SDN教育城域網的組網特征及典型方案分析

鞏寧波

(江蘇省宿遷市宿豫區教育局，江蘇 宿遷 223800)

0 引言

當前，我國基礎教育信息化已從1.0時代進入2.0時代，即從傳統模式轉變為創新模式。教育信息化最重要的基礎支持平臺是教育城域網，其承載著將近90%的教學應用，教育信息化的快速發展給教育城域網的建設、安全、管理和維護帶來了更高的要求，建設SDN教育城域網已然成為更好的選擇[1]。

1 SDN

軟件定義網絡(Software Defined Network，SDN)是美國斯坦福大學clean-slate課題研究組指出的一種新式網絡創新構架，是實現網絡虛擬化的一種方法，其核心技術OpenFlow是指分隔開網絡設備的平面，即控制面和數據面，以此靈便地控制網絡流量，使作為管道的網絡進一步智能化，并且給核心網絡及應用的創新發展提供了一個良好的平臺。

軟件定義網絡的思路是通過控制與轉發分離，將網絡中交換設備的控制邏輯聚集到一個計算設備上，為提高網絡管理配置能力提供嶄新的思路。控制面和數據面的分割及開放可編程性是SDN的原有特征。傳統網絡設備的密閉性被SDN的控制面和數據面的分割以及開放性的通信協議消除了。除此之外，網絡管理在南北和東西向的開放接口和可編程性的主導下，變得更加便捷、動態和靈敏。

2 SDN教育城域網

教育城域網本質上是一種由大型局域網組建的教育信息網絡系統，其是由學校和市(縣、區)教育局共同組成的，輻射市(縣、區)內各學校，具備現代遠程教學、教學資源共享以及教學管理信息交流互換等功能，實現了即時視頻傳送的高帶寬教育信息化網絡系統，是體現當下“寬帶網絡校校通”理念的范圍最大的、最主流的方案。

為了更好地滿足現在教育城域網在功能、安全、管理和維護的高要求，利用SDN技術建設教育城域網已成為必然。

2.1 SDN教育城域網的柔性特點

SDN教育城域網的柔性特點一方面是指其網絡構架簡單、操作方便，另一方面指的是其能夠打破傳統網絡通道，利用終端和人的位置匹配通道和以人、應用為中心的模式，其柔性特征具體表現如下。

2.1.1 無狀態網絡

無狀態網絡的關鍵之處在于位址分離。傳統網絡中，IP確定意味著網絡設備必須位于某個3層網關所在的地方，IP地址既是終端的標志，又是終端位置的標志。在無狀態網絡計劃中，“位址分離”的含義具體體現為：“位”指的是位置，“址”指的是IP地址，位址分離指的就是IP地址與位置解耦，使得IP地址不用改變網絡的配置，能在任一位置接入[2]。

傳統教育城域網的問題在于：L3網段通常和位置緊密相關，要按照辦公室以及樓層/棟區分不同的L3網段，導致用戶移動(例如教師間的溝通、辦公室的搬移等)需要跨越不同的L3網段，IP地址也必須隨之進行更改，用戶在這過程中往往會失去原來的權限，給工作造成很大不便。

SDN教育城域網支持用戶終端在其整個使用過程中與IP的需求一一對應(例如基于安全性需要可與端口進行綁定)，為了使后期的運維更加簡單，可以使城域網的終端與IP地址保持一致，即終端無論轉移到何處，其對應的IP保持不變。

2.1.2 用戶策略隨行

策略隨行是指無論用戶移動到何處，用戶的體驗都跟原先一致。策略隨行得以實現的前提條件是將用戶進行分組，傳統的分組方法與用戶所處的地理位置緊密相關，同一用戶組在同一個辦公區域、樓層或大樓，地理的限制就難以跨越。這樣的話，用戶移動之后的策略實施會較為復雜，想達成策略隨行或用戶體驗的一致也很困難。

SDN教育城域網計劃中的“名址綁定”是其策略的關鍵點，主要操作是讓用戶和IP地址一一照應。在傳統的教育域網絡中，用戶名和IP之間的綁定很難實現，一方面是由于DHCP的技術方式導致用戶并非每次都能獲得一樣的IP，而靜態地址的分配方式同樣不能保證用戶在移動過程中獲得一樣的IP，導致相同的IP不能在同樣的位置進行網絡運行。SDN教育城域網計劃中，由于無狀態網絡自身具備了IP任意位置訪問的能力，同時其與名址綁定相互配合，即使用戶位置發生改變，其IP地址段甚至是IP地址都能保持不變。通過保持IP地址不變，可以有針對性地根據用戶制定相應的策略，最終實現用戶的策略隨行[3]。

2.1.3 有線無線深度融合

傳統的有線/無線網絡中存在的問題：(1)管理不一致。有線、無線網絡各自建設，各自管理，人員分散。(2)轉發不一致。無線的主流轉發采取的方式是AC集中式轉發，流量繞行不是最好的路徑，并且AC集中式轉發的壓力大，較易成為瓶頸。有線采用是交換機轉發，兩者的流量路徑不一致。(3)策略控制不一致。無線的策略控制點處于AC，而有線策略控制點位于交換機中，兩者的策略控制不一致，使得管理復雜化。

SDN教育城域網的有線無線深入結合網絡采用以下集中方式最大限度地解放了AC和AP。(1)統一管理。建立一套統一的管理系統，如有線無線拓撲展示、用戶認證、以5W1H為基礎來劃分用戶組等。(2)統一轉發。AC僅負責控制管理下轄的大多數AP，AP的數據流量轉發在本地，而不是在AC。(3)統一策略。無線的數據轉發到AC后，全部卸載到交換機上，被策略隨行矩陣定義的業務策略適用于有線與無線，無線不需要又一次定義組與組間的訪問策略。除此之外，在AP本地轉發時，要依靠有線的無狀態網絡、跨3層漫游的問題得到了解決，無線網絡做到了傳統組網方式做不到的事，即無線終端無須在AC側做繁雜的處置仍能在整個學校范圍內進行漫游。

2.2 建設SDN教育城域網的基本要求。

SDN控制器組件是SDN教育城域網組網的關鍵點。在控制器上透過圖形化使得網絡的自動化上線、接入管理、用戶組/策略管理、業務配置、運維管理等得以實現。在后臺，SDN控制器可以將管理員的操作轉化為網絡設備上的具體指令，下達給設備執行。

(1)SDN教育城域網整個構架虛擬劃分為3個層次(包括核心、匯聚和接入)，每個層次可虛擬化為一臺設備，僅需保障好這“3臺”設備的配置等就可以保護好SDN教育城域網中的所有設備。(2)整個網絡設備進行自動化布置，無須專業人員當場調試，故障設備重新啟動(換新)時網絡會自主恢復。(3)策略跟隨人而動，以用戶ID教育城域網內漫游為基礎，用戶權限會在制定后由SDN控制器自動下發，且用戶位置或使用設備的變化也不會影響用戶使用，無須調試。

2.3 SDN教育城域網組網方案

SDN教育城域網組網解決方案是將SDN技術疊加在傳統的教育城域網構架上，SDN網絡由教育城域網和校園網構成，SDN控制器統一管理全部網絡設備，其具體的組網如圖1所示。

圖1 SDN教育城域網典型拓撲結構

教育城域網最早出現于1999年，目前已建成的教育城域網數以千計。傳統教育城域網的改造升級以及新的教育城域網的建設都將通過SDN技術和相關產品實現，SDN教育城域網已經成為教育城域網部署的主要發展趨勢。