软件定义网络(SDN)使校园网更智慧

2018-09-12 03:19梁彩隆
中小学信息技术教育 2018年7期
关键词:丰台校园网运维

梁彩隆

校园网的基本情况

随着“三通两平台”建设工程的实施,教育信息化从课堂集中学习拓展为以网络学习空间支撑的泛在学习,从提高管理效率拓展为全面提升教育治理能力,提高教育治理决策、管理和服务水平。校园网中承载的业务越来越多(有线、无线、广播、TV、电话等),使用的用户(老师、学生、访客、运维人员等)、终端(PC、手机、Pad等)也越来越多,校园网络所面临的问题也越来越复杂。在丰台区越来越多的新建校校园网建设中,特别是大规模校园建设中,如何用好各种新的技术和手段构建一个更加安全、可靠、高效、灵活的校园网成为一个新的课题。

中国人民大学附属中学丰台学校是我区2017年新引入的一所全日制公办优质学校,学校占地面积160多亩,总建筑面积13万多平方米,有14个建筑楼座。学校包含小学、初中和高中部,规划小学每年级4个班,初、高中每年级8个教学班,共72个教学班。学校对校园网建设业务需求复杂、应用场景多样,不仅涵盖小学、中学两个部分,每个部分还包含教学区、办公区、公共区、宿舍区。同时,学校在业务需求方面包括有线网络、无线网络、IP电话、IPTV、IP广播、多媒体大屏、电子班牌、信息发布、计算机教室等等。

我所在的北京教育学院丰台分院信息中心(区教委信息中心),作为全区中小学校园网的规划、建设和管理部门,承担了该所新建校信息化建设中校园网的规划和建设等工作。现把我们在该校网络建设过程中,使用基于软件定义网络(SDN)技术的思考和做法,进行总结,与大家分享。

校园网建设的传统做法

传统校园网的建设思路主要采用:核心层→汇聚层→接入层的三层网络架构,三个层面都在实现对接入用户的控制和管理,每层都同样实现了相同的部分功能,管理员要在网络中针对用户的网络接入或系统部署,都要对网络各个层面的设备支持的相应功能进行一一配置,还要考虑到各个层面设备的支持性能,这就使得在网络中部署新的业务系统变得非常复杂和困难。各层控制分散,出现问题后,排除故障定位难、恢复时间长,恢复设置又要设计多个层面的设备。

同时,因采用三层交换架构,单台设备只支持4095个VID标识,不能实现内网安全隔离的VLAN精确细分,容易导致大量的用户、应用处于同一个域内,无法有效地进行隔离,域之间相互的网络干扰严重。如:普遍存在的ARP病毒、DHCP欺骗等问题,导致用户在接入网络后问题频发,网管难以应付,如果借助在接入层设备上启动DHCP监听和动态ARP监测来解决,又会造成运行维护工作量大、网络策略配置复杂等新的问题,也增加了接入层设备的处理压力,会导致可靠性降低。

软件定义网络(SDN)的运用

随着更多的设备(无论是种类还是数量)、移动性、安全以及应用程序的流量等变化,传统的校园网建设方案将面临许多挑战和压力,包括对大量接入用户的管理控制、追查审计、政策监管、运维以及新业务的开展和部署。要避免传统网络架构所带来的运行维护问题,我们在人大附中丰台学校校园网规划和建设中引入软件定义网络(SDN)概念,建设基于软件定义网络(SDN)技术的校园网,颠覆了传统校园网三层网络架构,实现整个校园网智慧化的效果。

智慧化校园网(SDN)将网络依次划分为四层:最下面的是传统物理网络层、根据业务与用户群组划分的按需定义的虚拟网络层、集中的校园控制层即SDN控制器,以及最上层的校园业务层。SDN控制器所做的事是将网络设备上的控制权分离出来,由集中的控制器管理,无须依赖底层网络设备(路由器、交换机、防火墙),屏蔽了来自底层网络设备的差异。而控制权是完全开放的,用户可以根据应用需求自定义任何想实现的网络路由和传输规则策略,从而更加灵活和智能。同时,将整个网络设备角色分为Spine、Leaf、Access三种,分布式网关的创新架构使同层设备的配置基本完全统一,只需将整网设备的配置文件简化成3份,通过Director控制器定义分发,然后通过自动化部署的方式完成全网所有设备的配置,进而实现设备上线自动化、业务部署自动化及故障替换自动化,从而极大提升运维管理效率。

同时,智慧化校园网基于VXLAN技术构成的Overlay大二层网络,可以满足用户在整个校园内的自由移动而不用改变任何配置,包括IP、网关、策略等,同时也不会影响其二层流量(以太网帧、ARP交互)。通过对端点做VXLAN的封装,就可以实现全程端到端的隔离。配合SDN控制器实现基于角色和终端业务类型隔离域的自动分配和编排,让整个校园网对于智慧校园业务承载变得非常简单。

目前,通过SDN和VXLAN技术构建的智慧型校园网,用自动化部署方案实现人大附中丰台学校校园网300多台接入层交换机同时上线,在设备物理安装就绪的情况下无任何初始配置,30分钟完成所有设备的配置及上线。让自动化部署真正成为最简单的网络部署方式,节省80%以上的设备上线时间,提高业务部署效率。同时,利用SDN控制器对用户实现按角色的资源分配、权限控制,在用户上线时控制器会自动识别用户角色、然后分配用户到角色组专属IP地址段、专属VPN组内,整个上线过程无需管理员干预,由控制器自动完成角色识别和资源分配。对于校区内存在的大量广播、监控、门禁等哑终端,通过基于SDN架构的免认证方案,可以实现各类哑终端的自动识别、按设备角色授权和自动上线,不再需要像传统方案那样需要单独设置端口、隔离VPN和IP地址,实现了虚拟专网的隔离效果,既简单又安全。

软件定义网络的效果

如今,利用SDN和VXLAN技术构建的智慧型校园网已经在人大附中丰台学校校园网中建成,并且投入运营近一年。智慧型校园网满足了学校对于校园网多用户、多业务和多场景的使用需求,在不需要做任何网络配置调整、增加运维复杂度的基础上,让用户和终端可以在整个校园网的任意角落移动,保持用户和终端始终处于既定的隔离网络、延续既定的网络策略,降低了校园网运维的复杂度。

经调查比对,人大附中丰台学校校园网开通时间与传统方式相比缩短了30%,资本性支出(CAPEX)降低了25%,运营成本(OPEX)降低了39%,总拥有成本(TCO)降低了28%。同時,智慧型校园网满足了移动化和物联网浪潮下对于校园网新的诉求,更好的实现基于用户的网络控制、行为管控、流量分配等,提高了网络安全、稳定和可靠性,并且能够随着教育信息化的不断发展,实现平滑的演进,达到高性能、易管理和精细化的目标。

作者单位:北京教育学院丰台分院

猜你喜欢
丰台校园网运维
解码丰台
数字化校园网建设及运行的几点思考
运维技术研发决策中ITSS运维成熟度模型应用初探
试论最大匹配算法在校园网信息提取中的应用
北京丰台公交车起火 致1人当场死亡
NAT技术在校园网中的应用
东丰台年画
北京市丰台区社区治安防控中公民参与情况研究
基于ITIL的运维管理创新实践浅析
VPN在校园网中的集成应用