白連紅　徐澍

摘要：隨著信息化建設(shè)的深入，校園的業(yè)務(wù)系統(tǒng)不斷完善，雖然絕大多數(shù)高校的基礎(chǔ)網(wǎng)絡(luò)已基本完成，部分學(xué)校也部署了無線網(wǎng)絡(luò)，但是針對應(yīng)用開發(fā)數(shù)量過多且至今無法實現(xiàn)共建共享的應(yīng)用系統(tǒng)，產(chǎn)生了很多信息孤島，迫切需要整合各方面的信息資源，推動和深化信息整合與業(yè)務(wù)改革。該文將探討如何部署一個基于SDN思想的有線無線一體化的校園網(wǎng)絡(luò)，實現(xiàn)管理的“扁平化”，真正實現(xiàn)校園內(nèi)的無縫漫游，推動學(xué)校行政部門從“管理本位”向“服務(wù)導(dǎo)向”的轉(zhuǎn)變。

關(guān)鍵詞：SDN；扁平化；統(tǒng)一認證；權(quán)限控制.

中圖分類號：TP208 文獻標識碼：A 文章編號：1009-3044（2016）05-0011-0c

Abstract： With the further advance of informatization and the ongoing improvement of campus business system， although the network infrastructure of most universities has been completed， even some schools have deployed the wireless network， a lot of information islands have emerged due to the excessive applications and the application system failure of construction and sharing， which calls for the pressed need to integrate all information sources， fuel and deepen the information integration and business reform. This paper will discuss how to deploy a SDN-based campus network integrating wired and wireless access， realize the “flattened” management， enable the seamless roaming in the campus， and drive the management departments to transit from “management-based” to “service-oriented”.

Key words： SDN； Flattening； Unified authentication； Access control

隨著信息技術(shù)的不斷發(fā)展，當代科研活動離不開信息技術(shù)的支撐，而穩(wěn)定可靠的計算機網(wǎng)絡(luò)更是其中的基礎(chǔ)和必備條件。構(gòu)建一套有線與無線一體化網(wǎng)絡(luò)，為構(gòu)建科研、教學(xué)、管理等信息化應(yīng)用系統(tǒng)打下基礎(chǔ)，為科研人員和管理人員在計算機網(wǎng)絡(luò)環(huán)境下開展科研、學(xué)習(xí)提供保障，并為學(xué)院管理、行政服務(wù)提供支撐。軟件定義網(wǎng)絡(luò)（software-defined networking，簡稱 SDN）技術(shù)分離了網(wǎng)絡(luò)的控制平面和數(shù)據(jù)平面，為研發(fā)網(wǎng)絡(luò)新應(yīng)用和未來互聯(lián)網(wǎng)技術(shù)提供了一種新的解決方案[1]。

1 WLAN無線校園網(wǎng)絡(luò)方案需求

在進行網(wǎng)絡(luò)設(shè)計時要充分考慮各種影響因素，達到網(wǎng)絡(luò)需要的性能和要求，如網(wǎng)絡(luò)系統(tǒng)的規(guī)模，網(wǎng)絡(luò)應(yīng)達到的性能，網(wǎng)絡(luò)所需的帶寬，網(wǎng)絡(luò)能達到的速率，網(wǎng)絡(luò)能處理的最大流量等[2]。根據(jù)校園網(wǎng)絡(luò)現(xiàn)狀總結(jié)出了如下需求：

1.1 新建有線無線網(wǎng)絡(luò)需求

新建網(wǎng)絡(luò)需要承載視頻組播、Voip、學(xué)生和教職工有線＼無線接入上網(wǎng)等業(yè)務(wù)，滿足未來五年內(nèi)最多5000用戶終端同時在線，每人平均至少保障2M業(yè)務(wù)帶寬的需求，同時需要適應(yīng)未來先進科研業(yè)務(wù)帶來的數(shù)據(jù)量持續(xù)增長的需要。

1.2 無線信號全面覆蓋需求

需要覆蓋先進園區(qū)各樓宇內(nèi)科室、實驗室、辦公室等各個區(qū)域，并且無線用戶在校園內(nèi)可以漫游。

1.3 統(tǒng)一認證與策略管控需求

學(xué)校里會有各院系學(xué)生、教職工、訪客多種角色的用戶，有線無線多種接入方式，自帶便攜和智能終端等多種接入設(shè)備，這些都需要實現(xiàn)統(tǒng)一認證和權(quán)限控制。具體權(quán)限控制需求有：

一個用戶的多個終端可同時在線；

用戶所屬不同部門需要根據(jù)策略隔離及互訪；

用戶通過有線接入或者無線接入時，在不同的位置接入，獲取的網(wǎng)絡(luò)訪問權(quán)限需要相同；

訪客僅允許訪問互聯(lián)網(wǎng)，認證方式要簡單；

針對內(nèi)網(wǎng)用戶和訪客的上網(wǎng)行為進行審計。

1.4 管理需求

整網(wǎng)高可靠，有線無線網(wǎng)絡(luò)能統(tǒng)一管理，運維盡量簡單，網(wǎng)絡(luò)中策略控制的設(shè)備要盡量集中，避免分散帶來不易管理的問題

2 網(wǎng)絡(luò)解決方案

校園網(wǎng)絡(luò)的架設(shè)以現(xiàn)有有線網(wǎng)絡(luò)為基礎(chǔ)，不會破壞現(xiàn)有網(wǎng)絡(luò)的物理結(jié)構(gòu)，通過精巧的設(shè)計使得整個布線過程符合當前學(xué)校網(wǎng)絡(luò)設(shè)計的要求，把有線網(wǎng)絡(luò)作為無線網(wǎng)絡(luò)布設(shè)的參照點，在安裝設(shè)施上面增加無線網(wǎng)絡(luò)的布設(shè)點[3]。圍繞網(wǎng)絡(luò)需求，制定如下網(wǎng)絡(luò)方案。采用了先進的有線無線一體化接入方案，在核心層保持不變的情況下，匯聚層采用全萬兆綠色園區(qū)交換機S6700，接入層采用5700系列千兆交換機以及AP6010室內(nèi)布放型交換機，實現(xiàn)千兆桌面。業(yè)務(wù)通過核心層與園區(qū)核心網(wǎng)設(shè)備互聯(lián)。

2.1 萬兆校園

千兆接入，萬兆匯聚、核心，適應(yīng)未來網(wǎng)絡(luò)擴容需求；采用大二層網(wǎng)絡(luò)架構(gòu)，網(wǎng)絡(luò)結(jié)構(gòu)清晰、管理運維方便；且兼容性強，對核心層以及校本部無沖擊，不影響原有業(yè)務(wù)的在線。

2.2 無縫校園

采用6010/7110高性能室內(nèi)布放型AP，領(lǐng)先的芯片技術(shù)提升性能20%以上，單AP可接入40人左右正常上網(wǎng)，適配校園高密無線接入的需求；并統(tǒng)一采用本地轉(zhuǎn)發(fā)模式，用戶數(shù)據(jù)經(jīng)接入交換機直接轉(zhuǎn)發(fā)。支持50ms快速切換，真正實現(xiàn)移動中的無縫校園。

2.3 統(tǒng)一安全控制

只有從加密技術(shù)和密鑰管理技術(shù)兩方面來提供保障，才能真正地保證WLAN的安全[4]?？赏ㄟ^安全策略中心的部署實現(xiàn)訪客、教職工、學(xué)生通過有線、無線接入時的統(tǒng)一認證、接入情景感知和網(wǎng)絡(luò)訪問控制，從而實現(xiàn)內(nèi)網(wǎng)不同院系用戶流量隔離，相同用戶不同方式接入時權(quán)限相同，訪客僅能訪問外網(wǎng)等網(wǎng)絡(luò)訪問控制策略。同時為訪客接入提供賬號自注冊和管理流程，配合流控與上網(wǎng)行為管理設(shè)備，可實現(xiàn)基于用戶的一體化網(wǎng)絡(luò)行為管理和行為審計，協(xié)助用戶實現(xiàn)符合業(yè)務(wù)需要的精細化網(wǎng)絡(luò)管理和控制、行為審計。

2.4 統(tǒng)一管理

預(yù)留了網(wǎng)管平臺北向接口，可充分與網(wǎng)管平臺兼容，可集中提供網(wǎng)絡(luò)資源和性能管理、鏈路質(zhì)量管理、WLAN管理等功能，融合管理有線、無線網(wǎng)絡(luò)，通過有線無線一體化拓撲等可視化的設(shè)計直觀看到網(wǎng)絡(luò)上設(shè)備的情況，對于無線設(shè)備，還能做到射頻可視、終端定位、干擾源識別和定位。

3 總結(jié)

將有線和無線網(wǎng)絡(luò)相結(jié)合，清除網(wǎng)絡(luò)覆蓋的“盲點”，使得網(wǎng)絡(luò)結(jié)構(gòu)更合理，應(yīng)用更豐富、網(wǎng)絡(luò)生活更多彩[5]。此方案實現(xiàn)了千兆無線接入、萬兆匯聚的大帶寬網(wǎng)絡(luò)；有線和無線統(tǒng)一化，在整個校園中具有網(wǎng)絡(luò)權(quán)限的用戶可以在任何一個地點，實現(xiàn)一致性的網(wǎng)絡(luò)訪問，無論是使用PC還是其他智能終端，都可以使用統(tǒng)一的賬號認證登陸，并且在無線AC覆蓋范圍內(nèi)，實現(xiàn)園區(qū)內(nèi)的無縫漫游。網(wǎng)絡(luò)層的認證設(shè)備與安全設(shè)備賬號信息互通，從而實現(xiàn)極為簡便的精細化全網(wǎng)管理。

參考文獻：

[1] 左青云，陳鳴.基于OpenFlow 的SDN 技術(shù)研究[J].軟件學(xué)報，2013（5）：1078-1097.

[2] 譚榮藝.高校校園無線網(wǎng)絡(luò)的構(gòu)建和應(yīng)用[D].華南理工大學(xué)，2012.

[3] 萬琪.校園無線網(wǎng)絡(luò)的設(shè)計與實現(xiàn)[D].南昌大學(xué)，2014.

[4] 趙劍鋒.高校無線校園網(wǎng)方案設(shè)計及工程實踐[D].北京郵電大學(xué)， 2012.

[5] 舒晟.多功能區(qū)無線校園網(wǎng)的設(shè)計與構(gòu)建 [D].南昌航空大學(xué)， 2014.