智慧校園網(wǎng)絡及安全的SDN 架構(gòu)選擇分析

許樂清

（寧波職業(yè)技術(shù)學院，浙江 寧波 315800）

0 引 言

“十四五”規(guī)劃強調(diào)高質(zhì)量教育體系建設的關(guān)鍵是保證并提升高等教育質(zhì)量，使教育改革在實踐的過程中不斷深化。在此要求下構(gòu)建的中國特色高質(zhì)量教育體系被賦予豐富的內(nèi)涵，并從教育的開放共享、智慧建設等多個領(lǐng)域進行創(chuàng)新。在智慧校園的支持下，高質(zhì)量教育體系在高等教育領(lǐng)域得以持續(xù)運行。借助新一代信息技術(shù)采集師生信息、教育資源，以實現(xiàn)信息的個性化推送，優(yōu)化校園管理服務。智慧校園提供豐富的教育數(shù)據(jù)，通過數(shù)據(jù)驅(qū)動，能夠提高教育管理和決策質(zhì)量。但智慧校園同樣面臨著網(wǎng)絡與安全方面的問題，如網(wǎng)絡流量快速增長、數(shù)據(jù)共享實施難度高、網(wǎng)絡維護投入成本高以及無法快速耦合新型服務的應用等。同時，既往使用的分布式網(wǎng)絡架構(gòu)結(jié)構(gòu)較為復雜，設備的內(nèi)置協(xié)議也存在冗雜問題。因此，需要對智慧校園網(wǎng)絡與安全結(jié)構(gòu)進行優(yōu)化，文章以《中國教育現(xiàn)代化2035》為標準，應用軟件定義網(wǎng)絡（Software Defined Network，SDN）架構(gòu)構(gòu)建智慧校園網(wǎng)絡，以消除現(xiàn)存隱患。

1 SDN 架構(gòu)應用的必要性

1.1 應對智慧校園網(wǎng)絡隱患

智慧校園建設是互聯(lián)網(wǎng)時代的一項重要任務。隨著校園環(huán)境對互聯(lián)網(wǎng)依賴程度的不斷提升，高校開始集中應用人工智能與物聯(lián)網(wǎng)等技術(shù)搭建智慧校園平臺。例如，利用人工智能技術(shù)引入人臉識別系統(tǒng)，應用物聯(lián)網(wǎng)技術(shù)創(chuàng)建綠色校園等。然而，現(xiàn)階段智慧校園建設逐漸呈現(xiàn)出網(wǎng)絡、數(shù)據(jù)、設備集中的趨勢，給智慧校園網(wǎng)絡埋下安全隱患。

1.1.1 安全管理隱患

現(xiàn)階段智慧校園建設存在較多問題，最為突出的問題是過于重視應用忽略網(wǎng)絡安全性，且對智慧校園建設的重視程度過高，忽視了管理。基于此建立的智慧校園，勢必會投入更多的運維資金，人員編制也會面臨一些問題，從而降低智慧校園管理與運維的規(guī)范性，產(chǎn)生智慧校園網(wǎng)絡安全隱患。若在智慧校園的建設過程中，安全評估不到位、缺少切實可行的安全預估手段或制定的安全隱患應對措施存在滯后性，都可能在智慧校園體系的控制應用層埋下安全隱患，從而加大安全管理的難度。

1.1.2 設備隱患

設備隱患產(chǎn)生的原因主要包括兩部分內(nèi)容。第一，在智慧校園網(wǎng)絡的建設中，應用大量類型不一的設備，如服務器、交換機和存儲器等。這些網(wǎng)絡設備的應用會加劇網(wǎng)絡設備共享程度的問題，且網(wǎng)絡設備共享程度與智慧校園業(yè)務對設備的依賴程度呈正相關(guān)。實際上，學校在智慧校園的建設中，可能會因資金不足或缺少容災機制而誘發(fā)設備安全風險，導致設備故障。第二，智慧校園系統(tǒng)感知層安裝的設備數(shù)量和節(jié)點數(shù)過多，且缺乏統(tǒng)一的部署標準。如此一來，學校管理感知層中的所有設備時，將面臨安全管理困難問題，增加安全管理的復雜性。

1.1.3 數(shù)據(jù)存儲與傳輸隱患

在學校開展智慧校園網(wǎng)絡建設時，大數(shù)據(jù)中心占據(jù)重要位置，以實現(xiàn)智慧校園數(shù)據(jù)的高度共享，為教師、學生利用數(shù)據(jù)或開展教學工作提供便利。但是大數(shù)據(jù)中心同樣面臨著安全問題，易受黑客的攻擊。例如，師生群體共享數(shù)據(jù)，雖然可以使師生更加方便的獲取數(shù)據(jù)，但會增加個人隱私暴露的風險，從而引發(fā)信息竊取或泄露等問題。

1.2 SDN 架構(gòu)建設

為解決校園網(wǎng)絡結(jié)構(gòu)現(xiàn)存的問題與隱患，需要加強對智慧校園網(wǎng)絡的安全建設與維護，以提高網(wǎng)絡智能化實力。因此，文章在既往的分層網(wǎng)絡架構(gòu)基礎(chǔ)上，提出新的SDN 架構(gòu)（見圖1）。

該SDN 架構(gòu)不僅具備數(shù)據(jù)轉(zhuǎn)發(fā)功能，還可以在全局網(wǎng)絡信息的控制下實現(xiàn)分層管理。因此，該架構(gòu)創(chuàng)新分布式網(wǎng)絡架構(gòu)，進一步優(yōu)化網(wǎng)絡的可控性與可管理性，使網(wǎng)絡架構(gòu)更加簡潔。在SDN 架構(gòu)的支持下，網(wǎng)絡服務提供方可以進一步減少投資和運營成本[1]。

在智慧校園建設中選擇SDN 架構(gòu)，無論是應用還是部署，均能充分發(fā)揮深度學習技術(shù)的優(yōu)勢。這也是SDN 架構(gòu)實現(xiàn)數(shù)據(jù)采集、計算資源配置、人工智能部署以及網(wǎng)絡動態(tài)調(diào)整等多項功能的關(guān)鍵。當學校建設智慧校園時，通過SDN 架構(gòu)與深度學習技術(shù)的有機組合，路由管理將具備智能性，也可以多維度收集教學中形成的數(shù)據(jù)，并實現(xiàn)創(chuàng)新應用。這有利于提高教學資源分配的合理性、教學服務質(zhì)量，使學校的教育治理更具普適性[2]。

2 SDN 架構(gòu)實現(xiàn)方法

SDN 架構(gòu)屬于一種全新的網(wǎng)絡架構(gòu)，通過轉(zhuǎn)發(fā)層、控制層之間的有效分離，采用軟件編程、控制等方法，實現(xiàn)對智慧校園網(wǎng)絡與安全的定義、控制。因此，文章在智慧校園網(wǎng)絡與安全建設的基礎(chǔ)上，分析SDN 架構(gòu)的實現(xiàn)方法。

首先，選擇合適的控制技術(shù)。SDN 架構(gòu)的控制層具備精準控制和整體控制2 種功能。精準控制通過集中管理網(wǎng)絡設備控制層，構(gòu)建強大的設備架構(gòu)。所有流量的轉(zhuǎn)發(fā)均需經(jīng)過此部分，并由SDN 控制器實現(xiàn)集中控制[3]。這種控制方式可以實現(xiàn)硬件設備運行和流量觸發(fā)路徑管理的一體化，根據(jù)相關(guān)協(xié)議要求，在下發(fā)流量路徑后，將流量引導至系統(tǒng)。而整體控制則需發(fā)揮路由協(xié)議的保障作用，針對可擴展字段進行處理。

其次，SDN 架構(gòu)應用網(wǎng)絡設備控制平面后，設備在后續(xù)的使用過程中可能會因為2 層尋址廣播域缺乏針對性，而影響系統(tǒng)與網(wǎng)絡的安全運行。雖然3 層能夠?qū)V播域進行有效隔離，但3 層網(wǎng)際互連協(xié)議（Internet Protocol，IP）尋址還會面臨一系列問題。為解決該問題，采用重疊網(wǎng)，將已有物理網(wǎng)絡和多類邏輯網(wǎng)絡進行疊加。技術(shù)人員可以在轉(zhuǎn)發(fā)層中構(gòu)建支持網(wǎng)絡運行的虛擬專網(wǎng)，從而起到隔離業(yè)務網(wǎng)絡的作用。

最后，在應用重疊網(wǎng)之后，智慧校園構(gòu)建中的選擇變得多樣化。在網(wǎng)絡部署方面，一般會從選擇虛擬擴展局域網(wǎng)（Virtual Extensible Local Area Network，VxLAN）、通用路由協(xié)議封裝、語音轉(zhuǎn)文本3 種技術(shù)中的一種。其中，VxLAN 技術(shù)與智慧校園網(wǎng)絡提出的部署要求契合度最高[4]。一方面因為該技術(shù)的傳輸速率與其他技術(shù)相比更快，且在報文驗證中不會改變原報文內(nèi)容，另一方面因為該技術(shù)具有配置和管理等方面的應用優(yōu)勢。因此，文章以VxLAN 為對象，分析其在智慧校園網(wǎng)絡與安全中的應用。

VxLAN 在原2 層報文的基礎(chǔ)上，新增VxLAN 報文頭。在封裝了4 層用戶數(shù)據(jù)報協(xié)議（User Datagram Protocol，UDP）頭、IP 頭、Ethemet 頭后，開始傳輸數(shù)據(jù)。VxLAN 報文字段主要由VxLAN F1ags、Group ID、NI 以及Reserved 組成。VxLAN F1ags 和VxLAN 網(wǎng)絡標識符（VxLAN Network Identifier，VNI）的基本情況如表1 所示。

表1 VxLAN F1ags 和VNI 的基本信息

其中，VNI 與VxLAN 之間的有效區(qū)分，是利用VxLAN 的賬戶名稱信息[5]。換言之，在智慧校園網(wǎng)絡的安全建設中，利用VxLAN ID 可以快速獲取與之對應的智慧校園業(yè)務，且各業(yè)務均可利用VxLAN ID，以達到區(qū)分隔離、實現(xiàn)互通的目的。

由于VxLAN 本身具有隧道與分布式網(wǎng)關(guān)2 種特性，同一個網(wǎng)關(guān)的IP 地址可以出現(xiàn)在不同的地點，如隧道兩端可共用一個IP 地址。該特性增加了網(wǎng)絡扁平化改造的可行性。雖然從物理層面來看，其依然為3 層架構(gòu)，網(wǎng)絡連接層次沒有減少，但從邏輯層面來看，已經(jīng)實現(xiàn)向2 層網(wǎng)絡架構(gòu)的轉(zhuǎn)型，僅包含業(yè)務控制層和接入層。其中，業(yè)務控制層負責控制終端用戶、訪問行為和流量，接入層則用于構(gòu)建隧道、用戶接入和隔離2 層網(wǎng)絡。當此類扁平化網(wǎng)絡投入運行后，在SDN 控制器的作用下，網(wǎng)絡配置管理更加集中。與以往采用的網(wǎng)絡架構(gòu)相比，這種扁平化網(wǎng)絡不僅大幅降低運維成本，還提高網(wǎng)絡的運維工作效率。

3 基于SDN 架構(gòu)的智慧校園網(wǎng)絡及安全運維建議

3.1 智慧校園集中部署

應用SDN 架構(gòu)實現(xiàn)云、網(wǎng)、端的結(jié)合，使學校內(nèi)部能夠統(tǒng)一部署多項業(yè)務網(wǎng)絡。在建設智慧校園的過程中，所有基層網(wǎng)絡全部集中于一張網(wǎng)。無論是學校的辦公網(wǎng)、物聯(lián)網(wǎng)，還是一卡通、智慧教室專網(wǎng)，所有業(yè)務網(wǎng)絡運行均通過物理承載網(wǎng)實現(xiàn)，從而實現(xiàn)在智慧校園基礎(chǔ)上的一網(wǎng)多平臺建設目標。SDN 架構(gòu)在智能教學、智能管理等方面也可以構(gòu)建統(tǒng)一的平臺，并應用于整個教學過程，即立足于學生的自主學習、教師的全程參與、全過程的教學質(zhì)量監(jiān)督以及多維度教學評價等方面，打造智慧化的教育生態(tài)模式，從而精準識別師生需求。同時，通過SDN 架構(gòu)可以達到端到端配置效果，并根據(jù)系統(tǒng)的自我反饋功能進行優(yōu)化，提高業(yè)務終端網(wǎng)絡需求響應的效率[6]。

3.2 意圖網(wǎng)絡與智慧校園融合

基于SDN 架構(gòu)的新架構(gòu)網(wǎng)絡具備軟件定義功能，能夠?qū)W(wǎng)絡、深度學習進行定義，因此也稱為意圖網(wǎng)絡。意圖網(wǎng)絡具備數(shù)據(jù)集成分析、機器學習等多種功能。在構(gòu)建智慧校園期間，利用意圖網(wǎng)絡，可以預測網(wǎng)絡業(yè)務技術(shù)的參數(shù)，真正實現(xiàn)智慧校園網(wǎng)絡的可視化和可控性建設，從而滿足智慧校園建設提出的大中臺、微服務核心訴求。技術(shù)人員在建設智慧校園時運用虛擬網(wǎng)絡，提高新業(yè)務網(wǎng)絡的部署效率。同時，結(jié)合敏捷開發(fā)技術(shù)采集用戶需求，并通過多次融合創(chuàng)新實踐，構(gòu)建一個智慧校園生態(tài)體系。

3.3 以零信任為核心構(gòu)建網(wǎng)絡安全架構(gòu)

零信任網(wǎng)絡安全架構(gòu)是指組織對內(nèi)部和外部自動信任網(wǎng)絡產(chǎn)生的流量持有懷疑態(tài)度，且要求這些流量必須通過驗證才能獲得授權(quán)。在基于SDN 技術(shù)構(gòu)建的新架構(gòu)中，技術(shù)人員運用報文解析、全量遙測、閉環(huán)控制等多項技術(shù)手段，可以實現(xiàn)對智慧校園教學、管理等基本情況的實時監(jiān)測，并對數(shù)據(jù)進行智能化分析。在此過程中，還可應用人工智能算法對比歷史數(shù)據(jù)，以完成風險預估。此外，應用SDN 網(wǎng)絡具有的抽象自動轉(zhuǎn)譯功能，可以實現(xiàn)對網(wǎng)絡轉(zhuǎn)發(fā)狀態(tài)的精細化管理與控制。若存在意圖偏差，可憑借此技術(shù)進行閉環(huán)校正，為智慧校園網(wǎng)絡構(gòu)建一道安全屏障。

4 結(jié) 論

智慧校園是當前行業(yè)內(nèi)關(guān)注的焦點，應用SDN架構(gòu)，不僅可以簡化智慧校園的結(jié)構(gòu)體系，提高結(jié)構(gòu)運行效率；還可以為智慧校園網(wǎng)絡安全提供保障，聯(lián)合物聯(lián)網(wǎng)、人工智能等技術(shù)手段，優(yōu)化智慧校園建設效果。文章通過分析智慧校園網(wǎng)絡及安全的SDN 架構(gòu)選擇，旨在強調(diào)SDN 架構(gòu)對于智慧校園建設的運行安全維護作用，以期為今后智慧校園的深化建設提供技術(shù)支持。