基于SDN 技术的高校网络设计与实践

宋 志

（福建信息职业技术学院 教育技术与信息中心，福州 350003）

0 引言

随着网络技术的快速发展，高校网络作为信息交互基础平台，为教学、科研及管理提供多样化服务，传统网络架构已经越来越难以满足高校复杂多变的业务需求。随着扁平化及SDN 技术的成熟发展，SDN 网络因其开放性及控制与转发分离的特性[1]，能够快速适应动态变化的互联网，同时其控制的高度集中化，也使得SDN 网络配置和管理更加简洁，降低了对网络运维人员的技术要求，为高校大型网络和数据中心的建设与发展提供了很好的解决方案。

1 背景分析

伴随着互联网的飞速发展，云计算、物联网、5G、数据中心等应用普及率越来越高，网络规模越来越大，网络的精细化管理要求也越来越高，传统网络已很难适应，出现了各种问题[2][3]。

1.1 多业务承载能力差

大部分高校的传统网络架构都在同一逻辑网络之中，视频教学、一卡通等业务对网络提出了更高的要求，传统网络下类似业务质量得不到有效保障，严重影响了师生的网络使用体验感。

1.2 稳定性较差

传统校园内接入和汇聚设备都启用了各种功能，当设备使用年限较长后，启用的各种功能容易出现故障，影响网络运行的稳定性。

1.3 可管理性差

传统网络因运营年限较长，网络环境中大多存在各大厂商型号各异的各种网络设备、安全设备等，学校经常需要同时管理好几套网管系统，日常维护工作量大、网络管理维护性差。

1.4 安全性较差

传统网络一般采用三层结构模式：核心层、汇聚层和接入层。从接入层到汇聚层在网络控制上主要是通过STP 协议进行，而STP 是中小型网络的运行协议，在大型网络环境下，网络运行效率会有一定程度的下降，影响整体网络的运行效率。另外，传统网络环境下，各种网络安全措施没有实现联动响应，安全效果不佳。

2 关键技术分析

2.1 SDN 定义

软件定义网络（Software Defined Network，SDN）[4]是一种网络虚拟化实现的新型网络创新架构，其核心技术OpenFlow 通过将网络设备的控制面与数据面分离开来，从而实现网络流量的灵活控制，使网络作为管道变得更加智能，为核心网络及应用的创新提供良好的平台。

2.2 Service Chain

数据报文在网络中传递时，网络流量按照业务逻辑所要求的既定顺序，经过各种各样的业务节点（主要指安全设备，如防火墙、LB 等），为用户提供安全、快速、稳定的网络服务。服务链（Service Chain）[5]通过Overlay 网络在不同节点间传输，再通过VTEP 封装，完成报文的转发。

2.3 Super VLAN

Super VLAN[6]技术主要实现多个子VLAN 共用一个IP 网段资源的目的，实现原理是：在一个Super VLAN 下创建多个 Sub VLAN，实现 Sub VLAN 之间相互二层隔离，Super VLAN 三层接口配置网关地址，实现Sub VLAN 之间的三层数据转发。

3 详细设计

本文以笔者所在福建信息职业技术学院平潭校区（以下简称平潭校区）网络为例，介绍SDN 网络的设计与实践过程。平潭校区于2019 年完成SDN 网络的主体建设，校园网可满足80G 互联网带宽接入，3 万人并发上网，校园网主要为教学、办公及宿舍区域实现优质无线信号覆盖。通过应用锐捷的极简X SDN 解决方案，实现校园网用户无感知实名认证、安全策略随行、Service Chain、物联网终端准入管控和分级分权管控，师生可安全、方便、快捷地享受有线无线一体化网络。

3.1 网络结构设计

网络采用锐捷的极简X SDN 解决方案，网络拓扑结构如图1 所示。通过扁平化组网、双核心、双出口，实现关键设备的冗余；使用ONC 控制器和SAM+认证服务器相互配合联动实现多业务终端准入、业务隔离、终端快速接入、策略随行功能；实现有线无线一体化认证，网络结构整齐，层次清晰，便于管理，维护简单，扩展性好。

图1 SDN 网络拓扑结构图

3.2 IP 规划

网络实现全校不同用户群体使用不同的IP地址段；相同用户群体固定获取一个段的IP 地址；特殊区域（主要针对学生上课使用的实训机房），终端之间存在二层互访，网络同传等功能；哑终端设备按业务类型区分成为不同IP 地址段，需实现入网准入审批。具体设计如下所述。

平潭校区总网段规划10.128.0.0/10，根据网络用途，以16 为掩码进一步细分为设备管理网段、用户业务网段、实训机房网段、多媒体/智慧教室网段、服务器网段、DMZ 区域网段、哑终端、监控数据网段、三层互联网段等；用户业务网段还可进一步细分为教职工、编外人员、领导、学生、临时用户、多媒体终端、视频会议、打印机、实训机房等网段；设备管理网段可细分为有线管理、无线管理、AP 管理、实训机房设备管理等网段；哑终端可细分为一卡通、门禁、广播、水电表等网段。

3.3 VLAN 和端口规划

VLAN 按照用途需求进行划分，具体规划如下：

有线设备管理VLAN500；无线设备管理VLAN501；实训机房管理 VLAN401 ～407；无线AP 管 理 VLAN700 ～799；实 训 机 房 VLAN1200 ～1500；有线业务Sub VLAN100-199；无线业务Sub VLAN200～299；业务 Super VLAN4000；机房 Super VLAN4001；数据中心 VLAN1001～1010；数据中心交换机管理VLAN499；监控网交换机管理VLAN2000；监控网 VLAN1600～1799。

在校园网“设备互联接口”实施时，遵循以下原则：

（1）如果是单上联，那么上联口选择设备的最后一个端口，如48 口交换机，则48 口为上联；

（2）如果是双上联，那么上联口选择设备的最后两个端口，如48 口交换机，则47、48 口做聚合口为上联；

（3）根据网络设备端口连接情况，编写网络设备互联一览表，如表1 所示。

3.4 认证设计

（1）学生宿舍区，没有运营商则只能校内访问；学生在教学区，如果无运营商，则可以走专线上网（基于区域）。

（2）教师账号同时在线终端数为3，学生账号同时在线终端数2。

（3）访客用户设置单独的地址池，访客认证，可以获取到担保人信息及终端MAC 信息。

（4）SAM+与学校建设的LDAP 进行对接，获取师生账号信息。

4 实施过程

网络在实施过程中，主要涉及到的部署设备包括：SDN 控制器（RG-ONC-AIO-E、RG-ONCAIO-CTL、RG-ONC）；认证系统（RG-SAM+基础平台、RG-SAM+Portal 组件、RG-SAM+自助服务组件）；出口路由器RG-RSR7708-X；核心交换机RG-N18012、千兆数据中心交换机RG-S6000C-48GT4XS-E、汇聚交换机RG-S6120-48XS8CQ、接入交换机（RG-S2910-48GT4XS-E、RG-S2928G-E V3、RG-S2952G-E V3）；无线控制器 RG-WS6816、放装 AP RG-IBS1260、高密 AP RG-AP730（TR）、分体 AP RG-MAP752（T）、主体 AP RG-AM5528（ES）、面板 AP RG-AP130（W2）等。下文截取部分关键部署配置进行说明。

4.1 核心设备部署

核心设备N18K 进行集中认证（包括1x 认证、WEB 认证、MAB 认证）；核心支持策略随行的终端部署在同一个Super VLAN 下，根据区域配置Sub Vlan，不同的终端组可以通过Super VLAN 的Secondary IP 作为其网关；不需要策略随行的业务直接配置在普通的SVI 口。

DHCP 服务器搭建在N18K 上，有线和无线的IP 地址都从 N18K 获取。N18K 需要将 DHCP IP地址的信息通过Netconf 接口同步给SDN 控制器，同时提供Netconf 接口让控制器下发配置[6]。

4.2 SDN 控制器部署

控制器配置业务网和业务子网，业务子网属于业务网。控制器通过Netconf 下发策略配置给N18K，包含多业务承载、IP 地址管理、ARP 主动打通、免认证放行、防欺骗防仿冒、安全策略管控、环路监控、多业务保护口、分级分权等功能。

4.3 汇聚设备部署

汇聚设备和核心相连的上联口配置成Trunk口，而下联接入的端口也配置成Trunk 口并开启保护口，且根据接入设备所分配的VLAN 范围进行裁剪，配置通过ONC 进行自动下发。

4.4 接入交换机部署

接入下联进行二层隔离，终端互访都需要经过核心设备。接入设备进行保护口隔离，配置通过ONC 进行自动下发。

4.5 AC 部署

集中管理AP 的配置包括SSID 的设置，认证设置、AP 管理相关设置等。

4.6 AP 部署

（1）无线地勘确定AP 点位。

（2）AP 安装前收集MAC 地址以及设备对应的位置（Wi-Fi 魔盒扫描）。

（3）AP 连接后可以自动上线，但是没有命名（默认在default 组）。

（4）收集到MAC 地址后，对AP 进行命名、分组，释放信号。

（5）对 AP 进行无线网络优化（WIS 工具优化）。

4.7 RADIUS 和 PORTAL 服务器部署

SAM 作 为 RADIUS 服 务 器 ，ePortal 做 为PORTAL 服务器。RADIUS 服务器除了传统的认证功能外还需要将用户的分组信息同步给N18K。

4.8 策略随行方案部署

在ONC 图形化管理界面配置以下内容：

（1）N18K 上配置基础认证；

（2）ONC 创建业务网络及地址池（创建临时地址池，提供给首次入网的终端使用；创建用户正式地址池；配置默认地址池，用于关联用户组，后续为终端分配相应地址池中的地址）；

（3）ONC 开启策略随行，即在业务网下开启策略随行功能；

（4）ONC 创建用户组信息，ONC 与 SAM+上面创建的认证终端组与用户组名称要完全一致。

4.9 Service Chain 方案部署

在ONC 图形化管理界面配置下述内容。

（1）配置端口互联。引流交换机与节点互联端口配置为：

no switchport（no ip）。

核心交换机配置为：

N18012（config）#interface gigabitEthernet 1/6/1

N18012（config-if-GigabitEthernet 1/6/1）#no switchport

N18012（config-if-GigabitEthernet 1/6/1）#no lldp enable

N18012（config）#interface gigabitEthernet 1/6/2

N18012（config-if-GigabitEthernet 1/6/2）#no switchport

N18012（config-if-GigabitEthernet 1/6/2）#no lldp enable。

安全设备配置为：安全设备端口配置为二层桥模式，并部署安全策略（具体配置针对各个厂商设备进行配置）。

（2）ONC 创建服务节点。处于已就绪状态的服务节点才算正常的服务节点。

（3）ONC 创建服务链。状态为已就绪，代表服务链状态正常。

（4）ONC 创建业务编排。图 2 为 Service Chain编排，对防火墙、IPS 等安全设备进行了部署。

图2 Service Chain 编排

4.10 准入管控方案部署

在ONC 图形化管理界面配置以下内容：

（1）配置需管控业务网；

（2）开启准入管控；

（3）ONC 准入审批-同意。

图3 是准入管控的情况，对打印机、广播设备、多媒体中控等终端设备设置了准入策略。

5 运行效果

通过SDN 网络的部署，简化了校园网的运维工作，提升了业务部署的时效性，增强了网络安全的联动性及校园网用户的网络使用体验感。[7]

（1）多业务承载的弹性网络。网络支持承载所有业务，实现校园网的多网融合，一张物理校园网可承载多个虚拟业务网络，包括数据网络、一卡通网络、门禁网络、水电管理网络，以及智慧校园的各种智能终端网络。各个虚拟业务网之间，能够灵活调整安全策略，实现基于业务视角的隔离，与端口、位置无关，简化部署工作量，开通一项新业务用时由2 天缩短到5 分钟。

图3 准入管控策略

（2）终端极速入网。实现业务网准入可视化管控，可自动收集IP+MAC 信息，针对业务子网开启准入管控，哑终端审批后方可入网，新业务终端入网无需重新规划端口，业务弹性扩展，终端快速接入。

（3）终端移动策略随行。整个校园网实现策略随行，位置移动，策略跟随，体验一致，不同位置接入网络，用户组策略跟随，策略随行，用户即插即用。

（4）菜鸟运维。网络实现接入设备傻瓜化、模板化，可通过零配置、零替换上线。通过统一的SDN管理平台，实现校园网的可视化管控。

（5）分级分权。能够实现校园网的分级分权网络管理策略。管理员有分级分权账号，各业务部门可管理自己部门的终端，并且能够实现移动端的网络管理，包括接收网络告警信息、新终端入网审批等。

（6）灵活对接多运营商BRAS 认证。网络实现准入准出一体化认证，灵活对接多运营商BRAS宽带服务器，包括移动、电信、联通等，至少保证学校对接7 条外网物理线路；学生用户准入认证后，无感知完成与运营商BRAS 宽带服务器的对接认证。

（7）高效网络安全防护。构建网络安全资源池，可根据业务发展需要灵活动态增加网络安全资源；业务流和流路径能够一键编排，可负载、可主备，灵活匹配；网络安全资源池可弹性伸缩，平滑扩容，实现不同业务的按需安全防护。

6 结语

随着移动互联网的飞速发展，网络动态化、主动化、软件定义的趋势越来越明显，SDN 技术的开放性、扩展性、灵活性正好适应互联网的变化发展。相比传统网络，SDN 网络在多业务、安全、管理运维各方面表现出更高的适应性，提升了校园网络的运行效率，相信未来应用会越来越广泛。