湖南大学校园信息化建设与管理办公室 王宇科 王子荣 苏靖 谭鑫鑫

　　前言：近年来，随着校园信息化基础设施的日益完善，国内高校纷纷开始智慧校园的建设，校园网承载的各类信息化应用大幅增加，如一卡通、校园监控、数字广播、物联传感等等。这类应用的共同特点是分布广泛、部署复杂、运维困难。如何解决上述问题给校园网运维带来的困扰，减轻网络运维管理人员的负担，成为新一代校园网建设需要重点考虑的问题。湖南大学采用SDN技术，对全校有线校园网进行了改造，为校园网的转型升级做出了有益的探索。

　　一、湖南大学校园网改造前状况

　　湖南大学校园网于始建于1996年，2006年实现了有线网教学办公区以及学生宿舍全覆盖，用户达到4万余人。原校园有线网为四层架构，即核心-区域汇聚-楼栋汇聚-接入，采用DOT1X+WEB混合认证方式。这种网络模式存在以下几个主要问题：

　　1.网络层级太多。目前湖南大学的校园网分为四层：核心、区域汇聚、楼栋汇聚、接入，网络层级太多导致管理比较复杂。

　　2.由于用户网关配置在楼栋汇聚设备上，导致用户IP地址使用效率不高，校园网IP地址不够用（湖南大学校园网全网使用真实互联网IP）。

　　3.同一栋楼的所有用户处于同一个VLAN域，用户广播域泛洪，病毒爆发后无法有效隔离，用户之间相互影响。

　　4.采用802.1x认证，对于接入交换机、802.1x客户端（版本问题、终端问题等）的管理和维护比较复杂。同时由于采用802.1x认证，使得接入交换机被绑定，这就使得学校在新建网络和扩容网络时，缺乏选择性，无法很好地保障学校的权益。

　　5.校园网上承载的业务越来越多，如视频监控、一卡通、数字广播、物联网系统等等；由于无法实现网络端到端的统一策略部署，使得新的业务开展和优化比较困难。

　　6.校园网有多种类型的用户，包括：认证用户、重点用户、访客用户、院系机房、部门服务器、网络打印机等。目前缺乏有效手段对用户进行精细化管理，无法根据不同的用户属性定义不同的管理策略。

　　上述问题，通过网络扁平化，大二层、QinQ、第三方认证平台+Portal认证等技术，可以有效解决第1-第4的问题，但对于第5和第6类的问题，传统的方案无法有效地解决。

　　二、SDN相关知识

　　1. SDN技术架构

　　经典的SDN架构描述是来自ONF（Open Network Foundation）的SDN体系架构图（如图1所示）。

　　图1 SDN体系架构

　　图1表达了SDN的分层解耦合概念，包括通用的基础硬件层、硬件抽象层、网络操作系统、上层应用。其中基础硬件与硬件抽象两层组成物理网络设备，即SDN架构中的数据转发层面；网络操作系统与上层应用组成了控制层面。数据转发层面与控制层面之间以一种标准化的交互协议来解耦合，这种去耦合的架构，使得网络操作系统及网络应用（如路由控制协议等）不必运行在物理网络设备上，而可以运行在外部系统（如X86服务器）内，从而实现网络控制的灵活可编程性。

　　除了解耦合控制层面与数据转发层面，SDN还引入了集中控制的概念（如图2所示）。对于传统的设备，因为不同的硬件、供应商私有的软件，使得网络本身相对封闭，只能通过标准的互通协议与计算设备配合运行。网络中所有设备的自身系统都是相对孤立和分散的，网络控制分布在所有设备中，网络调整复杂、工作量大，并且因为设备异构，管理上兼容性很差。而在SDN的开放架构下， 在SDN作用域内，由集中统一的控制逻辑单元来实施管理，因此可以解决了网络中大量设备分散独立运行管理的问题，使得网络的设计、部署、运维、管理在一个控制点完成，而底层网络差异性也因为解耦合的架构得到了消除。集中控制在网络中引入了SDN区别于传统网络架构的角色--SDN Controller，也就是运行SDN网络操作系统并控制所有网络节点的控制单元。SDN能够提供网络应用的接口，在此基础上按照业务需求进行软件设计与编程，并且是在SDN Controller上加载，从而使得全网迅速升级新的网络功能，而不必再对每个网元节点进行独立操作。

　　图2 封闭式网络与开放网络

　　2. SDN技术在校园网的应用场景

　　前述的校园网上承载的业务多导致部署和管理困难以及用户类型多导致的精细化管理的难题，归根结底是因为传统网络的IP地址与终端地理位置的紧耦合产生的。用户、设备端口和所获取的权限是绑定的，用户要想获取正确的权限，只能在指定的端口接入，接错端口会导致权限不一致。用户接入网络的位置发生移动，用户权限无法跟随，需要网管人员对网络重新做出调整，才能适应新的用户和终端与端口所属VLAN的匹配关系。

　　SDN技术实现的转发与控制分离的解耦合架构，可以有效地解决传统网络中IP地址与地理位置的紧耦合关系，从而实现网络的灵活控制。加上SDN控制器（SDN Controller）的强大控制功能，可以通过软件编程来实现大规模网络的自动网管，可大幅加快新业务部署的速度、降低网络管理的复杂度。以提高校园网内某用户的网络访问质量为例，可以通过SDN控制器控制DHCP服务器解耦实现该用户在整个SDN作用域内的任意物理位置获取指定的固定IP地址，只需对该IP进行访问策略控制，就可以轻松实现针对用户访问质量的优化。业务的优化也基于同样的原理，因为在IP网络中，可以认为IP即是（对应）用户，业务即是（对应）IP网段。

　　3. 国内外网络厂商现状

　　基于SDN技术良好的发展前景，众多国内外网络设备厂商投入了大量的精力来研究SDN相关技术并推出了商业化的成熟产品。基于SDN技术的网络产品最先应用于数据中心网络，现在已逐步扩展到园区接入网等其它领域。在接入网SDN产品中，思科（CISCO）推出了“软件定义的接入”（SD-Access），通过DNA（SDN Controller）中心的开放式可编程平台，提供基于策略的自动化网络部署以及针对网络中的所有应用为用户或设备应用恰当的策略，实现用户或业务在SDN域内任何位置的一致性。国内厂商方面，华三公司推出了“应用驱动园区网”方案，引入了SDN+VXLAN的技术，通过园区网驱动器（SDN Controller），控制基于VXLAN的基础网络，实现整个园区网范围内的策略随行，让人和终端可以在整个企业的园区任意角落移动，保持用户和终端始终处于既定的隔离网络、延续既定的网络策略，从而降低网络运维的复杂度。

　　三、湖南大学校园SDN网络部署

　　通过前期的技术交流、功能测试以及项目招投标，最终湖南大学校园有线网络的改造采用了华三公司的“应用驱动园区网”方案。改造后的网络拓扑如下图3所示：

　　图3 湖南大学校园有线网拓扑

　　项目实施过程中，将基于校园网的业务划分成多个业务组，每个业务组对应不同的IP地址段和不同的管理策略，如下图4所示：

　　图4 校园网业务组

　　业务组之间通过组间策略编组，便捷地实现组间访问控制策略，图5展示的防范“勒索病毒”的业务组访问策略：

　　图5 业务组访问策略

　　该项目的实现基于SDN+VXLAN的技术，通过SDN控制器与认证服务器、DHCP服务器以及网络设备的联动，实现了校园网用户的位址分离、业务策略的统一部署、信息化应用的业务随行以及多类型用户的精细化分类管理，大幅减小了网络复杂度，提高了网络管理的效率。通过近半年的实施和优化，项目顺利完成，达到了预期的效果。

　　四、结束语

　　SDN（Software Defined Network）的出现和发展，逐步改变了以往网络被动适应业务的状况，使网络具备了较大灵活程度的自定义能力；这种可定义性，是网络主动去处理业务流量而不仅仅是被动承载业务流量，能够让校园网更好地满足各项信息化业务的需求，必将成为未来校园网建设和发展的主要关注点。此次湖南大学校园网基于SDN理念的网络升级，实现了SDN技术在校园网的落地，为基于SDN理念的技术方案在校园网的大规模部署提供了有益的探索。