多区域多业务集中管控型网络在高校中的应用
来源:中原工学院 作者:张启峰 王桢 杨俊鹏等 发表于:2019.03.29 653浏览
中原工学院校园网络经过20年的发展,历经20世纪90年代的校园网、新世纪的以路由交换为主的千兆以太网两代网络,在校园信息化发展中做出了巨大贡献。随着校园信息化建设的发展,校园网络作为信息化基础设施越来越重要,不仅需要为信息系统提供网络支撑,还要为用户提供高速、稳定、安全、便捷的网络接入服务。
新时代下,办公管理信息化、云计算大规模应用、多媒体教学技术不断更新、网络教学逐渐铺开,传统校园网络在新应用、新业务面前显得力不从心,已无法满足新业务新应用的需求,网络管理也越来越复杂。校园网络需要朝新型网络发展。
一、校园网络需要解决的问题和痛点
1、多区域办学
办学地域发展带来的多区域办学问题在高校中比较普遍,在校区相对离散但网络业务需要高度集中的条件下,学校需要一种或多种手段解决现实问题。
2、多业务集中管控
校园网络随着信息技术的发展,面临着复杂的网络管理、复杂的业务需求、复杂的用户群体,对多种复杂业务的集中管控是解决这些问题的核心思路。
3、远程数据传输
数据驱使下的校园网络为了保证数据的高度集中和统一,需要实现多地数据一中心,数据业务远程传输必须有机的嵌套入传统网络中。
4、网络使用体验偏低
校园网络经常遇到的普遍问题是在出口带宽资源充足,网络链路结构正常,设备性能满足的情况下,用户上网使用体验不好。
5、网络管理的提升
鉴于校园网络的发展,网络管理必须脱离原有的被动模式,提高管理水平,引入更先进的管理技术,做到智能管理、智能运维。
二、解决思路
校园网络面临着复杂的网络管理、复杂的业务需求、复杂的用户群体,故在网络设计中需要采用较为先进的网络技术、合理的网络设计思路,达到简化网络管理的目的,提升网络安全水平,满足不同用户的网络需求。
1、网络结构扁平化
网络结构扁平化分为网络物理结构扁平化和逻辑结构扁平化。高校校园网一般可以分成两部分,即数据中心网络和园区网络。数据中心网络基本上仅限于一个机房内部或直连的两个或多个机房,物理链路简单,可以采取物理链路和逻辑链路扁平化的结构;受物理位置和链路的限制,园区网比较分散,可以采用在传统的三层物理结构之上实现逻辑结构的扁平化。
网络扁平化能有效解决单点故障,通过多链路捆绑实现链路带宽成倍增加,减少网络跳数,消除汇聚层三层转发性能瓶颈,提高网络转发效率。同时可减少汇聚层IP策略,将IP层策略集中到核心控制层,简化网络管理,提高管理效率。
2、用户管理与基础网络分离
传统网络中,基础网络与用户(认证)管理结合紧密,甚至很多网络(认证)管理的控制层位于网络的接入层,如802.1x认证,这样一方面存在网络管理复杂、设备不兼容等问题,另一方面由于用户认证信息无法漫游导致用户在校园网上需要使用多个账号或网络访问受限等问题。
用户(认证)管理与基础网络分离后,用户管理系统独立于基础网络,由网络接入设备、认证计费系统等组成,只负责所有用户信息的管理、权限管理与分配,通过标准协议和接口实现用户根据自己的权限在不同网络和设备间的漫游,提高网络的移动性,同时可更好地与第三方软硬件平台对接,实现未来应用系统与网络的对接,达到用户权限随行的效果。
3、基于SDN技术的多业务网络
校园网是一套极其复杂的系统,除了正常提供用户接入网络外,还需要承载各种类型的专用网络,如一卡通网络、财务专网等专用隔离的网络。新型校园网络需要提供支持多业务网络服务,结合SDN、虚拟化等技术方便快速地开展业务网络服务,提高网络利用率,缩短业务网络部署时间。
SDN将原来网络设备里的控制功能提取出来交由中心控制节点进行集中控制,也就是“控制转发分离”。通过“控制转发分离”,网络设备只需要负责数据包的转发,而将复杂的网络控制功能交由集中的控制器去处理。通过中心的控制节点进行集中控制,也让整网的转发效率更高。
“控制转发分离”后,由集中的控制器去对接上层业务系统,控制器可以屏蔽下层复杂的网络协议和技术细节,将下层网络变成端口、带宽等资源提交上层业务系统。上层业务系统也只需要和集中的控制器打交道,而不再需要去向全网所有设备下发指令,或者人工将业务需求变成一条一条网络设备命令行远程登录到设备上进行配置,这在开展多业务网络服务中能极大地简化网络配置管理,缩短业务部署时间。
4、网络安全分级
校园网络中会接入各种网络设备及终端,如网络设备、服务器、PC、手机、平板电脑等,不同设备及终端保存着不同重要性的数据。可通过对数据重要性进行分析,将网络终端和网络数据划分成不同安全等级,采取不同的安全防护措施。对学校核心数据进行重点保护,对用户非重要数据进行简单保护或由用户自行安全保护等。
5、采用密集波分复用技术实现远程多业务传输
基于高校多区办学的特点,可运用密集波分复用技术对网络核心传输层进行再建设,实现多区域互联的可靠性、业务的连续性。同时多种业务物理隔离区分波道,又极大地提高了安全性。
6、基于用户身份的智能DNS选路
将上网用户链路属性信息与域名解析系统进行用户身份的对接,可实现网随人动,优化网络访问效能,使用户的网络使用感知度得到极大提高。
三、实施方案
根据校园网功能和特点,结合设计思路,学校校园网络拓扑结构如图1所示。
图1 网络拓扑结构
校园网络采用双核心交换机设计,通过双链路连接到多出口路由设备、用户认证接入设备、链路汇合交换机和数据中心核心交换机,保障骨干网络的高带宽和网络的稳定性。
在校园网园区网络部分,为了节省园区内骨干光缆,我们在各楼宇继续保留网络汇聚点,取消原有的网络汇聚层,更改成链路汇合交换机,向上与核心交换机采用多链路捆绑技术,满足高带宽、高可靠性的需求,向下提供接入交换机高密度接入能力。
园区网络接入交换机根据业务需求,提供普通用户上网接入和专用网络接入服务,在条件允许的情况下,在部分接入机房安装独立的交换机为专网提供服务,同时无线网有线部分完全融入有线网络,PoE交换机直接接入到链路汇合交换机,将无线AP作为网络终端考虑。
园区网络逻辑网络完全按照扁平化大二层网络考虑,每个接入交换机划分不同的VLAN,并做好端口隔离,将VLAN通过链路汇合交换机、核心交换机透传到用户网络接入设备(BRAS)。用户通过IPoE+Portal或PPPoE认证后使用路由模式连接到核心交换机,完成对互联网和数据中心的访问。由于用户网络接入设备(BRAS)处于网络核心位置,我们在网络设计中考虑使用双机热备的部署模式,并与后台计费认证系统双radius服务器对接,保证网络的稳定性。
数据中心网络相对独立,完全采用扁平化的二层网络结构,接入交换机双链路分别直连到两台数据中心核心交换机,并在网内实现大二层网络,满足虚拟化、云计算对网络的需求。由于学校绝大部分数据均在数据中心,且数据重要性比较高,我们在数据中心核心交换机上增加了防火墙、入侵检测、Web防护等网络安全板卡或设备,根据数据中心应用系统和数据的重要性配置了不同的安全策略,满足对应用系统和数据的安全防护。
目前已完成的建设工作如图2所示。
图2 实际建设结构图
四、下一步建设构想
网络转发层、网络控制管理层是整个网络的大脑,由传统的网络管理、监控系统和SDN控制器等组成,对下负责对网络硬件设备下发网络参数和策略,对上提供用户管理界面,并开放与第三方系统对接接口。
从逻辑上,网络控制管理层从网络设备中独立出来,由计算机性能更高的服务器等硬件进行网络路径和策略的计算,这也符合SDN网络的逻辑。由于新一代校园网络建设有一定的周期,故网络控制管理层中传统的网络管理系统要逐步过渡到软件定义网络、软件定义存储等软件定义所有系统的控制器。
借助SDN技术,新型校园网络不再是传统的校园网,不再只提供用户接入互联网服务,而是一张多业务网络。我们通过在SDN控制器上少量的操作即可完成一张业务网络的部署,如某业务网需要将校园网内任何地方的两个不同交换机的端口互通,我们只需在SDN控制中创建一个租户网,并将这两个端口加入该网,SDN控制器则自动计算转发路径并将数据下发到相关交换机,交换机即可按照路径转发。
新型校园网络涉及较多的新技术、新理念,在实施过程中会面临成本较高、网络较难整合等相关问题。在节省投资、充分利旧的思路下,我们可考虑以总体设计、分步实施的方式完成校园网的升级换代。在设备选型过程中,则必须考虑设备支持Openflow、Open Daylight等SDN相关协议,支持MPLS VPN、虚拟化等功能,可以满足与传统网络对接等需求。(本项目获得“2018年度河南省教育信息化优秀成果奖(创新应用类)”一等奖。)