SDN架構和VxLAN技術在校園網建設中的研究與實踐

王宇翔 胡建龍 佀潔 張帆

（西北大學網絡和數據中心 陜西省西安市 710127）

隨著各高校智慧校園建設的深入展開，各種新的技術，如物聯網、人工智能、云計算、融合支付等，已經成為高校信息化建設必須考慮的發展方向。新技術的加入，必然會給校園網絡基礎設施的規劃建設和運維管理帶來新的挑戰。當前各高校的校園網絡架構基本以傳統三層架構或以BRAS為主的扁平化大二層架構，架構比較分散，對于網絡的規劃以及安全策略均分布在不同的設備之上，網絡的擴展也比較困難。隨著新技術的推廣普及，接入校園網的終端數量和類型也在不斷的增加，需要劃分很多個VLAN和IP子網；各類專網（如一卡通專網、財務專網、智慧教室專網、節能監控專網等）的建設和互通的需求，都給校園網絡的建設和運維管理帶來了一系列的問題，迫切需要一種集中式的，可視化的，自動化的網絡建設和管理工具，來滿足日益增加的網絡規劃建設和運維管理的需求。隨著SDN（Software Defined Network，軟件定義網絡）架構和VxLAN（Virtual Extensible LAN，可擴展虛擬局域網）技術逐漸成熟，不同的廠家均有了較完備的方案，使得大二層扁平化結構和SDN的運行模式可滿足對復雜網絡的可視化、自動化配置和管理，終端設備自動上線，故障自動化排除的接入和管理需求，易于擴展，運維簡便，已成為智慧校園建設中基礎網絡建設的首選方案。

1 高校校園網基礎架構的發展歷程

隨著中國教育和科研計算機網（CERNET）的建設和發展，高校從90年代末開始建設自己的校園網絡。經過20多年的建設，已經形成了規模性的校園基礎網絡設施架構，為學校信息化和智慧校園建設提供基礎的網絡保障。高校校園網基礎架構發展主要有以下四個階段：

1.1 傳統三層架構階段

高校最初在建設校園網時，均采用的是傳統三層的架構來構建校園網，直到2010年左右，才逐漸進入第二階段大二層扁平化改造。傳統三層網絡架構主要采用核心、匯聚和接入分層架構，核心層連接匯聚層和出口設備，放置在校園網核心機房內，主要負責數據高速轉發，較少配置訪問控制等安全策略；匯聚層連接接入設備，放置在樓宇匯聚機房內，主要負責區分不同區域用戶的VLAN和IP子網，配置VLAN間的訪問控制等策略；接入層負責連接用戶，并配置部分訪問控制策略。傳統三層架構中，用戶一般以物理區域或功能的不同來劃分VLAN，VLAN內用戶可以互訪和資源共享，VLAN間用戶可配置訪問控制策略來有限互訪。用戶認證一般采用準出模式的portal認證，易于管理和維護但安全性較差。該架構在網絡復雜程度較低的網絡中比較適用，存在運維粗放，無法精細化管理的問題。

1.2 大二層扁平化架構改造階段

為了解決三層架構無法精細化管理的問題，在2013年左右高校均開始試點或完成了大二層扁平化架構的改造。該架構使用BRAS+QinQ方式進行扁平化組網，將用戶網關全部放置于BRAS設備中，并通過QinQ技術來隔離用戶，可做到在集中管理的前提下很好的訪問控制。這種架構相比傳統三層架構在邏輯上更加簡單，減少了接入層的維護工作。在認證層面，BRAS可以支持PPPoE和IPoE方式認證，可針對不同的區域選用更合適的認證方式，在簡化用戶接入操作復雜度的基礎之上，同時增加了帶寬管控等更加精細化的訪問控制功能。該架構目前已是大多數高校正在使用的架構，相比傳統三層架構進一步簡化了運維復雜度，并增加了精細化管理的程度。但該架構仍存在設備配置分散，接入上線步驟繁瑣，無法集中統一管理設備的缺點、

1.3 有線無線一體化架構階段

從2015年開始，各高校陸續開始建設覆蓋全校的無線網絡，部分高校在出口上選擇與運營商合作租賃出口帶寬，采用社會化運營的方式來給校內用戶提供更多套餐選擇。在該階段的建設中，由于增加了一張無線網絡，所以針對有線無線一體化架構的規劃至關重要，需要在核心層面、認證層面、訪問控制層面將整個無線網絡和已有有線網絡融合，達到統一架構，統一運維的要求。在該階段中，校園網絡復雜程度已經很高，同時存在有線、無線網絡以及一卡通專網、財務專網、節能監控專網等各類專用網絡，設備終端也逐漸增多，運維復雜度高、安全管理困難、故障問題解決速度緩慢等問題逐漸成為網絡運維的難點。很多時候網絡設備的配置和變更還需要人工現場進行操作，人力成本持續增加，因人為原因造成的配置錯誤等故障時有發生，所以迫切需要建設自動化、集中控制、靈活性高的新一代校園網絡。

1.4 新一代網絡架構階段

進入到2019年，SDN架構及VxLAN技術已逐漸普及，其特有的集中控制和靈活配置的解決方案非常適合解決高校校園網絡目前存在的各種問題。使用SDN架構和VxLAN技術可在一個物理拓撲上構建多個虛擬網絡，來承載不同層面的流量；統一的控制設備負責管理底層物理設備的配置，實現辦公教學區多業務接入虛擬化部署的要求。該架構以用戶或設備為中心，更加精細化管理，按角色分配訪問權限，做到人（user）、物（things）專有的訪問策略。同時構建多個虛擬網絡即可在同一個物理架構上承載不同區域不同要求的專網，融合一卡通、財務專網、節能監控等專網，還可在合作運營的框架下融合第三方運營廠家的網絡，構建出更加精細化和更具靈活性的新一代網絡架構。

2 SDN網絡架構和VxLAN技術

SDN架構最早由ONF（Open Networking Foundation，開放網絡基金會）組織提出，并發布了白皮書規范標準架構，其架構由數據平面、控制平面和應用平面組成，將轉發和控制分離，不同平面使用API接口關聯，具有可編程，開放標準的特點。[1]

SDN的核心思想是將數據轉發平面和控制平面分離，通過軟件編程來優化數據轉發的控制機制，從而實現對實際網絡流量的集中控制和靈活的轉發策略。由于可使用的控制條件相比傳統轉發機制更豐富，所以使得網絡具有智能化和自動化能力，易于擴展，適應性強，能夠適配各種業務的快速變化需求。

VxLAN技術是對傳統VLAN的擴展，是一種在3層網絡上構建虛擬網絡的VPN技術。VxLAN使用MAC in UDP的封裝方式將流量封裝并擴展到第三層網關，故其可以穿透三層網絡形成一種大二層的虛擬網絡。VxLAN相比VLAN，可以跨越三層網絡，突破了傳統VLAN技術4096個用戶的限制，具有16M用戶支持能力，同時具有24個預留位標識用戶組，擴展能力更強。通過VxLAN技術，即可在SDN架構構建的全互聯邏輯拓撲之上創建多個虛擬網絡（Virtual Network，VN），實現在同一個物理網絡之上的不同業務互相隔離。VxLAN與SDN架構相結合，以其靈活、可擴展、高安全性的優勢，可以取代BRAS+QinQ的方式構建高校扁平化大二層網絡。

3 SDN架構和VxLAN技術的實踐

SDN架構和VxLAN技術相結合，其優勢可以適應智慧校園建設過程中面臨的問題。以下以西北大學SDN網絡建設為例，分析SDN架構和VxLAN技術的建設和應用。

西北大學SDN網絡建設采用思科SDA（Software Defined Access，軟件定義接入）解決方案，由DNA Center作為SDN控制器， Fusion層、Border層和Access層作為底層物理拓撲架構，構建了一個可視化、自動化、智能化的接入網絡。西北大學SDN網絡建設拓撲如圖1所示。

圖1：西北大學SDN網絡建設拓撲

DNA Center負責將物理網絡underlay邏輯化為一個整體的overlay網絡，再使用VxLAN技術再overlay之上構建了教學辦公VN、智慧教室VN以及IoT VN，用于分別接入不同的用戶終端。與思科的ISE認證系統、城市熱點認證計費系統對接，保持教學辦公VN內用戶的在上網習慣保持和原來一樣的基礎上，在同一個專網內部任意漫游。同時設置智慧教室VN和IoT VN內的接入設備的訪問控制策略，統一下發給所有物理設備，大大降低了ACL的維護工作量。對園區網中的移動用戶、固定用戶及各類終端進行識別，按照用戶所屬的用戶組，或者終端所代表的一類設備進行標記后下發策略，整個網絡中用戶和終端可以不受位置限制，任意位置接入，但是最終獲取的網絡資源和網絡權限保持一致，達到網隨人動的效果。設備終端在上線后，可以根據認證自動進入其對應的邏輯網絡VN中；同一專網內的業務可以互通，不同專網網之間的業務完全隔離。

西北大學SDN專網建成后，承載了教學辦公區內5棟樓宇的師生及智慧教室、自助打印等設備的網絡接入，滿足了使用同一套基礎設施承載多個專網的需求，和師生在SDN網絡范圍內快速便捷接入校園網的需求。同時可視化的運維界面使得故障問題排查更加簡便，可擴展性方便未來更多的改造，高安全性保證多個專網之間的安全問題，極大的減輕了網絡運維人員的工作。

智慧校園建設是未來高校信息化建設的方向，在建設過程中，持續提高用戶接入便捷性、擴大物聯設備接入范圍、保障接入用戶的安全，是每位網絡規劃建設維護人員面臨的挑戰。使用SDN架構和VxLAN技術構建的新一代網絡架構可以更好的為信息化建設部門提供解決方案。西北大學SDN網絡建設實踐表明基于SDN架構和VxLAN相結合的網絡有效減輕了運維人員的壓力，網絡運維也變的可視化，由被動運維變為主動運維，提高了運維效率也降低了運維成本，提升西北大學智慧校園建設和信息化建設水平。