多校区全光局域网（POL）统一接入管理研究
——以广东工程职业技术学院全光校园网络部署为例

李 锋，朱 靖，李旭斌，林俊发

（广东工程职业技术学院，广东 广州 510520）

1 解决方案

目前，IP随行的解决方案多数为由交换机厂家提供SDN（Software Define Network，软件定义网络）方案，且多数在一个校区部署，或者有多个校区，但是只有一个核心出口，且交换机厂家提供的SDN解决方案多数需要核心和汇聚交换采用同一厂家品牌的交换机，不同厂家的SDN控制器不能通用。该学校两个校区采用的组网方案和核心交换机均不同，很难采用交换机+SDN的解决方案。

在不改动现有网络拓扑和核心交换机等前提下，实现IP随身需要解决以下问题：①采用方案必须不依赖于交换机硬件能力，方案能够和两校区现有的交换机兼容；②尽量采用通用协议，避免采用私有协议，避免后期扩容等问题；③两校区目前采用三层互通，方案必须保留现有两校区三层互通拓扑结构，不对现有网络拓扑进行大的改动；④两校区存在的用户终端数量较大，且大部分终端不需要实现IP随身，比如，固定的视频摄像头、打印机等哑终端都是本地使用的，方案需要能够区分那些终端需要IP随身策略。

综合以上问题，原则上采用NFV（网络功能虚拟化）技术，通过网络功能虚拟化技术，不需要依赖交换机厂家的硬件平台，可直接部署虚拟网络功能（Virtual Network Functions，VNF）来实现IP随身。

对于在两个校区三层互通的情况下解决二层传输问题，目前业界多数采用VxLAN协议，所以本方案也选用VxLAN协议实现两校区之间的二层互通实现IP随身。可以通过采用NFV+VxLAN+控制器技术搭建一个SD-LAN（Software Define Local area Network，软定义局域网），再通过SD-LAN来判断终端属于哪个局域网（LAN），并通过本地转发或者VxLAN隧道转发来解决多校区IP随身问题。

组网拓扑如图1所示，在广东工程职业技术学院两个校区（广州校区和清远校区）各部署一套基于NFV的vBRAS，vBRAS下行和学校核心交换对接，将需要做IP随身的VLAN的网关迁移至新增的vBRAS上（二层端口）；vBRAS上行和核心对接，采用三层对接；两台vBRAS通过校际链路（或者采用互联网链路）采用VxLAN互连。校区间的IP随身业务通过两台vBRAS之间VxLAN隧道实现互通。

图1 组网拓扑图

在两个校区各部署一套SD-LAN控制器（SDLAN Controller），两台控制器之间采用热备模式部署，数据自动同步；控制器有管理用户MAC归属、策略下发等功能。

2 方案说明

2.1 NFV+VxLAN部署

（1）建立VxLAN隧道：多台vBRAS之间采用VxLAN隧道实现二层通信。

（2）接入控制管理：对网络接入进行管理，区分哪些MAC地址是本地转发的，哪些MAC地址是需要通过VxLAN隧道至其他vBRAS转发的。

（3）接入认证功能：能够开启认证功能，对接AAA服务器等获取用户身份信息。

（4）数据转发：能够根据MAC地址管理策略转发数据，在转发数据时，可以根据MAC地址的策略（内外层VLAN、所属vBRAS）等进行转发。

（5）MAC地址管理功能：和SD-LAN控制器配合，实现MAC地址管理功能，主要是上报新MAC地址和同步SD-LAN控制器的MAC地址管理表，并执行对应MAC地址管理策略。

（6）上报MAC地址信息：将接入的MAC地址、其所在的vBRAS信息、QINQ信息上报给SD-LAN控制器。

2.2 SD-LAN控制器

（1）MAC地址管理功能：和vBRAS配合，对整个办公教学网实现MAC地址管理功能。MAC地址管理功能包括MAC地址收集（vBRAS上报/手动输入）、MAC地址归属管理（归属vBRAS以及VLAN信息）、MAC地址管理策略（是否需要IP随身）等。

（2）策略下发功能：将MAC地址表及相关策略下发给vBRAS。

（3）热备部署：两台SD-LAN控制器双机热备部署。

3 业务流程

3.1 终端MAC地址第一次注册

在SD-LAN组网模式下，用户终端第一次接入网络时，vBRAS会向SD-LAN控制器发送MAC地址注册流程，如图2所示。具体流程如下：①用户终端接入；②vBRAS查询本地MAC地址管理策略；③判断本地MAC地址管理策略是否存在，如果存在，按照对用的策略实现转发；如果不存在，则向SD-LAN控制器发送MAC地址注册信息；④SD-LAN控制器收到上报的MAC地址注册信息后，生成MAC地址注册记录，等待人工或接口判断该MAC地址使用的管理策略；⑤在收到该MAC地址的管理策略后，生成管理策略记录，同步给vBRAS，更新vBRAS的本地MAC地址管理策略。

图2 MAC地址注册流程图

3.2 MAC地址在其他校区上线

在SD-LAN组网模式下，用户终端在接入网络时，vBRAS会判断该MAC地址是本地转发的还是通过VxLAN隧道转发至其他远端vBRAS的，如图3所示。

图3 转发数据流程图图

具体流程如下：①用户终端接入；②vBRAS查询本地MAC地址管理策略；③判断是否存在该MAC地址的本地管理策略：如果不存在，按照新MAC地址注册流程进行操作；如果存在，则进入数据转发流程；④vBRAS查询该MAC地址的管理策略是否属于本地vBRAS；⑤如果该MAC地址的管理策略属于本地转发，则vBRAS直接进行本地转发；⑥如果该MAC地址的管理策略不属于本地转发，vBRAS查询对应的远程vBRAS的VxLAN隧道和VLAN信息，并通过VxLAN隧道将数据转发至远程vBRAS进行本地转发。

3.3 MAC地址策略修改、更新

在SD-LAN组网模式下，可以人工修改MAC地址对应的策略，并实时更新至所有的vBRAS，如图4所示。具体流程如下：①管理员修改/更新MAC地址惯例策略；②SD-LAN控制器实时向所有的vBRAS发送MAC地址策略更新信息；③vBRAS收到SD-LAN控制器发送的MAC地址策略更新信息后，自动更新本地MAC地址策略管理表。

图4 MAC地址策略修改/更新流程图

4 方案优势

（1）开放性：本方案采用NFV技术和VxLAN技术来解决IP随身问题，没有采用私有协议，具备良好的开放性。

（2）兼容性：本方案可以和两个校区现有的网络设备兼容，不需要对现有网络设备进行大替换和调整。

（3）可扩展性：本方案可以根据实际需求分步实施，将需要做IP随身的网络（不同的VLAN）分批次实施。同时根据实际的流量情况选择不同容量的vBRAS来满足使用需求。

（4）技术潜力：本方案采用的NFV和VxLAN技术，均为目前IT前沿技术，本方案后期还有较大的技术潜力，目前已经可以考虑的功能包括：QINQ下的打印机共享、哑终端的认证管理、5G校园网接入等。这些可以在现有的vBRAS和SD-LAN控制器的基础上开发对应的功能。

5 结束语

本方案采用了与SD-WAN类似的组网方式的SDLAN方案[1-2]，通过VxLAN将两个校区互联，不需要对网络拓扑进行大的调整，校区之间依然采用三层互通；不需要校区间采用二层互通的方式，通过三层的VxLAN技术实现二层互通，减少环路风险；VxLAN隧道不仅可通过校际互联链路，也可通过互联网链路实现校际互联；采用NFV方案，不依赖交换机厂家，可以自由选择各校区的核心设备；可以根据实际网络情况部署多台vBRAS，单台vBRAS可以支持多条VxLAN隧道，可以根据校园网的发展，调整vBRAS的部署；SD-LAN控制器双机热备部署，一台控制器故障后，vBRAS自动切换至另一台控制器；如果两台控制器故障，vBRAS使用本地MAC地址管理策略工作；可以通过SD-LAN控制器，针对每个MAC地址提供具体策略，也可以考虑和认证系统对接，获取MAC地址的用户身份信息，自动匹配MAC地址管理策略；可以人工设置MAC地址管理策略，对需要IP随身的MAC地址才启用随身策略，减少校际链路的压力，充分利用各自校区的互联网出口。