摘要:针对高校网络建设现状及网络运维中存在的问题,基于SDN(Software Defined Network)网络架构,实现了网络可视化配置、自动化部署、智能化运维和基于用户的策略配置等目标。以北方工业大学智慧校园网建设的具体实践为例,重点论述了SDN基本原理,SDN网络总体框架、建设方案和应用实践,为其他高校的智慧校园网建设提供参考。
关键词:SDN;智慧校园网;校园无线
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2019)07-0050-03
Abstract:In view of the current situation of university network construction and the problems existing in network operation and maintenance, based on the SDN network architecture, the goals of network visualization configuration, automatic deployment, intelligent operation and user-based strategy configuration were realized. Taking the concrete practice of the intelligent campus network construction of North China University of Technology as an example, the basic principle of SDN, the overall framework of SDN network, construction scheme and application practice were emphatically discussed, which will provide reference for the construction of intelligent campus network of other universities.
Key words:SDN; wisdom campus network; campus wireless
隨着学校信息化程度不断提高,校园网早已成为校园里不可缺少的基础设施,在学校网络建设和运维管理工作中,不断涌现出新的挑战,比如:分散的网络架构、分散的网络规划、分散的安全策略、越来越困难的网络扩展等等[1]。随着不断增加的用户和客户端类型、不断增加的VLAN和IP子网,数量众多的多个专网(节能环控专网、视频监控专网、一卡通专网、智慧教室专网等),独立的有线和无线网络用户安全策略,上述现象带来了安全管理困难、管理运维复杂、问题解决缓慢等一系列问题。目前,绝大多数高校的网络配置和网络变更依靠人工方式完成,越来越多的网络故障和网络违规由于人工错误引起,网络运维和网络故障排除方面的投入正逐年增加,传统的网络建设和运维方式已无法跟上业务数字化的节奏[2]。
因此,拟采用SDN技术解决校园网络建设和运维中的一系列问题,打造有线无线一体的智慧校园网,实现可视化配置、自动化部署、智能化运维和基于用户身份的策略随行等目标。拟以北方工业大学校园网的具体实践为例,论述SDN校园网络建设的实践经验及取得的成效。
1 网络建设现状
北方工业大学校园网承载着学校网络教学平台和教学资源共享平台以及教务、图书、财务、校务办公信息等十多个教学、科研管理信息系统,并拥有学校和学校各院系、部处的数十个网站,成为学校教学、科研和管理的重要基础设施[3]。校园网为全校师生员工提供网络教学、资源共享服务及DNS、E-mail、WWW、FTP等互联网服务,为学校教育信息化进程提供了有力支持[4]。
从1997年开始,学校分阶段进行了校园网的规划与实施,目前有线网络已实现教学楼,办公楼、学生宿舍楼100%覆盖,校内主要楼宇间主干网络实现万兆互联,千兆至桌面, 共有10500个有线信息点,学校网络实现了IPV4与IPV6的双栈运行。校园网拥有中国电信、中国教育科研网、北京教育信息网3个网络出口,总带宽达到3.5G。学校无线网络服务于全校学生和教职工,约15000余人,截至2018年10月,共部署无线AP点位4500余颗,最大同时接入终端总数达到8000个,无线网络流量峰值达到3GBps。无线网络采用“AC+瘦AP”组网模式,覆盖了教学区、办公区、学生宿舍区和生活区,校园网络建设有力促进了学校的教学、科研的发展,满足了广大师生访问校内外网络资源的迫切需求,为开展智慧校园建设提供了坚实保障。
2 SDN网络设计与建设方案
2.1 SDN基本原理
软件定义网络 (SDN) 旨在赋予网络灵活性和敏捷性,利用SDN设计、构建和管理网络,可以实现控制平面和数据平面的分离,这样就能够直接对控制平面进行编程,并对用于应用和网络服务的底层基础设施进行抽象化[5,6]。SDN 可提供一个可编程的集中式网络,其中包含SDN控制器、南向API和北向API。其中,SDN控制器是网络的核心,提供针对整个网络的集中视图,南向API可将信息转发至网络中的交换机和路由器,北向API用于实现应用通信和服务部署,思科SDN网络架构如图1所示:
2.2 SDN网络建设总体框架
根据北方工业大学校园网“整体规划,逐步实施”的原则,我校将统筹考虑学校信息化建设现状及学校未来信息化发展需求,按照集约建设的思路实现建设与“现代化大学”相适应的信息化建设水平的总体目标,我校SDN校园网覆盖校内教学区主要楼宇:励学楼、广学楼、浩学楼、瀚学楼和教学实习楼,SDN网络总体框架如图2所示。
2.3 SDN网络建设方案
北方工业大学的SDN网络采用思科SD-Access方案,利用思科DNA Center实现网络的可视化配置、自动化部署和智能化网络运维,具体实现方式如下:
1)搭建Underlay物理网络,实现网络分层及虚拟化,Underlay网络实现简单的三层互通,形成带宽资源池,实现网络的自动化部署和横向扩展,该功能通过DNA Center的DESIGN和PROVISION实现。
2)部署SD-Access,实现Overlay网络及虚拟专网,借助端到端VXLAN(VNID)技术实现专网应用隔离,在DNA Center中通过Design创建楼宇和楼层,定义网络中的AAA、DHCP、DNS和NTP 服务器。
3)使用Discovery APP 发现网络中的设备,定义一个新的Discovery策略,采用IP Range的方式,优先使用loopback 接口,当Discovery完成后,可以看到所发现设备的数量、IP地址、状态等信息。使用Inventory工具管理所发现的设备,当所有设备的状态变为Managed状态时,可以对设备进行配置下发。
4)使用Provision功能对交换机进行配置下发,选择所有的Switches and Hubs,点击Action-Provision进行配置下发,当Provision Status的状态为success时,表示设备Provision成功。使用Provision对WLC进行配置下发,下发SSID、AAA、DNS和DHCP Server等配置信息。
5)在Overlay网络虚拟多个独立的虚拟网络(VN)。在默认情况下,相同VN内的任何网络设备或用户彼此进行通信,但是VN之间相互隔离。创建2个VN:校园网VN和Guest VN,其中,校园网VN包括:ncut_teacher, ncut_lsg, ncut_bks, ncut_yjs,用于校园网老师、学生使用,Guest VN包括NCUT-GUEST,用于Guest用户使用,系统默认的INFRA_VN,用于AP管理。
6)与城市热点计费认证系统、思科ISE认证系统对接,实现同一专网内部终端分组及任意漫游,实现基于组和身份的精细化安全策略管理,降低ACL维护的巨大工作量,实现策略随行,实现有线无线一体化及策略统一管理。
3 SDN網络应用与实践
对SDN网络中的WLAN信道进行统一规划,WLAN信道规划的好坏,影响到无线网络的带宽、无线网络的性能、无线网络的扩展以及无线网络的抗干扰能力,也必将直接影响到广大师生的上网体验。
3.1 SDN网络SSID规划
目前,北方工业大学SDN网络广播3个SSID:NCUT、NCUT-AUTO和NCUT-GUEST,其中,NCUT采用PORTAL认证,NCUT-AUTO采用802.1X认证方式,分别对应4类用户:教师、临时工、本科生和研究生;NCUT-GUEST采用Portal认证,对应校外访客用户。上述三个SSID均需要AC与思科ISE、城市热点计费认证系统对接,分别将ISE作为Authentication Server,将城市热点Radius Server作为Accounting Server,实现Portal和802.1X认证。
3.2 基于用户身份的策略随行和安全管理
为了实现基于用户身份的策略随性和安全管理,针对4类用户:教师、临时工、本科生和研究生,在城市热点计费认证系统中分别建立相应资费组,为每一类资费组定义相应的fid进行标识。在思科ISE中,分别建立对应的4类Policy Elements:Teacher, Lsg, Bks, Yjs,并分别将其匹配到各个SSID(NCUT、NCUT-AUTO)。将上述思科ISE中的策略同步到DNA Center,分别对应虚拟网络NCUT中的4个Group:ncut_teacher, ncut_lsg, ncut_bks, ncut_yjs。上述策略共同配合,实现了教师、学生、临时用户的策略随行和安全管理,即同一虚拟网络中的不同Group,在SDN网络中的任一位置,均可以基于其用户身份分配相应策略,实现基于组和身份的精细化安全策略管理,降低了ACL维护的巨大工作量。
3.3 SDN网络使用情况
我校SDN网络服务于全校学生和教职工,截至2018年10月,SDN网络同时最大接入终端总数超过3000个,无线网络流量峰值达到1GBps。学校SDN网络满足了全校师生在各种场景下的用网需求。在教学区,师生可以在任意一间教室将自己携带的无线终端快速接入校园网,并且支持大量终端同时接入。同时,SDN的智能网络运维使得基于用户的问题排查更有针对性,排除网络故障的速度大大提高,SDN网络运行情况见图3。
4 总结
随着高校校园网络规模的不断扩大,接入用户数和接入终端的不断增加,网络运维和网络故障排除方面的投入正逐年增加,各高校的网络运维管理工作变得更加繁重。针对上述问题,本研究基于SDN网络架构,研究智慧校园网建设的应用与实践,实现网络可视化配置、自动化部署、智能化运维和基于用户身份的策略随行,在提升用户体验的同时,有效减轻运维压力、节省网络运维成本。SDN网络建设有力促进了学校教学、科研的发展,有力提升了教育信息化和智慧校园建设水平。
参考文献:
[1] 苏群,赵宇明,徐晓新,等.校园无线网的建设和管理[J].工业仪表与自动化装置,2011(02):83-85.
[2] 李书钦,马时来.OA协同办公平台在高校信息化管理中的应用与实践[J].现代计算机(专业版),2018(10):85-88.
[3] 李四军.高校无线网络建设探讨——以南京大学金陵学院为例[J].计算机时代,2018(06):42-44+48.
[4] 李书钦,李敏,马时来.基于微信企业号的移动教学服务平台设计与实现[J].计算机时代,2016(03):25-26+30.
[5] 徐明明,唐震洲.基于802.11n标准的校园无线网的规划与设计[J].电子设计工程,2011,19(11):31-33+36.
[6] 李书钦,李琳,刘炳兴.多出口网络智能域名解析的设计与实现[J].现代计算机(专业版),2013(29):55-59.
【通联编辑:代影】
