基于SDN的校园网网络架构的实现——山东第一医科大学长城路校区SDN改造建设.pdf

1、SOFTWARE2023软 件第 44 卷 第 7 期2023 年Vol.44,No.7作者简介：尚年（1973），男，山东泰安人，本科，工程师，研究方向：计算机网络；王翀（1979），男，山东泰安人，硕士研究生，副高级工程师，研究方向：大数据治理与网络信息技术。基于 SDN 的校园网网络架构的实现山东第一医科大学长城路校区 SDN 改造建设尚年1 王翀2（1.山东第一医科大学，山东泰安 271016；2.山东众志电子有限公司，山东泰安 271000）摘要：文章详细分析了随着网络应用的急剧增加，移动设备和各种终端数量激增，学校原有的传统网络架构已经不适应数据中心和校园网的动态计算和存储需求，S

2、DN 是一种新兴的网络体系结构，具有动态性、可管理性、自适应性，通过分析应用 SDN 相关技术工作原理在实际应用中遇到的各种问题，列举了学校原先存在的问题以及应用 SDN 后取得的各项成果，并对SDN 的应用进行了系统分析和总结。关键词：SDN；位址分离；策略随行；网随人动中图分类号：TP391.41;TP212 文献标识码：A DOI：10.3969/j.issn.1003-6970.2023.07.022本文著录格式：尚年,王翀.基于SDN的校园网网络架构的实现山东第一医科大学长城路校区SDN改造建设J.软件,2023,44(07):089-091The Construction of t

3、he Network Architecture Based on SDN Campus Website:Reconstruction of SDN in Changcheng Road Campus of Shandong First Medical UniversitySHANG Nian1,WANG Chong2(1.Shandong First Medical University,Taian Shandong 271016;2.Shandong Zhongzhi Electronics Co.,Ltd.,Taian Shandong 271000)【Abstract】：With the

4、 rapid increase of network applications and the proliferation of mobile devices and various terminals,the original traditional network architecture of the school has not been able to meet the dynamic computing and storage needs of the data center and campus network.SDN is a new network architecture,

5、which is dynamic,manageable and adaptive,by analyzing the various problems encountered in practical applications of SDN related technology working principles.It enumerates the existing problems of the school and the achievements after the application of SDN,and systematically analyzes and summarizes

6、 the application of SDN.【Key words】：SDN;address separation;follow the strategy;network follows peoples movements设计研究与应用0 引言近几年，高校校园信息化飞速发展，在校园基础网络建设方面，需要在原有校园网络基础上，实现 IPV6、SDN 等技术的落地以满足高速、敏捷、自动化校园网的假设需求。为了满足未来几年学校教学、科研、管理以及其他的各项网络实际需求，山东第一医科大学长城路校区本次进行了 SDN 网络建设，总体建设目标为：通过采用 SDN 技术，建设一张高可靠、技术先进并且适度安

7、全可控的校园基础网络，为师生提供泛在的接入服务，通过各种可行的手段提升师生访问网络的体验感，以确保高效、快捷地访问校园云中心资源和互联网资源。1 原有网络问题分析1.1 网络架构僵化复杂校区校园网原有采用的是以交换技术为主的经典三层组网架构。在传统的三层组网架构中，接入层负责用户的接入；汇聚层负责用户的三层终结、路由；核心层负责全校数据的高速路由数据交换。90软 件第 44 卷 第 7 期SOFTWARE传统三层网络架构中，网关一般固定在楼宇汇聚层设备上，由于用户网关配置在楼栋汇聚设备上，导致用户 IP 地址使用效率不高；同时由于存在多个广播域，病毒爆发后流量泛洪导致无法有效隔离，用户之间相互

8、影响。1.2 移动化趋势明显随着移动互联技术越来越深入到人们的工作生活，在校园中，教职员工 BYOD 应用越来越广泛，无线移动办公未来将成为主流，除了无线漫游，校园中还存在其他方式的移动；如何实现校园内用户策略的跟随，确保师生在移动中的上网体验保持不变，成为运维人员所关注的问题。从目前传统的网络架构上分析，运维人员需要花费很大的代价进行网络配置调整，才能够在一定程度上满足移动终端的灵活上网需求，并且用户的体验也不够好。1.3 运维的冲击IOE（万物联网）带来了终端接入数量爆炸式的增长，比如摄像头、一卡通终端、楼宇自动化系统中大量使用了物联网网关路由器。IOE 终端接入校园网之后，往往和园区现有

9、业务有不同的属性，需要进行安全隔离，传统网络需要部署多套物理隔离的网络，给当前运维带来很大困境。同时，对于直接接入校园网的大量物联网终端，配置管理工作量较大，如何实现简单运维，快速部署也是校园网需要考虑的课题，并且由于无法实现网络端到端的统一策略部署，使得新的业务开展和优化比较困难。1.4 用户的精细化管理校园网有多种类型用户：认证用户、重点用户（不认证用户）、访客用户、院系机房、部门服务器、网络打印机等。目前缺乏有效手段对用户进行精细化管理，无法根据不同的用户属性定义不同的管理策略。2 实施 SDN 后的详细成果2.1 位址分离技术传统校园网划分三层网段时往往与位置紧密关联。不同的教师办公室

10、，不同的教学楼划分不同三层网段，不能实现用户移动需求。因为用户移动需要跨越不同三层网段，这样对应的用户 IP 地址就需要进行更换。因此，传统网络的 IP 地址往往和所在物理位置是紧耦合的，IP 地址只提供技术上的路由连通性功能，没有身份标识的功能，导致审计也变得复杂。在 SDN 方案中可做到网络的无状态，实现 IP 地址与位置解耦，不管用户移动到哪里，IP 地址可以保持不变，这样 IP 地址除了具备路由连通性的技术功能，还具有身份的标识功能。2.2 用户策略随行技术采用 SDN 技术能够解决传统校园网 IP 地址和位置强绑定的问题，实现 IP 地址与物理位置的解耦，可进一步实现校园网用户的策略

11、随行功能。通过策略随行，能够实现用户在校园网内移动，用户的网络使用体验不变。校园网 SDN 方案能够实现“位址解耦，名址绑定”，首先是把 IP 地址与物理位置解耦；其次是实现用户账号策略和 IP 地址的一一对应。通过 SDN 的无状态网络能力，实现了 IP 地址在任意位置的接入需求，配合 IP 策略的固定，最终实现了校园网用户的策略随行。在 SDN架构下，IP 地址完全可以做到与位置解耦，真正实现IP 即用户，网段即业务，审计更简单。除此之外，校园网 SDN 可以做到业务和 IP 网段的绑定，或者用户组和 IP 网段的绑定。例如，在采用 SDN 网络架构下的校园网安防监控摄像头的部署，由于地址

12、的分派和位置无关，这些摄像头可以完全编入一个特定的网段，以后对摄像头业务的识别不需要识别端口号或者应用层，只需要识别 IP 网段即可，这样对校园网交换机的要求大大降低。通过实现 IP 与用户的绑定，解决了校园网 IP 地址分配效率不高、网上行为违规难于定位到人、校内攻击源难于定位的问题。2.3“切片式”自动化网络隔离SDN 校园网构建了 Underlay 和 Overlay 两层网络，Underlay 为物理网络，Overlay 为物理网络之上的逻辑网络，校园用户的业务 Ip 工作在上层的 Overlay网络中，与底层的 Underlay 网络拓扑无关，从而能达到网络与业务解耦，实现基于校园业

13、务的网络切片，为每一个校园业务搭建专属的逻辑网络。SDN 校园网采用 VXLAN 技术实现隔离，相比传统 MPLS 的隔离方式，基于 VXLAN 的隔离只需要在VTEP 实现隔离即可，不需要全网隔离，VTEP 之间只需要 IP 互通。SDN 校园网方案提供两种隔离方式：VRF 隔离和ACL 隔离。VRF 隔离是一种类似于 MPLS 的强隔离手段，每个用户组在 VTEP 节点分配不同的 VRF，VRF 之间在路由层面实现隔离，每个用户在 VRF 内通过 VLAN 映射成不同的 VXLAN，最终实现在通道内通过 VXLAN数据传输，实现隔离。ACL 隔离即为传统的基于设备五元组访问控制的隔离手段，

14、不同用户组在接入之后获取的是不同网段的 IP，通过在设备上配置 ACL 访问控制，实现不同网段之间的隔离。91尚年 王翀：基于 SDN 的校园网网络架构的实现山东第一医科大学长城路校区 SDN 改造建设在 SDN 校园网中，通过 Overlay+VXLAN 技术的创新引用，可实现在一张物理校园网络上建立多个强隔离的逻辑网络，基于此实现了学校的一卡通业务、视频监控业务等的逻辑隔离，简化整个业务的运维难度。同时由于存在 SDN 控制器，可实现业务终端接入到网络自动下发配置，实现二层隔离，即实现业务自动化网络隔离。2.4 业务按需交付业务指 4-7 层服务，如防火墙、IPS、ACG 等，传统网络中部

15、署 4-7 层服务不能和位置解耦，这些节点成为网络拓扑的一个网元，和基本网络部分紧耦合，服务节点的增删改都会导致网络拓扑发生较大的变化，需要不停地调整网络的配置以适应，导致维护非常困难。园区 SDN 方案引入了 SDN 服务链功能，把园区传统的通过策略路由方式的复杂引流策略转换为一种简单的按需使用，自由编排的引流方式来快速实现。这种实现方式可以为用户提供灵活的、可编程的、弹性的软硬件一体化解决方案。这种方案的优势是可以根据用户的需求，提供定制化或个性化的软硬一体化基础设施服务，可以支持如 NFV 等新技术，也可以兼容传统安全，是真正为用户提供兼具可靠性、高性能以及可编程的稳健解决方案。此外，在

16、园区控制器 SeerEngine 上直观的图形化拖拽方式，使得用户可以从业务视角出发进行服务编排。定义一条流的起点和终点，中间直观地拖拽插入需要经过的 4-7 层组件，然后一键下发，SeerEngine 将把这个图形化界面翻译成网络语言配置到网络设备上，真正实现随心所欲地部署。2.5 设备自动部署在 SDN 校园网的设备部署实施时，基于 SDN 技术可实现极简自动化部署。在 SDN 方案中，核心层 Spine、汇聚层 Leaf 和接入层 Access 的三种角色，其设备基础配置是一致的，这样通过预设标准配置模板，将整网的接入设备配置按照三种角色完全整合三份完全相同的配置文件1。2.6 园区一键

17、启动在 SDN 校园网部署后，对于用户、用户组的访问策略可通过 SDN 控制器的图形化界面来进行配置，避免了传统网络下通过命令行的方式来操作。对于用户的定义不仅包括传统意义上的用户，还包括物联网终端的定义。2.7 开放网络传统的校园网络是以网络设备为核心的，网络设备功能非常固化，如果用户想做基于网络功能的定制化开发，需要提需求给网络厂家，网络厂家进行需求分析、设计、开发、交付，然后用户再上线验证，加上中间沟通的时间，周期非常长，同时需要花费大量的设备升级成本。SDN 校园网方案实现了转发和控制的分离，其核心是 SDN 控制器。基于 SDN 的理念，根据集中控制的SDN Controller、软

18、件定义网络能力和接口的开放对接，能够允许第三方进行增值开发，满足用户个性化、定制化、可编程的需求，为用户提供量身打造的专业和精准的高品质服务2。2.8 可视化运维针对校园网 SDN 网络，可以通过 SDN 控制器内的可视化网络监控功能，基于用户、终端和业务的角度，实现针对校园网络的端到端监控运维。具体可视化运维功能如下：（1）终端接入旅程的全过程分析，展示接入终端类型、接入状态、故障情况和有线无线的接入比例等；（2）基于应用的 360 度运维监控，从网络应用的维度来展示整网网络的繁忙度、用户接入情况、IP 分布和流量分布，并能够综合判断网络应用可用性；（3）基于可视化运维进行用户行为的高级分析

19、，可实现用户的地图分布，实时显示全网在线用户分布情况，用户聚集情况和轨迹分析等；（4）支持按五元组进行监控，实时显示应用流的路径探测、时延、入端口、出端口、队列等信息，展示用户最常访问的应用和网站及其流量监控；（5）对于承载应用的底层基础网络，对网络拓扑、网络设备以及设备资源进行动态实时监控，通过智能分析，来判断是否发生突变，从而进行预警。如网络链路流量监控、光模块监控、设备 CPU、内存占用率监控等3。3 结语校区经过部署 SDN 网络架构，SDN 的技术优势愈加明显，详细阐明了高校计算机网络需要具备 SDN 环境的重要性和迫切性，不仅满足了移动化、运维可视化、精细化管理、安全可控等基本操作，而且也圆满地保障了校园网稳定高效的运行。参考文献1 赵慧玲,冯明,史凡.SDN未来网络演进的重要趋势J.电信科学,2012,28(11):1-5.2 张朝昆,崔勇,唐翯翯,等.软件定义网络(SDN)研究进展J.软件学报,2015,26(1):62-81.3 邓书华,卢泽斌,罗成程,等.SDN研究简述J.计算机应用研究,2014,31(11):3208-3213.