統的三層路由交換組網模式，網絡架構使用核心、匯聚和接入的拓撲架構，隨著互聯網的高速發展和智慧校園業務應用的不斷增多，其三層架構帶來的可管理性差、安全性不足、專網擴展困難等問題日益凸顯，現有的校園網已難以滿足學校業務發展的需求。該校校園網的核心設備也運行近10年，開始出現性能不足及穩定性差等問題，為提升校園網基礎設施服務質量，該校對校園網進行改造升級，考慮到為滿足日后發展需要，將校園網進行扁平化設計，網絡拓撲如下圖所示。

新的扁平化校園網架構從物理邏輯架構上看，還是分為接入、匯聚、核心等三個層次，但在邏輯架構上已變成大二層。核心層由兩臺支持VxLAN的高性能核心交換機和 SDN控制器組成，兩臺核心交換機采用虛擬化部署，組成單臺邏輯核心設備，來實現核心層的負載均衡和冗余備份，SDN控制器負責整網設備管理及接入控制;匯聚層將原有的總多匯聚節點調整為教學樓、實訓樓、圖書館、宿舍區4 個大節點，采用4臺高性能核心路由交換機，作為校園網 4 個區域匯聚交換機，采用雙萬兆鏈路直連核心層設備，同時采用萬兆鏈路和各樓棟匯聚交換機互聯，全面實現核心匯聚萬兆校園骨干網;校園網接入層設備是與用戶終端直接互聯的，接入交換機的性能及穩定性將直接決定終端用戶的可用性及體驗，在本次改造中將使用年限較長的非智能化百兆交換機替換為可網管智能千兆交換機，另外在物理結構上盡量將弱電間的接入交換機通過光纖鏈路直接互聯匯聚交換機，減少匯聚到接入的級聯層數，提升接入層的可用性。

3.2 網絡架構大二層扁平化的實現

改造后的校園網物理邏輯雖然還是三層架構，但在采用SDN和VxLAN技術實現扁平化后，將三層網絡結構在邏輯上變成只有業務控制層和接入層的兩層架構，兩臺核心交換機虛擬化成一臺設備作為所有接入層的三層網關，下聯的所有匯聚和接入層的交換設備只啟用二層功能，實現整網大二層扁平化架構。

首先，實現了整網設備的維護和管理扁平化。所有交接機設備的注冊和配置都在SDN控制器上來自動完成，網管人員再也無需要針對每一臺匯聚或接入層的交換機進行復雜的配置操作，接入扁平化網絡交換機配置的更新和端口調整都可通過SDN管理器進行，較好簡化了以前對交換機設備的管理工作，降低了校園網設備的故障率，提升校園網的可用性。

其次，實現了校園網終端用戶管理的扁平化。校園網用戶接入控制在SDN控制器上完成，傳統架構下需負責數據包進行路由轉發的接入、匯聚層現只需負責數據的透明傳輸。接入終端的數據包經過接入層交換機時進行VxLAN的封裝后，作為普通IP數據包進入扁平化網絡傳輸，然后到達核心層交換機后進行解封裝。改造后的數據包傳輸過程簡單化，數據只需進行二層傳輸，且只需通過配置簡單的二層隔離，可實現所有用戶之間的有效隔離。且在簡化了網絡結構的同時，實現了用戶管道化隔離，較好解決了原有網絡中常出現的環路問題和 ARP 病毒泛濫問題。

最后，實現了業務專網管理的扁平化。傳統三層架構網絡在進行一卡通、財務、廣播、視頻監控等專網建設時，需要對專網涉及的大量設備進行各種vlan設置、透傳、ACL隔離等復雜操作，容易出現異常，且帶寬無法得到有效監控和控制。在利用SDN控制器對專網的VxLAN進行定制后，可快速在整個大網中虛擬出多個所需的二層子網，并可對子網的可用帶寬分別進行詳細控制，較好提升了專網管理難度及安全性。

完成改造后的廣東某理工類高職院校校園網，將傳統的三層網絡架構變成可精細化管理控制的大二層扁平化網絡架構，實現了對校園網接入終端及各種網絡應用進行有效的流量管理、接入用戶安全管控等，有效提升了網絡的安全性、穩定性和可靠性。同時，可根據學校智慧化校園需要，進行平滑升級，實現校園網具備高可管理目標。

4 結束語

傳統三層網絡架構支撐了過去二三十年校園網的發展和應用，隨著云計算、大數據等智慧應用的興起，校園網用戶的業務需求呈現出多樣化、靈活化、不確定性等特點，傳統的三層網絡體系架構已不能滿足需求。SDN作為一種新技術將對未來校園網的演進帶來較大的影響，通過SDN和VxLAN技術對校園網進行設備整合，組建扁平化的大二層網絡架構，實現“網隨人動、接入控制、業務隔離、融合安全”的一體化智能接入平臺將成為校園網絡的發展方向。

參考文獻：

[1] 張朝昆，崔勇，唐翯翯，等.軟件定義網絡（SDN）研究進展[J].軟件學報 ，2015，26（1）：63-80.

[2] 馬文杰. 扁平化網絡架構在校園網中的應用[J]. 連云港師范高等專科學校學報，20189（1）：71-73.

[3] 張代華.基于扁平化和精細化管理的校園網基礎平臺建設[J].軟件，2014，35（8）：59：62.

【通聯編輯：梁書】