李繼先

摘要：敏捷網(wǎng)絡(luò)因為快速和靈活，是下一代校園網(wǎng)核心解決方案。隨著高校校園網(wǎng)升級改造工作推進(jìn)，如何在保證用戶的使用習(xí)慣不變、網(wǎng)絡(luò)應(yīng)用不變的情況下，實現(xiàn)對校園網(wǎng)升級改造是很多高校關(guān)心的問題。該文提出基于敏捷網(wǎng)絡(luò)的校園網(wǎng)升級改造思路，給出一種可行的升級改造方法。

關(guān)鍵詞：敏捷網(wǎng)絡(luò);校園網(wǎng);技術(shù)方案

中圖分類號：TP393? ? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2020）35-0036-03

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

北京開放大學(xué)是一所以現(xiàn)代信息技術(shù)為支撐，開展遠(yuǎn)程開放教育的新型高等學(xué)校。為實現(xiàn)從電大到開大的轉(zhuǎn)型發(fā)展，學(xué)校一直非常重視信息化建設(shè)工作。2008年建成的萬兆校園網(wǎng)是學(xué)校重要信息化基礎(chǔ)設(shè)施之一，在網(wǎng)絡(luò)教學(xué)和數(shù)字化管理中一直發(fā)揮著重要作用。近年來，由于學(xué)校網(wǎng)絡(luò)教學(xué)規(guī)模的擴大和網(wǎng)絡(luò)新應(yīng)用的興起，原有校園網(wǎng)存在著可管理性差和安全性低等問題。為此，對原有的校園網(wǎng)進(jìn)行升級改造是提升學(xué)?，F(xiàn)代信息技術(shù)支撐能力的一項重要舉措。

1 校園網(wǎng)現(xiàn)狀和存在的問題

1.1 校園網(wǎng)現(xiàn)狀

2008年建成的校園網(wǎng)分為校本部校園網(wǎng)和分校校園網(wǎng)兩個部分，校本部校園網(wǎng)是由皂君廟校區(qū)校園網(wǎng)和白塔庵校區(qū)校園網(wǎng)組成。校園網(wǎng)采用三層網(wǎng)絡(luò)架構(gòu)，即核心層、匯聚層和接入層。在核心層部署2臺萬兆核心交換機（H3C 9512），實現(xiàn)雙核心冗余設(shè)計。校本部校園網(wǎng)通過“運營商網(wǎng)絡(luò)”與18個區(qū)縣分校校園網(wǎng)實現(xiàn)1000M帶寬的連接，校園網(wǎng)互聯(lián)網(wǎng)出口帶寬為1.8G。校園網(wǎng)的應(yīng)用主要是支撐學(xué)歷教育的在線學(xué)習(xí)平臺和支撐非學(xué)歷教育的“京學(xué)網(wǎng)”（教育網(wǎng)站）。

1.2 校園網(wǎng)存在的問題

（1）校園網(wǎng)核心交換機是2008年上線的H3C9512，這款設(shè)備目前已經(jīng)停產(chǎn)。導(dǎo)致該設(shè)備出現(xiàn)故障無法及時修復(fù)，只能保守維持?？紤]核心交換機H3C9512是整個校園網(wǎng)的中樞神經(jīng)，一旦核心設(shè)備出現(xiàn)故障無法修復(fù)，將導(dǎo)致整個校園網(wǎng)癱瘓，嚴(yán)重影響網(wǎng)絡(luò)教學(xué)進(jìn)行。

（2）原校園網(wǎng)出口是一種典型的“穿糖葫蘆”結(jié)構(gòu)，即核心交換機通過單鏈路連接流量控制器，流量控制器通過單鏈路連接防火墻，防火墻通過單鏈路連接負(fù)載均衡器。這樣的校園網(wǎng)出口是由多個單點設(shè)備構(gòu)成，極易產(chǎn)生單點故障，安全隱患較大。

（3）原校園網(wǎng)出口的流量控制器已經(jīng)過了設(shè)備保修期，廠家不提供維保服務(wù)，目前該設(shè)備運行的軟件版本不能進(jìn)行升級，流量控制器效能越來越差。

（4）校園網(wǎng)出口的鏈路負(fù)載均衡器是Radware-Linkproof3020，也已經(jīng)過保修期，軟件版本不能升級，對網(wǎng)絡(luò)新協(xié)議的支持不夠。

2 校園網(wǎng)升級改造必要性

2.1 北京開放大學(xué)轉(zhuǎn)型發(fā)展的需要

隨著學(xué)校網(wǎng)絡(luò)教育規(guī)模的擴大，網(wǎng)絡(luò)教學(xué)對校園網(wǎng)的支撐能力要求越來越高。大容量高帶寬視頻課件的使用范圍越來越廣，對網(wǎng)絡(luò)低延時，圖像數(shù)據(jù)傳輸?shù)姆€(wěn)定性要求越來越高，現(xiàn)有的網(wǎng)絡(luò)設(shè)備已經(jīng)不能滿足這些網(wǎng)絡(luò)教學(xué)要求，因此，校園網(wǎng)升級改造必須盡早實施。

2.2 實現(xiàn)可管理敏捷網(wǎng)絡(luò)的需要

隨著校園網(wǎng)應(yīng)用的復(fù)雜度提升，對于各種業(yè)務(wù)支持的配置要求更加復(fù)雜，只有部署敏捷網(wǎng)絡(luò)才能實現(xiàn)對多業(yè)務(wù)的有效支撐。在傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中，網(wǎng)絡(luò)設(shè)備的固件是由設(shè)備制造商鎖定和控制的。如果業(yè)務(wù)需求發(fā)生變動，重新修改相應(yīng)網(wǎng)絡(luò)設(shè)備上的配置是一件非常煩瑣的事情。而敏捷網(wǎng)絡(luò)通過將網(wǎng)絡(luò)控制與物理網(wǎng)絡(luò)拓?fù)浞蛛x，從而擺脫硬件對網(wǎng)絡(luò)架構(gòu)的限制。

2.3 校園網(wǎng)的安全需求

校園網(wǎng)作為信息化基礎(chǔ)設(shè)施，安全問題尤為重要，為校園網(wǎng)設(shè)計一套安全解決方案是校園網(wǎng)升級改造的重點內(nèi)容。只有合理準(zhǔn)確地設(shè)計和配置防火墻、IDS（入侵檢測系統(tǒng)）等安全設(shè)備，才能實現(xiàn)對校園網(wǎng)的多重保護(hù)。

3 升級改造的思路

敏捷網(wǎng)絡(luò)最早是華為公司提出來的一個概念，華為的敏捷網(wǎng)絡(luò)是基于 SDN （Software-Defined Networking）和NFV（Network Functions Virtualization）等技術(shù)。SDN即軟件定義網(wǎng)絡(luò)是由美國斯坦福大學(xué)提出的一種新型網(wǎng)絡(luò)架構(gòu)，是網(wǎng)絡(luò)虛擬化的一種實現(xiàn)方式。其核心技術(shù)OpenFlow是通過將網(wǎng)絡(luò)設(shè)備的控制面與數(shù)據(jù)面分離開來，從而實現(xiàn)了網(wǎng)絡(luò)流量的靈活控制，使網(wǎng)絡(luò)作為管道變得更加智能。NFV即網(wǎng)絡(luò)功能虛擬化是利用虛擬化技術(shù)，將網(wǎng)絡(luò)節(jié)點層的功能，分割成幾個功能塊，分別以軟件方式實現(xiàn)。敏捷網(wǎng)絡(luò)是把SDN技術(shù)和NFV技術(shù)相結(jié)合，實現(xiàn)網(wǎng)絡(luò)快速部署和配置，可編程的管理策略和網(wǎng)絡(luò)感知，讓網(wǎng)絡(luò)部署和管理變得更加靈活和快捷，敏捷網(wǎng)絡(luò)是下一代校園網(wǎng)的核心解決方案，是校園網(wǎng)升級改造的重要方法。對于校園網(wǎng)升級改造，最重要一點是網(wǎng)絡(luò)架構(gòu)的選擇，其次是核心網(wǎng)絡(luò)設(shè)備協(xié)議棧的選擇。因此，我校校園網(wǎng)升級改造方法是在原有校園網(wǎng)的三層架構(gòu)不變的前提下，重點是升級改造校園網(wǎng)的核心層設(shè)備，設(shè)計滿足支持多業(yè)務(wù)的核心交換機上運行的協(xié)議棧，部署基于敏捷網(wǎng)絡(luò)的校園網(wǎng)策略。

4 校園網(wǎng)升級改造的目標(biāo)

4.1 實現(xiàn)網(wǎng)絡(luò)高可靠性

通過對核心網(wǎng)絡(luò)采用冗余設(shè)計，部署2臺華為敏捷框式交換機S12700。其中，交換機的關(guān)鍵部件全冗余設(shè)計，核心節(jié)點間采用硬件級CSS集群技術(shù)，核心鏈路采用全冗余設(shè)計，保證網(wǎng)絡(luò)高可靠性。

4.2 保證多業(yè)務(wù)承載能力

由于核心網(wǎng)絡(luò)設(shè)備硬件架構(gòu)先進(jìn)性和具備靈活的可編程能力。核心設(shè)備具備超大的各種物理表項，并支持精細(xì)化的業(yè)務(wù)區(qū)分與保障技術(shù)，能夠?qū)崿F(xiàn)對多種業(yè)務(wù)的承載和帶寬保障，實現(xiàn)多種業(yè)務(wù)暢通運行。

4.3 部署靈活的敏捷網(wǎng)絡(luò)

采用敏捷網(wǎng)絡(luò)技術(shù)，可編程定義全網(wǎng)網(wǎng)絡(luò)策略，實現(xiàn)對全網(wǎng)的業(yè)務(wù)隨行、策略隨身、資源隨動的良好用戶體驗。核心網(wǎng)絡(luò)設(shè)備提供全網(wǎng)用戶認(rèn)證、權(quán)限策略管理和有線無線一體化管理，實現(xiàn)用戶的有線無線一體化的體驗。

4.4 實現(xiàn)高速、高效、大容量的數(shù)據(jù)處理能力

通過在網(wǎng)絡(luò)核心層啟用CSS集群分擔(dān)技術(shù)，在網(wǎng)絡(luò)出口啟用流量負(fù)載分擔(dān)技術(shù)，在全網(wǎng)配置文件中啟用精細(xì)化策略管控和流量控制技術(shù)，達(dá)到網(wǎng)絡(luò)的資源高使用率目標(biāo)。

5 校園網(wǎng)升級改造的內(nèi)容

（1）替換原有的華三H3C9512核心交換機，新部署2臺華為敏捷框式交換機S12700。這樣可以提升整個校園網(wǎng)的硬件架構(gòu)、交換轉(zhuǎn)發(fā)能力、端口速率（100G、40G、10G）、整機端口密度與數(shù)量、設(shè)備冗余可靠性，實現(xiàn)用戶session級的精細(xì)化管理。采用敏捷網(wǎng)絡(luò)配置文件，根據(jù)模板下發(fā)網(wǎng)絡(luò)管理策略、保證用戶的使用習(xí)慣、規(guī)范用戶的上網(wǎng)行為。同時，支持新興媒體設(shè)備認(rèn)證計費以及同一賬號的多終端、多地理位置的上網(wǎng)綁定。

（2）對校園網(wǎng)出口單鏈路的進(jìn)行升級改造，由“穿糖葫蘆”單鏈路結(jié)構(gòu)變?yōu)殡p防火墻雙鏈路結(jié)構(gòu)。同時，取消現(xiàn)有的負(fù)載均衡設(shè)備和流控設(shè)備，其負(fù)載均衡和流量控制功能都由華為USG統(tǒng)一防火墻來實現(xiàn)。同時，在與分校校園網(wǎng)連接的鏈路上，配置一臺高性能USG統(tǒng)一防火墻，實現(xiàn)校園網(wǎng)端到端QoS和安全策略，并實現(xiàn)統(tǒng)一的集中式網(wǎng)絡(luò)管理。

（3）校園網(wǎng)升級后網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)拓?fù)湓O(shè)計如圖1所示。

如圖1所示，在校園網(wǎng)核心節(jié)點部署2臺華為敏捷框式交換機S12700，設(shè)備啟用高可靠、高性能的集群虛擬化技術(shù)，同時，在對端核心節(jié)點進(jìn)行交叉互聯(lián)，保障整個網(wǎng)絡(luò)和核心設(shè)備的穩(wěn)定性與可靠性。在校園網(wǎng)出口配置2臺華為USG統(tǒng)一防火墻，防火墻啟用全防御策略，抵御大多數(shù)的網(wǎng)絡(luò)攻擊，保證全網(wǎng)絡(luò)運行穩(wěn)定，并且實現(xiàn)對網(wǎng)絡(luò)內(nèi)流量多維度的監(jiān)測和管理。

6 校園網(wǎng)升級改造的技術(shù)方案

6.1 校園網(wǎng)核心層設(shè)計

校園網(wǎng)核心層的作用是把接入層設(shè)備連接起來，并轉(zhuǎn)發(fā)各個區(qū)域之間的流量。所以，核心層采用全連接結(jié)構(gòu)，以保證各種極端情況下的網(wǎng)絡(luò)互通。本設(shè)計方案是在網(wǎng)絡(luò)核心層，部署2臺華為敏捷框式交換機S12700。核心節(jié)點采用雙機部署，雙機啟用交換網(wǎng)集群CSS技術(shù)，把2臺物理設(shè)備虛擬成為1臺設(shè)備。用戶可以通過任何1臺授權(quán)終端，登錄到集群系統(tǒng)，實現(xiàn)對集群內(nèi)設(shè)備管理和監(jiān)控。

6.2 敏捷網(wǎng)絡(luò)虛擬化

傳統(tǒng)校園網(wǎng)的核心層、匯聚層和接入層交換機樹狀分布，獨立運行，管理復(fù)雜。本設(shè)計方案是通過華為SVF超級虛擬交換網(wǎng)技術(shù)，把校園網(wǎng)各層級設(shè)備虛擬為一臺設(shè)備，統(tǒng)一監(jiān)控和管理。把接入層交換機虛擬為核心交換機的一塊板卡，把無線AP虛擬為核心交換機的一個無線端口。如此一來，傳統(tǒng)的核心層、匯聚層、接入層三層網(wǎng)絡(luò)架構(gòu)各階層設(shè)備全部虛擬化為一臺設(shè)備，整個校園網(wǎng)絡(luò)成為“一個整體”，實現(xiàn)網(wǎng)絡(luò)配置策略分發(fā)，全網(wǎng)監(jiān)控和遠(yuǎn)程網(wǎng)絡(luò)配置管理。

6.3 敏捷精準(zhǔn)管理，簡化運維

由于學(xué)校遠(yuǎn)程教學(xué)、桌面云、VOIP等新業(yè)務(wù)的不斷增加，保證使用者的使用習(xí)慣，是校園網(wǎng)升級必須考慮的因素。華為S12700敏捷交換機的上實現(xiàn)了iPCA功能，iPCA（Packet Conservation Algorithm for Internet，網(wǎng)絡(luò)包守恒算法）是一種基于直接測量方式檢測網(wǎng)絡(luò)質(zhì)量狀況的管道監(jiān)控類技術(shù)。通過iPCA，能夠快速檢測任意用戶的視頻、語音等業(yè)務(wù)質(zhì)量，隨時定位故障發(fā)生的位置，極大提高網(wǎng)絡(luò)運維效率。利用iPCA技術(shù)，實現(xiàn)在整個網(wǎng)絡(luò)內(nèi)部署管理和監(jiān)控系統(tǒng)，并隨時感知影響用戶體驗的各種問題位置。

6.4 敏捷網(wǎng)絡(luò)高可靠性

敏捷校園網(wǎng)的高可靠性是通過冗余設(shè)計來實現(xiàn)的。在校園網(wǎng)核心交換機的架構(gòu)設(shè)計中，采用交換網(wǎng)硬件通道互聯(lián)模式。集群內(nèi)的控制包和數(shù)據(jù)包不需要業(yè)務(wù)板卡轉(zhuǎn)發(fā)，而是直接通過交換網(wǎng)卡一次轉(zhuǎn)發(fā)，減少了軟件系統(tǒng)故障引起延遲。核心交換機配置為主控1+N備份，實現(xiàn)高可靠性。堆疊交換機設(shè)備之間采用冗余備份，堆疊交換機按跨設(shè)備的鏈路聚合配置，實現(xiàn)跨設(shè)備的鏈路冗余備份。另外，核心交換機本身具有電信級的可靠性，直流電源1+1備份、交流電源1+1/2+2備份、所有模塊支持熱插拔來保證網(wǎng)絡(luò)高可靠性。

7 結(jié)束語

北京開放大學(xué)校園網(wǎng)升級改造是在2018年完成，對于一個運行上百個應(yīng)用，有幾萬個信息點的校園網(wǎng)進(jìn)行升級改造，需要充分考慮原有網(wǎng)絡(luò)的結(jié)構(gòu)和存在的問題。通過采用基于敏捷網(wǎng)絡(luò)的思路，我們成功完成校園網(wǎng)升級改造工作。經(jīng)過近兩年的運行，升級改造后校園網(wǎng)的設(shè)計指標(biāo)全部滿足設(shè)計要求，校園網(wǎng)之上的各種應(yīng)用運行良好。

參考文獻(xiàn)：

[1] 王旭.綠色數(shù)據(jù)中心基礎(chǔ)設(shè)施規(guī)劃方案[J].電子技術(shù)與軟件工程，2019（19）：145-146.

[2] 馬玉芳.校園網(wǎng)數(shù)據(jù)中心機房升級改造研究——以青海民族大學(xué)網(wǎng)絡(luò)中心升級改造為例[J].青海師范大學(xué)學(xué)報（自然科學(xué)版），2019，35（2）：75-79.

[3] 高翔.模塊化數(shù)據(jù)中心機房建設(shè)[J].通訊世界，2019（5）：68-69.

[4] 魯學(xué)亮.高校智能模塊化數(shù)據(jù)中心機房建設(shè)[J].電腦知識與技術(shù)，2018，14（30）：40-42，45.

[5] 楊志強.高校數(shù)據(jù)中心機房建設(shè)研究[J].信息與電腦（理論版），2016（14）：65-66.

【通聯(lián)編輯：代影】