田爱宝+++宋文文+++张婷
摘 要:随着网络和业务的发展,校园网络在运维管理、网络安全、多业务服务等方面越来越显得力不从心,无法满足校园信息化业务的需求。新型校园网络将网络扁平化,网络控制层与转发层分离、网络管理层与用户管理层分离,多业务网络支撑等理念,利用虚拟化、多链路捆绑、SDN、IPoE、防火墙等技术,提高网络转发效率、缩短业务部署时间、加强网络安全防御、减小网络管理难度、提升网络整体水平。
关键词:校园网;扁平化;SDN;多业务
中图分类号:TP393 文献标志码:A 文章编号:1673-8454(2015)11-0067-03
中国石油大学(华东)校园网络经过20年的发展,历经了20世纪90年代的校园网从无到有,新世纪的以路由交换为主的千兆以太网两代网络,在校园网信息化发展中做出了巨大贡献。随着校园信息化建设的发展,校园网络作为信息化基础越来越重要,不仅需要为信息系统提供网络支撑,还要为用户提供高速、稳定、安全、便捷的网络接入服务。在新时代下,办公管理信息化、云计算大规模应用、多媒体教学技术不断更新、网络教学逐渐铺开,传统校园网络在新应用、新业务面前显得力不从心,网络无法满足新业务新应用的需求,网络管理越来越复杂,随着网络技术的发展,校园网络需要朝新型的网络发展。
一、设计思路
校园网络面临着复杂的网络管理、复杂的业务需求、复杂的用户群体,故在网络设计中需要采用较为先进的网络技术,合理的网络设计思路,达到简化网络管理的目的,提升网络安全水平,满足不同用户的网络需求。
1.网络结构扁平化
网络结构扁平化分为网络物理结构扁平化和逻辑结构扁平化。高校校园网一般可以分成两部分,即数据中心网络和园区网络,数据中心网络基本上仅限于一个机房内部或直连的两个或多个机房,物理链路简单,可以采取物理链路和逻辑链路扁平化的结构;受物理位置和链路的限制,园区网比较分散,可以采用传统的三层物理结构之上实现逻辑结构的扁平化。
网络扁平化能有效解决单点故障,通过多链路捆绑实现链路带宽成倍增加,减少网络跳数,消除了汇聚层三层转发性能瓶颈,提高网络转发效率。同时,减少汇聚层IP策略,将IP层策略集中到核心控制层,简化网络管理,提高管理效率。
2.用户管理与基础网络分离
传统网络中,基础网络与用户(认证)管理结合紧密,甚至很多网络(认证)管理的控制层位于网络的接入层,如802.1x认证,一方面存在网络管理复杂、设备不兼容等问题;另一方面由于用户认证信息无法漫游导致用户在校园网上需要使用多个账号或网络访问受限等问题。
用户(认证)管理与基础网络分离后,用户管理系统独立于基础网络,由网络接入设备、认证计费系统等组成,只负责所有用户信息的管理,权限管理与分配,通过标准协议和接口实现用户根据自己的权限在不同网络和设备间的漫游,提高网络的移动性,同时可更好地与第三方软硬件平台对接,实现未来应用系统与网络的对接,达到用户权限随行的效果。
3.基于SDN技术的多业务网络
校园网是一套极其复杂的系统,除了正常提供用户接入网络外,校园网需要承载各种类型的专用网络,如一卡通网络、财务专网等专用隔离的网络。新型校园网络需要提供支持多业务网络服务,结合SDN、虚拟化等技术方便快速地开展业务网络服务,提高网络利用率,缩短业务网络部署时间。
SDN将原来网络设备里的控制功能提取出来交由中心控制节点进行集中控制,也就是“控制转发分离”。通过“控制转发分离”,网络设备只需要负责数据包的转发,而将复杂的网络控制功能交由集中的控制器去处理。通过中心的控制节点进行集中控制,也让整网的转发效率更高。“控制转发分离”后,由集中的控制器去对接上层业务系统,控制器可以屏蔽下层复杂的网络协议和技术细节,将下层网络变成端口、带宽等资源提交上层业务系统。上层业务系统也只需要和集中的控制器打交道,而不再需要去向全网所有设备下发指令,或者人工将业务需求变成一条一条网络设备命令行远程登录到设备上进行配置,在开展多业务网络服务中能极大地简化网络配置管理,缩短业务部署时间。
4.网络安全分级
校园网络中接入各种网络设备及终端,如网络设备、服务器、PC、手机、平板电脑等,不同设备及终端保存着不同重要性的数据。根据对数据重要性进行分析,将网络终端和网络数据进行划分不同安全等级,采取不同的安全防护措施,对于学校核心数据进行重点保护,对用户非重要数据进行简单保护或由用户自行安全保护等。
二、设计方案
根据校园网功能和特点,结合设计思路,校园网络拓扑结构如图1所示。
通过拓扑图,校园网络采用双核心交换机设计,通过双链路连接到多出口路由设备、用户认证接入设备、链路汇合交换机和数据中心核心交换机,保障骨干网络的高带宽和网络的稳定性。在校园网园区网络部分,为了节省园区内骨干光缆,在各楼宇继续保留网络汇聚点,取消原有的网络汇聚层,更改成链路汇合交换机,向上与核心交换机采用多链路捆绑技术,满足高带宽、高可靠性的需求,向下提供接入交换机高密度接入能力。园区网络接入交换机根据业务需求,提供普通用户上网接入和专用网络接入服务,在条件允许的情况下,在部分接入机房安装独立的交换机为专网提供服务,同时无线网有线部分完全融入有线网络,PoE交换机直接接入到链路汇合交换机,将无线AP作为网络终端考虑。
园区网络逻辑网络完全按照扁平化大二层网络考虑,每个接入交换机划分不同的VLAN,并做好端口隔离,将VLAN通过链路汇合交换机、核心交换机透传到用户网络接入设备(BRAS),用户通过IPoE+Portal或PPPoE认证后使用路由模式连接到核心交换机,完成对互联网和数据中心的访问。由于用户网络接入设备(BRAS)处于网络核心位置,在网络设计中考虑使用双机热备的部署模式,并与后台计费认证系统双radius服务器对接,保证网络的稳定性。
数据中心网络相对独立,完全采用扁平化的二层网络结构,接入交换机双链路分别直连到两台数据中心核心交换机,并在网内实现大二层网络,满足虚拟化、云计算对网络的需求。由于学校绝大部分数据均在数据中心,且数据重要性比较高,故在数据中心核心交换机上增加防火墙、入侵检测、Web防护等网络安全板卡或设备,根据数据中心应用系统和数据的重要性配置不同的安全策略,满足对应用系统和数据的安全防护。
除了上述网络转发层,网络控制管理层是整个网络的大脑,由传统的网络管理、监控系统和SDN控制器等组成,对下负责对网络硬件设备下发网络参数和策略,对上提供用户管理界面,并开放与第三方系统对接接口。从逻辑上,网络控制管理层从网络设备中独立出来,由计算机性能更高的服务器等硬件进行网络路径和策略的计算,这也符合SDN网络的逻辑。由于新一代校园网络建设有一定的周期,故网络控制管理层中传统的网络管理系统逐步过渡到软件定义网络、软件定义存储等软件定义所有系统的控制器。
借助SDN技术,新型校园网络不在是传统的校园网,不仅只提供用户接入互联网服务,而是一张多业务网络。通过在SDN控制器上少量的操作即可完成一张业务网络的部署。如某业务网需要将校园网内任何地方的两个不同交换机的端口互通,只需在SDN控制中创建一个租户网,并将这两个端口加入该网,SDN控制器自动计算转发路径并将数据下发到相关交换机,交换机即可按照路径转发,如图2所示。
新型校园网络涉及较多的新技术、新理念,在实施过程中会面临到成本较高、网络较难整合等相关问题,同时节省投资、充分利旧的思路,可以考虑总体设计分步实施的方式完成校园网的升级换代。在设备选型过程中,必须考虑设备支持Openflow、Open Daylight等SDN相关协议,支持MPLS VPN、虚拟化等功能,可以与传统网络对接等需求。
三、结论
新型校园网络改变传统网络中架构和理念,总结了传统网络的优缺点,取长补短,并提升了网络的可扩展性、可移动性、可管理性,并提供了多业务支撑,能有效解决当前网络面临的各种问题,同时采用较为先进的网络技术和管理手段,提升网络管理水平,并为未来业务发展提供了足够的空间。
参考文献:
[1]吴旭东,柳炳祥.校园网网络规划的设计与实现[J].电脑开发与应用,2011,24(11):64-65.
[2]吴圣洁,夏添.数据中心网络扁平化设计[J].微型电脑应用,2013,29(11):27-30.
[3]刘维,姚锦卫.高校校园网络认证计费系统研究[J].现代计算机,2008(5):93-94.
[4]赵慧玲,冯明,史凡.SDN——未来网络演进的重要趋势[J].电信学,2012(11):1-5.
[5]伏晓,蔡圣闻,谢立.网络安全管理技术研究[J].计算机科学,2009,36(2):15-19,54.
(编辑:杨馥红)