摘 要：傳統(tǒng)高校極簡網絡方案通過集中認證的方式減少了接入匯聚設備的運維量，也解決了無線認證性能不足的問題，但同時其也暴露出了改造周期長、SuperVLAN大二層部署下終端位置定位困難、啞終端部署復雜、無可視化管理界面等問題。軟件定義網絡（SDN）是一種指導未來網絡發(fā)展的新架構，基于這種新的思想和方法論，學校打造出新一代網絡平臺，平臺符合開放網絡聯(lián)盟ONF所定義的SDN網絡架構，其包含網絡基礎設施層、控制層、網絡應用層，并支持設備、控制、應用多層次開放，基于開放接口，用戶可擴展網絡應用，集成了計算/存儲/網絡于一體的IT平臺，充分展現(xiàn)了學校SDN平臺的平臺開放性、設備虛擬化和網絡智能化。

關鍵詞：教育信息化；校園網；軟件定義網絡；開放平臺

中圖分類號：TP393.18 文獻標識碼：A 文章編號：2096-4706（2019）02-0058-03

Abstract：The traditional minimalist network scheme in colleges and universities reduces the operation and maintenance of access convergence devices by centralized authentication，and also solves the problem of insufficient performance of wireless authentication. But at the same time，it also exposes the long transformation cycle，the difficulty of terminal location under the second-tier deployment of SuperVLAN，the complexity of dumb terminal deployment，and the lack of visual management interface. The software definition network （SDN）is a new architecture to guide future network development. Based on this new idea and methodology，the school has created a new generation of network platform. The platform conforms to the SDN network architecture defined by open network alliance（ONF），which includes network infrastructure layer，control layer，network application layer，and supports devices. Control and application are multi-level and open. Based on open interfaces，users can expand network applications，integrate computing/storage/network into an IT platform，fully demonstrate the openness of SDN platform，virtualization of equipment and network intelligence.

Keywords：education informatization；campus network；SDN（software defined network）；open platform

0 引 言

傳統(tǒng)高校極簡網絡方案通過集中認證的方式減少了接入匯聚設備的運維量、也解決了無線認證性能不足的問題，但同時也暴露出了改造周期長、SuperVLAN大二層部署下終端位置定位困難、啞終端部署復雜、無可視化管理界面等問題。本文提出的SDN方案在兼容傳統(tǒng)極簡網絡方案的基礎上針對傳統(tǒng)極簡網絡方案遇到的問題進行方案精進，以期解決用戶問題，給用戶帶來更好的體驗。

智慧校園指的是以物聯(lián)網為基礎的智慧化的校園工作、學習和生活一體化環(huán)境，這個一體化環(huán)境以各種應用服務系統(tǒng)為載體，將教學、科研、管理和校園生活進行充分融合。無處不在的網絡學習、融合創(chuàng)新的網絡科研、透明高效的校務治理、豐富多彩的校園文化、方便周到的校園生活。簡而言之，要做一個安全、穩(wěn)定、環(huán)保、節(jié)能的校園。

SDN既是一種指導未來網絡發(fā)展的新架構，又是一種指導思想，一種方法論?；谶@種新的思想和方法論，學校打造出新一代網絡平臺，平臺符合開放網絡聯(lián)盟ONF所定義的SDN網絡架構，其包含網絡基礎設施層、控制層、網絡應用層，并支持設備、控制、應用多層次開放，基于開放接口，用戶可擴展網絡應用，集成了計算/存儲/網絡于一體的IT平臺，充分展現(xiàn)了學校SDN平臺的開放性、設備虛擬化和網絡智能化。

1 解決的主要問題

平臺開放性體現(xiàn)在多層次開放上，網絡基礎設施層由SDN虛擬軟件/物理硬件交換構成，并支持南向OpenFlow標準協(xié)議，除此之外為兼容傳統(tǒng)網絡部署，還支持傳統(tǒng)網絡的SNMP、NETCONF、TR069和Telnet等標準接口。網絡控制層由邏輯上集中物理上分布的控制器集群構成，同時控制層上的所有網絡服務和功能都為用戶提供二次開發(fā)接口。

同時，為了提高網絡資源利用率，滿足網絡資源按需自動化分配需求，平臺支持網絡分片Network Slicing技術，默認所有硬件和軟件網絡資源都歸屬于某個網絡資源池。平臺還將提供豐富的網絡應用APP組件，這些組件使用戶可根據應用需求部署各種基礎和高級網絡功能。基礎網絡包括L2轉發(fā)、L3轉發(fā)、DHCP地址池、安全過濾器、靜態(tài)路由。高級網絡功能包括一鍵完成MPLS L3 VPN配置，快速部署服務器負載均衡和整網鏈路負載均衡，以及業(yè)務感知QOS策略等。

在智慧校園趨勢的推動之下，高校物聯(lián)終端的數量和種類不斷增多，現(xiàn)有的高校網絡無法支撐其業(yè)務的高速發(fā)展，高校的網絡管理面臨如下問題：（1）各類終端接入后極大地增加了網絡中心部門的運維量。1）針對這些終端需要進行資產管理。2）需要方便快捷地將這些物聯(lián)終端連入網絡。3）不同終端存在不同的特性，需要支持各類終端。（2）業(yè)務系統(tǒng)、運維管理邊界不清，產生扯皮，影響服務。（3）現(xiàn)有的網絡故障處理速度與能力不滿足多業(yè)務入網后的故障實時性處理要求。（4）各類業(yè)務終端入網給現(xiàn)有網絡帶來不安全及不穩(wěn)定隱患。

如上，高校迫切需要一套整體解決方案來滿足不斷增長的業(yè)務需求以及隨之而來的終端的爆發(fā)式增長。本文提出的SDN方案針對物聯(lián)終端提供了業(yè)務快速上線、安全準入、業(yè)務隔離、接入傻瓜化、分級分權等解決方案，讓高校輕松應對智慧校園的發(fā)展趨勢。

2 研究技術路線與方法

基于IPV6的SDN研究采用了以下研究方法和技術路線：

2.1 泛載一切，彈性網絡

在智慧校園趨勢的推動之下，高校啞終端種類和數量越來越多，平均終端類型20～30種，終端個數從幾百個到上萬個不等。這些業(yè)務終端歸屬部門不同（有財務部、保衛(wèi)科、后勤等），分布不均勻，管理方式不同，不同終端業(yè)務之間需要進行安全隔離。在這樣的背景下，高校網絡中心需要為每種終端分配專用的VLAN，專用的端口，不同的安全策略，導致網絡越來越復雜，運維難度越來越大。由于終端分布不均勻，如果將每種終端單獨組網，就會導致大量端口閑置，從而導致端口利用率低，組網成本增加。

本文設計的基于SDN方案的解決方案下，一套設備和配置支持承載所有業(yè)務，直接在控制器上創(chuàng)建一個新業(yè)務，無需更改接入設備的配置，在控制器上還可以一鍵完成新業(yè)務和舊業(yè)務的隔離，開通一個新業(yè)務的時間從2天縮短到5分鐘。

2.2 終端極速入網

現(xiàn)在很多業(yè)務不屬于網絡中心管轄，將這些業(yè)務接入到網絡中需要網絡工作人員來進行現(xiàn)場協(xié)作處理，這樣就會造成多業(yè)務上線涉及方面較多，只要有一方或者一個環(huán)節(jié)出現(xiàn)問題，就會導致整個業(yè)務無法成功上線。

為了管理簡單，一般情況下，教師的辦公PC和學生電腦采用動態(tài)IP分配，接入交換機后，開啟ip source guard來防止亂配靜態(tài)IP地址導致的IP地址沖突，同時需要進行認證才能上外網。但這些多業(yè)務終端比如攝像頭，門禁，電子公告欄等，為了方便進行資產管理和訪問，需要采用靜態(tài)IP地址，而啞終端則需要進行免認證。

2.3 終端移動隨行策略

近幾年基于網絡的業(yè)務爆炸式增長，同時迎來無線網絡的建設的浪潮，終端位置的移動接入成為常態(tài)，業(yè)務的靈活部署以及遷移成為剛需。以往基于網絡位置進行網絡規(guī)劃的方式無法滿足現(xiàn)在復雜的業(yè)務場景。

本文提出的基于SDN方案的解決方案支持終端位置移動IP網段隨行，因此我們只需要將策略應用在對應的用戶分組或者指定IP上，這樣用戶的所有的安全策略和權限就能移動隨行。

2.4 接入傻瓜化

當前在用戶的設備替換過程中遇到三個問題：問題一，設備替換要求專員操作；問題二，替換專員少，替換面積大，替換效率低下；問題三，學生對長時間斷網反應強烈，替換時間緊迫。

自動化運維已經解決了上述三個問題的一部分，但在解決過程中經常出現(xiàn)以下錯誤：第一，接入模板不統(tǒng)一，不固定，操作人員按自己理解操作，沒有使用最佳實施方案，容易出現(xiàn)部署過程設備配置模板錯誤導致部署斷網的情況；第二，耗時長，容易出錯，特別是每臺設備的VLAN，IP要修改，另外操作人員的技術，素質參差不齊，很容易出現(xiàn)工作馬虎，錯配，漏配的情況；第三，上架的時候可能拿錯設備，接錯口。另外在傳統(tǒng)極簡網絡方案運維期間，由于各接入設備的模板各異，在業(yè)務新入網時需要更改接入設備的配置，對運維能力要求較高，特別是替換時，配置不同容易導致更換設備時因。配置錯誤引起斷網。

本套SDN方案可以做到接入設備模板化配置，下聯(lián)端口VLAN無需擔心接錯口問題。通過自動化運維的解決方案做到設備0配置上線、0配置替換配合環(huán)路檢測功能，大大降低了接入運維的工作量，使無任何經驗的人也可完成接入運維工作。

2.5 分級分權

物聯(lián)終端隸屬于各個業(yè)務部門，例如后勤，安保部門，他們的啞終端接入都需要網絡中心來完成，運維量大，網絡中心希望能夠將這些終端的網絡準入和IP地址分配權限下放給各業(yè)務部門，而各個業(yè)務部門可以看到自己可管理的終端頁面。

部分學校的實驗室下接著各類終端，這種情況下，網絡中心會直接分配一個網段的IP地址給實驗室，讓其自己分配這些IP地址，而這網段一般是免認證的。對于這種情況，網絡中心既不想管理，但又希望對這些終端進行審核，否則容易出現(xiàn)私接的情況。

部署啞終端接入的時，一般都是在辦公室外（例如一卡通），工作人員很多時候不會隨身攜帶電腦，而這時就希望啞終端的入網審請能在移動端完成。隨著移動辦公越來越普及，在移動端進行審批將成為現(xiàn)實。

本文提出的基于SDN方案的解決方案同時支持PC端和移動端的分級分權功能，終端的網絡準入和IP地址分配權限下放給業(yè)務部門，各個業(yè)務部門可以看到自己可管理的終端頁面，可以對終端進行準入審核。

3 創(chuàng)新點

本文的創(chuàng)新主要表現(xiàn)在軟件方面：模塊化軟件架構、多種南向接口和豐富北向接口、豐富網絡功能以適應廣泛應用場景，支持集群部署，外加人性化Web界面操作，充分簡化了網絡部署和運維等。

（1）平臺支持為用戶構建廣義SDN解決方案，支持多種南向接口，控制器硬件支持OpenFlow和SNMP兩種協(xié)議。（2）豐富北向接口（開放的系統(tǒng)）。北向接口支持RESTful和Java本地API兩種形式。Java本地接口主要用于銳捷自身或合作伙伴的二次開發(fā)。為了充分滿足用戶對平臺的開放性需求，其支持多種功能的接口開放。（3）適用廣泛應用場景。平臺作為支持廣義SDN網絡的控制核心，除了支持豐富的南向和北向接口外，還集成了一部分基礎和高級網絡服務組件。（4）友好性界面操作。平臺設計目標是解放用戶雙手，通過人性化可視界面操作即可完成整網資源劃分、網絡配置、策略部署和故障診斷。

參考文獻：

[1] 陸一飛，朱書宏.數據中心網絡下基于SDN的TCP擁塞控制機制研究與實現(xiàn) [J].計算機學報，2017，40（9）：2167-2180.

[2] 孫瓊，解沖鋒，趙慧玲，等.基于SDN架構的IPv6過渡技術設計與實現(xiàn) [J].電信科學，2014，30（4）：15-21.

[3] 葛敬國，弭偉，吳玉磊.IPv6過渡機制：研究綜述、評價指標與部署考慮 [J].軟件學報，2014，25（4）：896-912.

作者簡介：陳思（1987-），女，漢族，湖北襄陽人，科員，碩士，研究方向：網絡與信息系統(tǒng)建設。